Sinds woensdagmiddag rollen er weer auto's van de band in de autofabriek van VDL Nedcar in Born. Maar tot het concern, toeleverancier van ASML, Philips en DAF, behoren wereldwijd nog 104 bedrijven die nog altijd last hebben van de brutale digitale aanval. Acht vragen en antwoorden over gijzelsoftware.
Een week geleden werd VDL platgelegd. Wat gebeurt er nu bij het bedrijf?
Wat er aan de hand is, zegt VDL niet, maar bronnen rond het concern melden dat het centrale it-systeem is gegijzeld. Criminelen blokkeren netwerken en geven die pas vrij nadat losgeld is betaald. Na zo’n cyberaanval zal het bedrijf een crisisteam formeren onder leiding van een externe partij die de regiefunctie neemt, schetst Dave Maasland van ESET Internet Security. ,,Wat is er gebeurd? Hoe kan de schade worden hersteld? En gesprekken met de criminelen worden gevoerd. Dat doet doorgaans de externe partij.” In het crisisteam zitten naast de directie, afdelingen als communicatie, IT, de operationele bedrijfsvoering en juridische zaken schrijft het AD. ,,Klanten moeten bijvoorbeeld worden ingelicht als mogelijk klantdata zijn gestolen.”
Wat doet VDL om de getroffen IT-systemen weer aan de gang te krijgen?
De autofabriek in Born draait weer voorzichtig. Voor andere bedrijfsonderdelen die vanwege koppeling van productiesystemen aan internet niet kunnen draaien, hoopt het bedrijf zo snel mogelijk op een vergelijkbare oplossing. Grote vraag is of de criminelen ook de hand hebben weten te leggen op back-ups. ,,De laatste twee jaar zien we steeds vaker dat criminelen ook back-ups versleutelen”, zegt Job Kuijpers, oprichter van cybersecurity-organisatie Eye en voormalig medewerker van de AIVD. De aanvallers worden volgens hem steeds slimmer, de criminele groeperingen groter en professioneler. ,,Maar ook als er back-ups zijn, kan het weken duren voordat alles weer normaal functioneert.” Want een back-up terugzetten gaat niet altijd goed en soms mist nog data.
Betaalt VDL losgeld?
VDL zelf laat er niets over los. Maar volgens expert Maasland lijkt het er op dat VDL op eigen kracht probeert de systemen te herstellen, in plaats van dat losgeld is of wordt betaald om weer toegang te krijgen tot door criminelen versleutelde data. ,,Bedrijven van de omvang van VDL kunnen met waanzinnige hoge losgeldeisen worden geconfronteerd, van een half tot twee procent van de omzet. Dan heb je het over vele miljoenen euro’s. Tegelijkertijd is het ook heel complex om voor 105 bedrijven de IT-systemen opnieuw op te bouwen.”
Hoe langer het duurt dat een slachtoffer van een cyberaanval weer in de lucht is, hoe aannemelijker volgens Maasland het scenario dat geen losgeld wordt betaald. ,,Criminelen willen heel snel hun geld hebben, over het algemeen binnen 48 uur. Ze willen het geld wegsluizen, hun sporen wissen en verdwijnen.” Toch sluit hij het losgeldscenario niet uit. ,,Als je betaalt ben je ook niet meteen weer online. Het is de vraag welke data je dan terugkrijgt. En of het allemaal nog werkt. Voordat je met de halve data die je terugkrijgt weer alles hebt draaien, duurt het ook wel even. Dat scenario is net zo goed levend.”
Hoe groot is de financiële schade voor VDL?
Dat is lastig te bepalen, maar het omzetverlies valt al gauw op vele miljoenen euro’s te becijferen. VDL rekent dit jaar op een omzet van zo’n 5 miljard euro, dat is bijna 100 miljoen euro per week. De gevolgen van de cyberaanval laten zich inmiddels een week voelen, maar de impact op de 105 individuele bedrijven van de groep verschilt. Duidelijk is dat autofabriek VDL Nedcar - goed voor een jaaromzet van meer dan 2 miljard euro - een week heeft stilgelegen. Bij andere bedrijfsonderdelen - zoals de busfabrieken - is in ieder geval gedeeltelijk doorgewerkt.
Kan een verzekering de schade voor VDL dekken?
Zo’n tien verzekeraars in Nederland bieden een verzekering met ‘cyberdekking’ aan, weet het Verbond van Verzekeraars. Hoeveel bedrijven zo’n verzekering hebben, is niet bekend. Maar volgens het verbond bedroeg de premieomzet van cyberverzekeringen in Nederland in 2020 een ‘zeer bescheiden’ 25 miljoen euro. De verzekeraar vergoedt doorgaans de geleden financiële schade en herstel van schade zoals vervanging van computers, systemen en herstel van data. Of ook losgeld onder de dekking valt hangt af van de voorwaarden. Verzekeraar Hiscox bijvoorbeeld heeft in de voorwaarden opgenomen dat losgeld wordt vergoed als dat is betaald om de schade voor het bedrijf beperkt te houden.
