Apollo Vredestein blijkt, als een van de vele Nederlandse bedrijven, weerloos te zijn geweest tegenover cybercriminelen. De Twentse bandenfabriek, die ruim een week geleden door hackers werd platgelegd, gebruikte apparatuur die al meer dan tien jaar niet was bijgewerkt. De gebruiksaanwijzing waardoor hackers konden binnenkomen stond bovendien gewoon op internet.
Het was wachten op een aanval
De gebrekkige beveiliging bij Apollo Vredestein is exemplarisch voor de situatie bij Nederlandse bedrijven, stellen experts tegenover het FD. Bedrijven zijn volgens hen nalatig met het doorvoeren van updates van programma’s en beschermen de toegang tot hun netwerken onvoldoende. 'Het was wachten op een aanval', zegt Arwi van der Sluijs, managing director bij NFIR, een cyberveiligheidsbedrijf dat onder meer verantwoordelijk was voor de veiligheidscontrole van de Nederlandse corona-tracingapp.
Over de informatiebeveiliging bij Nederlandse bedrijven leven al langer zorgen. Minister Ferdinand Grapperhaus van Justitie en Veiligheid waarschuwde eind vorig jaar dat de overheid desnoods zal ingrijpen bij bedrijven die hun beveiliging niet op orde hebben. De Nationaal Coördinator Terrorismebestrijding wees er eind juni in een rapport op hoe cyberaanvallen Nederland digitaal kunnen ontwrichten.
Maar bij veel bedrijven valt vooralsnog nog weinig vooruitgang te bespeuren. Geldwisselbedrijf Travelex werd begin dit jaar lamgelegd na een aanval met gijzelsoftware, vermoedelijk nadat het lange tijd een belangrijke veiligheidsupdate had genegeerd. De geldwisselkantoren konden daardoor wereldwijd wekenlang hun computersystemen niet gebruiken. Apollo Vredestein gebruikte dezelfde software als dit bedrijf. In hoeverre deze software wel geüpdatet was, is niet bekend.
Geen doelwit
IT-beveiligers vinden dat bedrijven te weinig oog hebben voor veiligheid. 'In productie-omgevingen geldt vaak: als het niet stuk is, hoef je het ook niet te repareren. Maar bij software gaat dat niet op', zegt Inge Bryan, partner Cyber Risk Services bij accountants- en adviesbureau Deloitte. Bovendien denken bedrijven volgens Bryan vaak dat ze geen doelwit zijn. Die gedachte is onterecht: cybercriminaliteit is een miljardenbusiness. En hackers kiezen hun doelwit vaak niet aan de hand van de branche waarin een bedrijf zit, maar aan de hand van de gebruikte technologie.
Dat bedrijven hun beveiliging niet op orde hebben is 'eerder de norm dan de uitzondering', stelt Van der Sluijs van cyberveiligheidsbedrijf NFIR. 'Ik ben eigenlijk nog nooit een bedrijf tegen gekomen waar niets aan de hand was', zegt Inge Bryan, partner Cyber Risk Services bij accountants- en adviesbureau Deloitte.
De kans dat kwaadwillenden de kwetsbaarheden opmerken is ondertussen levensgroot: verschillende scanners speuren geautomatiseerd het internet af op zoek naar zwakke plekken bij Nederlandse bedrijven en publiceren hun vondsten geheel automatisch.
Waarom Apollo Vredestein
Waarom hackers het gemunt hadden op Apollo Vredestein is nog onduidelijk. Losgeld - gebruikelijk bij dit soort aanvallen - werd niet gevraagd. Door de aanval voelde de bandenfabrikant zich genoodzaakt om tijdelijk ook zijn productiesystemen uit te schakelen. Het bedrijf kon niet meer e-mailen en liep vertraging op met het afhandelen van bestellingen. De afgelopen dagen is het systeem geleidelijk hersteld.
De systemen van Apollo Vredestein bevatten verschillende kwetsbaarheden. Hackers konden bijvoorbeeld zien dat het bedrijf voor het uitwisselen van bestanden een versie van het programma 'CesarFTP' gebruikte van rond 2005. Dat programma is vermoedelijk geschreven voor het inmiddels antieke en onveilige Windows 2003. Van het programma zijn verschillende zogeheten 'exploits' bekend, stukjes software waarmee hackers de beveiliging kunnen kraken. Bij dit programma bleek het mogelijk de software te ontregelen door de server te overspoelen met informatie.
Of de hackers op deze manier bij Apollo Vredestein zijn binnengekomen is onduidelijk. Van de software op de server zijn 17 bekende kwetsbaarheden bekend waar hackers misbruik van konden maken. Daarnaast gebruikte het bedrijf een mailserver met daarop andere verouderde software. Software hierop bevatte 18 bekende kwetsbaarheden. 'Op basis van publiek beschikbare informatie is te zien dat ook op deze servers software draaide bedoeld voor antieke en onveilige Windows-versies', vertelt Mischa van Geelen, cybersecurity-consultant bij NFIR.
Apollo Vredestein stelt dat de kwetsbare FTP- en mailservers bekend waren en niet verbonden waren met de rest van het netwerk. De conclusie ten aanzien van de beveiliging van Apollo Vredestein noemt een woordvoerder 'volledig onterecht'. Het bedrijf wil niet kwijt hoe de hackers dan wel zouden zijn binnengekomen.
Bron: fd / Stijn van Gils
Echt leiderschap begint met volgen. Volg FD.
Kies uw abonnement | Vragen? Bel 0800 666 666 7