Sjors Brul, oprichter en eigenaar van 'Sbit', is nog maar een aantal uren terug van vakantie als hij ’s avonds laat een dringend telefoontje krijgt. Een internationale hotelketen met meer dan twintig hotels is het slachtoffer van een cyberaanval. Een reconstructie van een meer dan ingrijpende operatie.
Op alle beeldschermen in de hotelorganisatie popte het bericht op dat de cybercriminelen ‘binnen’ waren, er contact met de helpdesk gezocht moest worden en dat er een aanzienlijk bedrag aan Bitcoins overgemaakt diende te worden om weer toegang tot de eigen pc’s te krijgen. Want alle pc’s waren gegijzeld. ‘Ransomware’ zorgde ervoor dat alle pc’s versleuteld raakten, maar ook de servers kunnen gegijzeld zijn. “Dat weet je als hotelier op dat moment nog niet”, vertelt Brul. “Het eerste wat je moet doen is niet in paniek raken, vervolgens zet je alle toegangen tot het internet uit. Dat betekent dus dat je de hele organisatie voor een groot deel lam legt. In dit geval ging het om ruim twintig vestigingen verdeeld over zeven landen.”
Vleugellam
Pc’s uit, kassa’s uit, servers uit en werkstations uit. De organisatie moest vleugellam gemaakt worden om op een gedegen wijze te onderzoeken hoe en wanneer de criminelen waren binnengekomen en wat het plan van aanpak moest worden om de systemen weer schoon te vegen. “Wat je absoluut niet moet doen, is zelf aan de slag gaan.”
Een cyberaanval is een misdaad en moet ook zo benaderd worden. Een forensisch team moet onderzoek doen, gedegen onderzoek. Dit team, een ‘Red-Team’ geheten, wordt aangewezen door de cybersecurity verzekeraar. Zij gaan aan de slag met twee vragen: wat is er allemaal geraakt? En hoe heeft dit kunnen gebeuren? “En in de tussentijd lag de organisatie nog altijd plat. Het is gewoon terug naar pen en papier. De schade voor de gehele organisatie liep in dit geval op tot 100.000 euro per dag.” Het Red-Team onderzoekt hoe de criminelen zijn binnengekomen en gaat aan de slag met de systemen. “Wij, als ICT-dienstverlener, onderzoeken de kwaliteit van de back-ups. Dat doen we overigens iedere dag, om te controleren of ze werken maar ook om te kijken of ze op een veilige plek staan. Ook de back-ups worden vaak door deze hackers beschadigd, Wij hebben daar echter een beveiliging voor.”
Waar de criminelen voornamelijk naar op zoek zijn is chantabele informatie. Dat kan informatie zijn over gasten. “Maar creditcardgegevens zijn als het goed is niet meer terug te vinden in de systemen. Verder richten ze zich op het PMS-systeem, maar ook op het online gedrag van de medewerkers. Welke websites zijn bezocht, welke filmpjes zijn bekeken… Dat soort informatie. Dat is chantabele informatie waarvan je als organisatie niet wil dat het op straat komt te liggen. De imagoschade die je oploopt op het moment dat naar buiten komt dat je digitaal kwetsbaar bent is immens.”
Communicatie
De criminelen zitten uiteraard niet stil op het moment dat het Red-Team aan de slag gaat. Zij zien die activiteit en handelen daarnaar. “Ze bellen op met de mededeling dat zij namens Microsoft hun diensten aanbieden en dat het zo vervelend is dat je organisatie is gehackt. Maar zij hebben de oplossing. Een ander advies is dan ook: vertrouw niemand en communiceer met je eigen mensen. Je bent als organisatie bijzonder kwetsbaar op het moment dat je aangevallen wordt. Er staat gewoon een leger voor je deur”, aldus Brul.
Om te voorkomen dat cybercriminelen binnen komen, is het verstandig om te weten hoe ze binnen kunnen komen. Dat kan op een aantal manieren. Via ‘phishing’, een update die niet of niet goed is uitgevoerd of een inbreuk in de softwaresystemen van het bedrijf via een medewerker die vanuit een privé laptop werkt en dus minder goed beveiligd is, wat veel tijdens de verschillende lockdowns gebeurde. “In het geval van deze casus, waarin ruim twintig hotels het slachtoffer werden, ging het om een niet goed uitgevoerde update. Het Red-Team kwam erachter dat in dit geval de criminelen al vier maanden binnen waren. Dat betekent dat alle back-ups die in de tussentijd zijn gemaakt, niet te vertrouwen zijn.”
