Door: Janet Kooren, Hoofdredacteur IndustrieVandaag - 17 januari 2025 |
“Stelt u zich eens voor dat uw bedrijf het slachtoffer van een hack wordt. Het kan uren of dagen duren alvorens u de oorzaak van de hack hebt ontdekt en verholpen.” In augustus 2019 schrijft Pilz dit op zijn Nederlandse website.
Hier ging het over Industrial Security en wat als je machines gehackt worden en je productieproces stil staat – als je OT gehackt wordt. Want Pilz is expert in Industrial Security en heeft dat – natuurlijk – zelf als eerste goed voor elkaar. En de veiligheid van de IT van de Pilz bedrijven, die was on-premise goed geregeld. Toch? Mis.
Iets meer dan twee maanden later werd de firma Pilz op een zondagmiddag internationaal getroffen door hackers van het professioneelste soort. De boodschap: Betaal en we geven je weer toegang tot je bestanden. Toegeven aan criminelen kwam niet in de hoofden van de directie op, en dus moest het bedrijf omgaan met een op zijn zachtst gezegd ingewikkelde situatie.
Peter Eland en Arjan van Bommel vertellen uitgebreid en open over de afgelopen vijf jaar, en de periode vlak na de aanval met ransomware. Peter is directeur van de Nederlandse vestiging en Arjan van Bommel directeur van de afdeling services. Vijf jaar geleden was Peter commercieel directeur en Arjan was nog niet zo lang in dienst als projectmanager. Arjan vertelt dat hij precies op het moment toen het bedrijf werd gehackt, bezig was met het grootste project binnen Pilz. Op de bewuste zondagmiddag kwam er een berichtje dat nou niet direct alarmerend leek. ‘Is er iets met de server?’, was dat berichtje. Het volgende bericht alarmeerde wel degelijk, de ICT-manager schreef: ‘Het is niet goed.’
Een ransomware-aanval bleek alle pc’s van het bedrijf te hebben getroffen. “Ik was met mijn vrouw en kinderen op verjaardagsvisite en was de eerste die kon reageren. Ik zette mijn gezin thuis af en ben naar Vianen gereden. De afdeling ICT en een ingevlogen externe deskundige waren daar hard aan het werk om een beeld te krijgen van de omvang van het probleem. Onderweg heb ik bij de benzinepomp snacks en energydrankjes gekocht en heb de mensen zoveel ik kon vertroeteld, want het was duidelijk dat we hier wel even zouden zijn”, vertelt Peter.
“We hebben met zijn allen de hele nacht doorgehaald en de volgende ochtend was het helder: het kon niet opgelost worden.” Alle pc’s, laptops en servers van Pilz die ingeschakeld waren tijdens de aanval waren geraakt. Alleen een server op de back-up-locatie was niet geïnfecteerd, maar de situatie zag er niet goed uit. Om kwart over zeven die maandagochtend kreeg iedereen via WhatsApp de boodschap om de laptop niet aan te zetten en naar kantoor te komen.
In de nacht van zaterdag op zondag had er een goed gecoördineerde aanval plaatsgevonden op alle internationale pc’s, de computers, laptops en servers waren versleuteld en de bestanden onbereikbaar. “Er is achteraf gezien sprake geweest van maandenlange voorbereiding”, vertelt Peter. “Er bleek sprake te zijn geweest van social engineering en iedere keer zijn ze een stapje verder gekomen, en zijn er keyloggers geïnstalleerd – stukjes software waarmee muis- of toetsbewegingen kunnen worden geregistreerd. En heel geleidelijk aan is alles opgezet voor één grote aanval. En toen bleek: De situatie was compleet anders dan de scenario’s die klaar lagen!”
De onderlinge communicatie ging via een snel opgezette groepsapp en er werden voor iedereen gmail-adressen aangemaakt voor de communicatie met externe partijen. De gedachte binnen Pilz voorafgaand aan de hack was dat alle hard- en software in eigen beheer moest blijven: dat werd het veiligst geacht. Peter: “Het was ons zelfs verboden iets in de cloud te doen. In de nieuwe situatie is het hele ICT-landschap opnieuw ontworpen en nu werken we juist waar mogelijk in de cloud. Dat biedt qua beveiliging ook de nodige voordelen ten opzichte van lokaal beheer. Sterker nog, door alles in eigen beheer te houden hadden de hackers via één ingang het hele netwerk te grazen.”
