“De Europese richtlijn rond cybersecurity, NIS2, is noodzakelijk, mits ze duidelijk en concreet opgezet wordt.” Dat zegt Philip de Bie, vicepresident IT van Picanol. De weefmachinefabrikant werd in 2020 zelf slachtoffer van een cyberaanval.
In januari 2020 legde een cyberaanval de weefmachinefabrikant Picanol gedurende één week stil. Alle productiesites moesten de productie tijdelijk staken. “De eerste mail met de melding van problemen kwam uit China, een uur later merkten we ook in Ieper dat er iets aan de hand was”, blikt Philip de Bie terug. “We weten uiteindelijk niet precies hoe de hackers erin zijn geslaagd om in onze systemen te geraken, maar volgens de identificatie van de hacker is dat met 95 procent zekerheid via een phishingmail.” De gevolgen waren groot. Het hele IT-systeem lag stil. De productie kon nog even doorgaan, maar nieuwe orders invoeren lukte niet, waardoor na een tweetal dagen ook dat onderdeel noodgedwongen uitviel.
“Het Cyber Emergency Response Team (Cert) wist snel welke organisatie achter de cyberaanval zat. Ook hadden we op elke geaffecteerde server een boodschap van de hackers”, zegt Philip de Bie. “De politie vroeg ons om contact te zoeken met hen, om op die manier zoveel mogelijk sporen en bewijsmateriaal te verwerven. Tegelijk mochten we niets wijzigen aan de servers vooraleer een forensische kopie te nemen van de volledige server.” Tijdens het hele onderzoek werd het interne netwerk en het internet afgeschakeld om verdere verspreiding naar de niet getroffen delen of klanten te voorkomen.
“Na enkele dagen activeerden we de externe toegang tot enkele belangrijke mailadressen, maar internettoegang werd afgesloten, met uitzondering van enkele aparte pc’s die niet aangesloten waren op het netwerk”, zegt Philip de Bie. “Tijdens de eerste fase wilden we begrijpen wat er juist gebeurd was en hoe de hacker te werk was gegaan. Vanaf de tweede dag begonnen we met de heropstart van alle servers vanuit back-updata, initieel zonder internetverbinding. We hadden het zogenaamde achterpoortje immers nog niet gedetecteerd. Via zo’n verborgen achterpoortje slagen de hackers erin om opnieuw binnen te vallen zodra je weer opstart.” Wellicht was er geen dergelijke ingang ingebouwd, zo bleek achteraf.
Na één week leek het ergste leed geleden en kon de productie heropstarten. “Onze back-ups waren niet gecompromitteerd, anders kan je het vergeten natuurlijk”, zegt Philip de Bie. Daardoor was de beslissing om niets te betalen gemakkelijker te nemen. “Je hebt enerzijds de ethische kwestie: betaal je een malafide organisatie? Tegelijk is er de bedrijfseconomische vraag: kunnen we sneller opstarten als we betalen?” Het is een dilemma, erkent Philip de Bie. Maar de back-ups waren er, dus kon Picanol relatief snel en zonder al te grote schade de aanval afslaan.
Philip de Bie zegt dat Picanol zich voor de cyberaanval al bewust was van dergelijk gevaar. Het bedrijf was niet onbeschermd. “We waren ook volop bezig met een securityroadmap, maar werden in snelheid gepakt. Zo was onze automatische follow-up en remediation nog niet geactiveerd. In dat geval blokkeert de securitysoftware de gebruiker en het toestel zodra het iets verdachts detecteert, waarna het interne securityteam kan nagaan of het een normale activiteit (false positive of vals alarm) of een effectieve malwareactiviteit was (positive).”
Het interne beveiligingsteam werd intussen opgetrokken tot drie personen. Die volgen dagelijks de alarmen op en bouwen de securityroadmap steeds verder uit. Een aantal geplande maatregelen werd versneld doorgevoerd. Gebruikerstoestellen die niet de juiste beveiligingssoftware aan boord hebben, kunnen niet op het netwerk. “We voerden ook strengere wachtwoordregels in. En tweestapsverificatie, via een authenticatie-app met cijfercode, niet via mail”, benadrukt Philip de Bie. “Het is een evenwicht zoeken tussen gebruiksgemak en veiligheid.”
Daarnaast speelt Picanol in op de awareness van gebruikers, die getraind worden in het herkennen van phishingmails. “Nog steeds gaat zo’n één procent van de ontvangers in op een phishingmail en geven ze gebruikersnaam en paswoord af. Dat lijkt niet veel, maar op een bestand van tweeduizend werknemers zijn dat nog altijd twintig personen. De bewustwording aanscherpen, is een continu verhaal.”
De Europese richtlijn NIS2 ziet Philip de Bie dan ook niet als een zoveelste complianceverplichting. “Het is een noodzakelijk kwaad, al zullen de richtlijn en het wetgevend kader concreet en duidelijk moeten zijn. In principe denk ik dat we vandaag aan alle voorwaarden voldoen. Ik vrees wel dat tal van kleinere ondernemingen niet de middelen of mensen beschikbaar hebben. En dat ze zich niet bewust zijn van hun kwetsbaarheid. Dat is pijnlijk.”
Verdoe jij ook te veel tijd met het opvolgen van alle nieuwtjes in je feed? No worries, wij verzamelen alles wat nieuw is in de finance wereld. Al die nieuwtjes komen wekelijks in jouw mailbox terecht.