VDL bestaat uit 105 bedrijven. Was het bedrijf daardoor extra aantrekkelijk als prooi?
VDL nam de afgelopen jaren het ene na het andere bedrijf over waarna alle systemen aan elkaar gekoppeld worden. En dat kan een risico zijn. ,,Het maakt de kans groter dat er ergens nog niet beheerde computers staan die kwetsbaar zijn”, zegt Job Kuijpers. ,,Maar die segmentatie zorgt tegelijkertijd voor natuurlijke scheiding omdat niet alles uit dezelfde systemen bestaat.”
VDL is aangevallen, maar hebben de criminelen nu ook privégegevens van 15.000 werknemers?
Die kans is inderdaad aanwezig, zeggen experts. Vaak zijn criminelen al voor het ontdekken van de gijzeling van systemen waarbij data digitaal is versleuteld tot het netwerk doorgedrongen. Persoonsgegevens zoals kopieën van identiteitsbewijzen kunnen worden verhandeld op het darkweb, zeg maar de krochten van het internet waar criminelen zich ophouden. Die data kan bijvoorbeeld worden gebruikt voor identiteitsfraude. Ook kan openbaarmaking ervan dienen als drukmiddel voor het betalen van losgeld. Als persoonsgegevens zijn gelekt, zal het bedrijf dat op basis van de privacywetgeving AGV dienen te melden.
"We moeten allemaal accepteren dat we aan het leren zijn, dat we allemaal nog een lange weg hebben te gaan als het gaat om cyberveiligheid"
Cyber-expert Dave Maasland
Criminele hackers slaan steeds vaker toe. Leren van digitale aanvallen kan echter een wapen zijn. Welke rol kan VDL daarin spelen?
Uit schaamte of angst voor reputatieschade houden door dergelijke aanvallen getroffen bedrijven de kaken op elkaar. ,,Uit angst voor imagoschade, dat je moet laten zien dat je zaken niet op orde hebt. We moeten allemaal accepteren dat we aan het leren zijn, dat we allemaal nog een lange weg hebben te gaan als het gaat om cyberveiligheid”, zegt expert Maasland. Net als deskundige Kuijpers doet hij een dringend appèl op VDL. ,,Ben transparant”, adviseert Kuijpers. ,,Als VDL nu in een losgeldsituatie zit, speel je dat spel niet via de media. Maar het bedrijf moet zich wel bewust zijn van de voorbeeldfunctie in de regio.”
In de regio rond Eindhoven zitten naast VDL spelers als ASML, Philips, DAF, Signify (voorheen Philips Licht) en chipmaker NXP. ,,Voor het mkb is ransomware het grootste probleem, zeg maar de toeleveranciers van VDL en andere bedrijven. Die kun je nu inzicht bieden.” Expert Dave Maasland: ,,Ik hoop dat VDL durft te zeggen: er zijn fouten gemaakt. Dat VDL als commercieel bedrijf het stilzwijgen doorbreekt. Geen enkel bedrijf hoeft zich te schamen. Als verdediger tegen cybercriminaliteit moet je alles goed doen, terwijl je als aanvaller maar een enkel foutje nodig hebt.”
Bron: eye.security, eset.com, deondernemer.nl | Bart-Jan van Rooij en Peter Scholtes
Bekijk alle vormen en begrippen 》
Actuele aanvallen overzicht per dag 》
Tips of verdachte activiteiten gezien? Meld het hier.
Cybercrime gerelateerde berichten
Hybride cyberaanvallen: de vervagende lijnen tussen staten en criminelen
In deze podcast bespreken we de toenemende samenwerking tussen cybercriminelen en overheden, waarbij ze hun middelen en technieken combineren om zowel financiële als geopolitieke doelen te bereiken. We benadrukken dat ransomware een ernstige bedreiging blijft, met name voor de gezondheidszorg, en dat het gebruik van kunstmatige intelligentie (AI) door zowel cybercriminelen als overheden aanvallen complexer en moeilijker te stoppen maakt. Daarnaast bespreken we het belang van samenwerking tussen de publieke en private sector om cyberdreigingen effectief te bestrijden. De noodzaak voor strengere internationale normen en sancties voor cyberaanvallen komt ook aan bod, evenals de rol van geavanceerde technologieën zoals AI en internationale samenwerkingen voor de toekomst van cyberbeveiliging.
Forse toename van aanvallen op Citrix ADC en Citrix Gateway
Reading in 🇬🇧 or another language
Stijgende kosten van cyberaanvallen: Waarom bedrijven in de Benelux meer betalen voor datalekken
Reading in 🇬🇧 or another language
De illusie van veiligheid: Wat de 1Password-kwetsbaarheid ons leert over wachtwoordkluizen
Reading in 🇬🇧 or another language
Fraude schade in 2024 stijgt met 44% tot meer dan 27 miljoen Euro in Nederland
Reading in 🇬🇧 or another language
De nieuwe gevaren van cybercriminaliteit: inzichten uit het IOCTA 2024 rapport
Reading in 🇬🇧 or another language