De bestanden van de back-upserver moesten een voor een worden gescreend, want het was niet duidelijk welke bestanden op die server wel of niet geïnfecteerd waren. “Dat was monnikenwerk”, vertelt Peter. “Alle devices moesten worden ingeleverd, alles werd naar Duitsland gestuurd en geformatteerd of vervangen. Er werd een schoonmaakstraat ingericht waar usb-sticks op een veilige manier konden worden gecontroleerd. Iedereen werd erbij betrokken en moest de handen uit de mouwen steken.” Eén pc bleef in contact staan met de oude server, maar wel compleet geïsoleerd. Daar kon heel beperkt data van worden gehaald. De usb-poorten zijn bij Pilz nog steeds afgesloten.
De structuur van het ICT-netwerk is nu compleet anders. “We gebruiken onder andere meervoudige firewalls, andere standaarden en VLAN’s voor het scheiden van functionele netwerksegmenten. Dat doe je niet in een dag, dat was echt een hele lastige periode. Want de eerste week heeft iedereen begrip voor je situatie, maar als het langer duurt dan worden klanten toch ongeduldig.”
Hoewel mensen wel snappen dat het ingewikkeld is, waren veel mensen er op dat moment nog helemaal niet mee bezig. Sterker nog, zelfs de NOS kwam langs en de aanval was een onderwerp in het achtuurjournaal. De openheid van Pilz was er al heel snel, vertelt Peter. “Een halve dag waren we enigszins terughoudend maar daarna was er totale openheid naar buiten en kwam onze directeur in beeld bij de NOS met de geïsoleerde computer in een aparte ruimte waar een rood-wit lint omheen gespannen was.”
Die transparantie kenmerkt ook nu de houding van het bedrijf en de manier waarop Peter en Arjan vertellen over de afgelopen vijf jaar. Natuurlijk kunnen we een boekwerk vol schrijven over wat er in die periode allemaal gebeurde, maar interessanter is natuurlijk wat deze aanval heeft veranderd binnen het bedrijf en welke lessen ervan geleerd zijn.
Peter stelt: “Het belangrijkste wat je voor ogen moet houden is: als hackers echt binnen willen komen, lukt het ze altijd. De hoogste prioriteit heeft de vraag: wat doen we áls het gebeurt. Resilience – hoe ga ik ermee om. En dat bleken we niet op orde te hebben. Daar hebben we enorm veel van geleerd.” Er werd een internationaal crisisteam opgericht dat dagelijks via een videoverbinding vergaderde. Zo kregen we steeds beter een beeld van de omvang van de besmetting, wat er wel geraakt was, en ook wat niet. Wekelijks hielden we een vergadering met de salesmensen van Pilz om hen te ondersteunen om de klanten te blijven bedienen.”
Iedereen wende eigenlijk best snel aan de nieuwe situatie en er bleek heel veel relevante informatie in de hoofden van de mensen aanwezig. De grootste uitdaging was om zo snel mogelijk weer operationeel te zijn. Arjan vertelt hoe er natuurlijk ook vragen kwamen vanuit klanten. “Men wilden weten wat het voor hen betekende en of ze risico liepen. Dat was niet het geval, SAP werd niet geraakt, de productiemachines werden niet geraakt, de producten hebben geen risico gelopen. En we werden gevraagd om onze ervaringen te delen.” Nog steeds vertellen Peter en Arjan regelmatig hun verhaal. “Er is bewondering voor hoe we het hebben aangepakt, dat horen we regelmatig terug.”
Uit onverwachte hoek kwamen er soms nog bestanden in beeld die het bedrijf verloren achtte. Zo had de vormgever een back-up van de marketingbestanden van Pilz. Peter: “Natuurlijk moesten we ons ook afvragen of we soms iemand besmet hadden vanuit onze computers. Maar de angst daarvoor bleek groter dan het risico en we hebben bevestigd gekregen dat niemand geraakt is. Je moet zorgen dat je daar heel grondig in bent, want als je maar één foutje maakt, kun je weer helemaal opnieuw beginnen.”