Systemen werden gereset naar de laatste veilige status, of in het slechtste geval volledig vervangen. Vanaf dat nulpunt moest alle data onderzocht worden en op betrouwbaarheid en veiligheid worden getoetst. Monnikenwerk. Sjors Brul spreekt over ‘White Listing’; het één voor één goedkeuren van websites en systemen. “In het geval van deze zaak hebben we vier maanden in die ‘White Listing-modus’ gewerkt. Stap voor stap iedere website en iedere link als veilig bestempelen voordat deze weer gebruikt kon worden. We hadden het geluk dat deze hotelketen met het PMS-systeem in een hosted omgeving werkt en we vrij snel konden concluderen dat het PMS-systeem niet aangevallen en dus veilig was.”
Een geluk bij een ongeluk. Maar op het moment dat de eigen softwaresystemen weer veilig te gebruiken zijn, is het onontkoombaar dat er onderhandeld moet worden met de criminelen om de gestolen informatie ‘terug te kopen’. “Dat doet een ‘negotiator’ en na een akkoord heb je als hotelier natuurlijk nooit de volledige zekerheid dat de informatie niet op straat komt te liggen. Het blijven criminelen. Het beeld dat lange tijd heerste dat een hacker vanuit zijn zolderkamertje probeert in te breken, is allang niet meer de juiste. Het zijn professionele organisaties met meerdere afdelingen die precies weten wat ze moeten doen. Het is zaak om je als hotelier daar tegen te wapenen.”
Bewustzijn
Dat doe je volgens Brul allereerst door in de organisatie bewustzijn te creëren over de gevaren van cybercriminaliteit. “De hotellerie geeft daar steeds meer aandacht aan, maar het kan beter. Het gaat vaak mis in de onwetendheid. Wat doe je als je per ongeluk op een verdachte link hebt geklikt? Vaak zwijgen medewerkers daarover, ook uit schaamte. Hoe eerder er melding van wordt gedaan, hoe beter het kwaad bestreden kan worden. Het gevaar zit ‘m in de onzichtbaarheid, maar bij veel hotels staat de digitale deur op een kier of zelfs verder. Aan de oppervlakte is niets te zien, maar een aantal maanden later kunnen de gevolgen desastreus zijn.”
Checklist cyberaanval
Een cyberaanval op de hotelorganisatie is de uitkomst van vaak maandenlange voorbereiding van cybercriminelen. De criminelen maken hun eis kenbaar als ze voldoende gevoelige informatie hebben weten te verzamelen. Welke stappen dien je als hotelier te nemen als je wordt geconfronteerd met een cyberaanval?
- Raak niet in paniek en ga niet zelf op onderzoek uit
- Schakel de internetverbinding uit
- Neem contact op met de cybersecurity verzekering
- Laat forensisch onderzoek doen
- Vertrouw niemand
- Houd het team op de hoogte
- Informeer de autoriteiten binnen de gestelde wettelijke termijn
- Controleer back-ups
- Maak inzichtelijk wanneer de criminelen in het systeem zijn gekomen
- Wantrouw alle informatie die daarna in de systemen zit
- Herstel de systemen
- Neem corrigerende maatregelen, zodat de kans op een nieuwe aanval kleiner wordt.
Risico verkleinen
Advies om je bedrijf tegen de huidige en toekomstige bedreigingen te beschermen
- Beheers de basisprincipes om de kansen van cybercriminelen te verkleinen: zoals multifactorauthenticatie en patchbeheer en geef prioriteit aan zelfherstellende hardware om de veerkracht te vergroten.
- Bereid je voor op het ergste; beperk het risico van uw mensen en partners door processen in te stellen om de beveiliging van leveranciers te controleren en het personeel te onderwijzen over social engineering. Oefen met reacties op aanvallen, om problemen te kunnen identificeren, verbeteringen aan te brengen en beter voorbereid te zijn.
- Cybercriminaliteit is een teamsport en cyberbeveiliging moet dat ook zijn: praat met collega's om informatie over bedreigingen te delen en wees proactief door open discussies op ondergrondse forums te volgen. Werk samen met beveiligingsdiensten van derden om zwakke plekken en kritieke risico's aan het licht te brengen.
- Ga je online pas de ABC methode toe
- A = alert blijven
- B = bescherm jezelf
- C = check altijd
Bron: sbit-hospitality.com (Sjors Brul) / hospitality-management.nl | David Bakker
Meer actueel nieuws
Nieuwsbrief 346 Cybercrimeinfo (ccinfo.nl)
Reading in another language
Authentieke identiteiten op het darkweb: de opkomst van kyc-bypass
Reading in another language
Onzichtbare aanvallen: hoe wifi-hackers te werk gaan
Reading in another language
Lockbit ontmaskerd in 2024: de achtervolging, arrestaties en toekomst van ransomware
Reading in another language
Infostealers ontrafeld: ontdek de stille dreiging
Reading in another language
Breukelen - Helpdesk fraude
Reading in another language