Het gevoel dat er over de medewerkers kwam, was een combinatie van machteloosheid en strijdbaarheid, vertelt Peter. “Het heeft veel van de mensen gevraagd. Ook thuis moesten mensen hun routers resetten, wachtwoorden veranderen, telefoons vervangen en werd er gecommuniceerd via een aparte messagingdienst waarbij niet het telefoonnummer werd gebruikt maar unieke ID’s. Er was niet bekend hoe ver de besmetting van apparaten precies doorliep.” Maar aan de andere kant was er ook een sprake van enorme saamhorigheid, vertelde toenmalig Pilz directeur Jan Tournois aan de NOS: “Je hebt opeens een gezamenlijke virtuele vijand.”
Toen alles weer up-and-running was, brak de coronaperiode aan. “De meeste bedrijven hadden geen infrastructuur om mensen vanuit huis te laten werken, maar dat was bij ons inmiddels helemaal ingericht. We hadden alles in de cloud en iedereen kon zijn werk volledig vanuit huis doen. Teams was ook al helemaal ingeburgerd, dat was een geluk bij een ongeluk, zou je kunnen zeggen”, grijnst Peter.
Het is nu nog steeds een continu gevecht tussen cybersecurity en efficiency. “Áls er een datalek is, dan moet je zorgen voor de juiste aanpak, met externe ondersteuning en de interne afdeling en je moet altijd melding maken bij de juiste instanties. Cybersecurity moet echt een serieus onderdeel van je bedrijfsvoering zijn. In de nieuwe Machineverordening is het opgenomen als belangrijk onderdeel en ook de NIS2-richtlijn moet helpen om het echt op de kaart te krijgen. Vroeger werd cybersecurity alleen van toepassing geacht op de echt kritische infrastructuur, maar nu is het voor meer dan zestig procent van de bedrijven van groot belang.
Als producent van componenten moet je ook voldoen aan de Cyber Resilience Act en ervoor zorgen dat je producten gedurende de levenscyclus cyberveilig zijn. Deze richtlijnen en wetten hebben echte impact op je organisatie, alles wat je na 2027 uitlevert moet voldoen aan strenge eisen. Er gaan jaren overheen bij de ontwikkeling van nieuwe componenten. Dat kan als gevolg hebben dat bepaalde producten eerder uit worden gefaseerd. Maar wij richten ons erop om altijd Form, Fit en Function te behouden.”
Deze nieuwe en strenge wetten dwingen je om je roadmap aan te passen, je moet je tijdig aanpassen aan wetgeving.
Arjan vult aan: “Er is waarschijnlijk geen bedrijf zo bezig als wij met de combinatie van producten en diensten. Want je hebt geen safety zonder security. Een systeem dat te manipuleren is, geeft schijnveiligheid. Dus bij de beoordeling van een systeem kijken we naar beide aspecten. Door de groeiende aandacht voor cybersecurity de afgelopen jaren steeg de vraag naar onze diensten op dit gebied heel sterk. Daarom hebben we er een aparte tak voor ingericht. Want systemen hoeven niet helemaal verkeerd te zijn als ze niet voldoen, soms kun je met een paar kleine aanpassingen het geheel al beter maken. We hebben een aantal oplossingen naar de markt gebracht, bijvoorbeeld Identification and Access Management, dat slaat heel goed aan bij de eindgebruikers én bij de machinebouwers. Niet dichttimmeren, maar toegang reguleren en zo je risico’s beperken.”
Met dat IAM kun je bovendien voorkomen dat je IT je OT besmet, dus dat een virus in je kantoorpc’s je productieproces raakt. En dat mensen in de fabriek of van buitenaf iets kunnen wijzigen aan de machine of aan een recept. Door de introductie van diverse wetgeving is er veel rumoer en je ziet dat veel bedrijven zich afvragen hoe secuur ze eigenlijk zijn. Peter: “Het speelveld en de mindset veranderen daardoor. En vanuit de status machineveiligheid vinden mensen ons en onze expertise.”
“We kennen ook Pilz klanten die het zelf hebben meegemaakt”, vertelt Arjan. “Dat schept direct een band want je snapt wat een impact dat heeft. Sommige klanten zijn er zelf ook heel open over, maar anderen houden het liever onder de radar. Je wilt niet weten wat er in je bedrijf gebeurt als dit je overkomt, dat is echt heftig. De eerste winst is onze klanten helpen met de awareness die wij hebben opgedaan.”
“Ik zie vooral dat we er nu zelf in ieder geval veel bewuster mee bezig zijn. Waar je bij procesbedrijven iedereen de trapleuningen vast ziet houden, zie je bij ons dat iedereen met cybersecurity bezig is. Iedereen logt altijd uit van zijn systeem als ie van zijn plaats af loopt en houdt elkaar daar ook scherp op. Intern verspreiden we wekelijks een IT-update met tips, artikelen en quick wins. We houden het top of mind, zo kun je geen gegevens uit je bedrijfsmail kopiëren naar een andere mail en opent de firewall alle linkjes in inkomende mails. We worden dan ook bijna standaard uitgeschreven uit nieuwsbrieven”, lacht Arjan. En ook op de telefoons geldt een streng regime als het gaat om apps en waar die toegang toe krijgen.
Ook de hackers bleken een professioneel opererende organisatie te zijn. Peter: “In een read-me-bestand stond een telefoonnummer en daar kregen we als eerste een bandje te horen met ‘voor Engels, kies 1, voor Duits, kies 2’. En we werden vervolgens zelfs keurig te woord gestaan door een helpdesk. De forensische experts wilden natuurlijk graag weten of het een gerichte aanval was, of dat iedereen die met een bepaald softwarepakket werkte, getroffen zou kunnen worden. Maar het bleek een gerichte aanval en ook van hen was het advies: niet betalen.”
Pilz koos ervoor om open te zijn over wat er was gebeurd. “De meeste mensen waren er toen nog niet echt mee bezig. Zelfs de NOS kwam langs en we haalden het journaal. We hebben veel bewondering gekregen over hoe we het hebben aangepakt, maar het was niet echt een keus. Niet alleen de familie Pilz, maar de hele cultuur binnen het bedrijf, stelt dat we niet buigen voor criminelen.”
De directie van het bedrijf zag de impact die de hack en de gevolgen daarvan hadden op het personeel en reageerden daarop door iedereen een hart onder de riem te steken, vertelt Peter. “De saamhorigheid is enorm gesterkt door hoe de eigenaren van het bedrijf omgingen met het personeel. Ze stelden ‘We doen het samen’ en zo voelde iedereen dat ook. De bedrijfsleiding straalt vertrouwen uit en hanteert de focus en strategie dat men keuzes maakt op basis van de normen en waarden. De mens staat altijd voorop en duurzaamheid is belangrijk. We geven deze wereld door aan onze kinderen en kleinkinderen.”
Social engineering blijft, stelt Peter. Je hoort het wel vaker maar ook hij stelt dat het niet de vraag is óf, maar wánneer je wordt gehackt. “En kunstmatige intelligentie maakt het nog veel gevaarlijker. Je kunt dat ondervangen door bijvoorbeeld een codewoord af te spreken. Vanuit ons hoofdkantoor in Duitsland wordt er heel streng geselecteerd op welke programma’s er gebruikt mogen worden. Dan loop je natuurlijk het gevaar dat mensen proberen daar zelf iets op te verzinnen, maar we bespreken dat met elkaar. Waarom heb je dat nodig en wat is een veilig alternatief. Denk bijvoorbeeld aan passwordmanagers, websites of clouddiensten. We moeten met zijn allen bewust kijken waarom iets gebruikt zou moeten worden en of het veilig is. En we blijven onze kennis delen om anderen te helpen.”
En voor wat betreft de resilience, “De scenario’s en procedures zijn aangepast. Ook op papier. Zodat we die altijd paraat hebben en snel weer up and running kunnen zijn.”
Dit artikel delen op je eigen website? Geen probleem, dat mag. Meer informatie.
IndustrieVandaag is een onafhankelijk platform met het laatste nieuws van vandaag over de procesindustrie, industrial processing, productie industrie, maakindustrie en elektronica industrie.
Neem contact met ons op:
Tel +31 (0)23 737 07 63
Email via contactpagina
