Wat als jouw organisatie geïnfiltreerd wordt door cyberciminelen? Die vraag moet elk bedrijf zichzelf stellen volgens Patrick Hakvoort, manager infrastructuur bij Anthura. Hackers kijken welke data ze kunnen gebruiken voor zichzelf of hoe ze een bedrijf geld afhandig kunnen maken. Anthura heeft er ervaring mee: een kleine twee jaar geleden werd de Chinese vestiging digitaal aangevallen en lag het enige weken stil. Hakvoort: “Iedereen loopt het gevaar gehackt te worden, dus weet wat je moet doen als dat inderdaad gebeurt.”
April 2021 bleek de Chinese vestiging van Anthura gehackt. Alleen door de betaling van een flink bedrag (een ‘ransom’) zou het sierteeltbedrijf in Kunming weer toegang krijgen tot de eigen bedrijfsdata. De directie van Anthura besloot niet op de eisen in te gaan. Geholpen door een gespecialiseerd ‘Incident Response-organisatie’ kon Anthura op basis van bestaande back-ups de productie toch hervatten. In totaal lag de Chinese vestiging twee weken stil en verloor het zo’n 5 tot 10 procent van alle data.
Het incident was vooral ook een waarschuwing aan het adres van Anthura: hackers liggen op de loer. Digitale veiligheid werd vanaf dat moment nóg serieuzer genomen. “De ogen zijn toen echt geopend”, vertelt Patrick Hakvoort, sinds medio 2021 bij Anthura verantwoordelijk voor de infrastructuur. “We hebben besloten open te zijn over wat ons is overkomen, want we willen dat ook andere bedrijven in de keten zich bewust zijn van de gevaren.”
Patrick, hoe kon de hack in China gebeuren?
“Hackers zijn binnengekomen via een oude klimaatcomputer waarop nog een oude versie van Windows en van Teamviewer draaide. Ze hebben eerst onderzocht hoe en wanneer ze ons het beste konden aanvallen. Vervolgens verscheen op een computer het ransom-bericht. Gelukkig deed een oplettende medewerker het enige juiste: de netwerkkabel eruit trekken, maar de stroomkabel laten zitten. Want als je de stroom eraf haalt, dan heb je na afloop geen forensisch bewijs waarmee je de hack kunt onderzoeken.”
Er zat dus enige tijd tussen de hack en de afpersing?
“Ja, daar zitten altijd enkele maanden tussen. Hackers zijn goed georganiseerde bedrijven. Eén afdeling hackt, de volgende afdeling onderzoekt en de derde doet de afpersing. Ze hebben een klantenservice, een receptie. Vaak zijn het Russische bedrijven: die willen disruptie, dus een bedrijf platleggen en dan geld eisen. Chinese hackers werken anders: die zijn vooral op zoek naar data voor eigen gebruik. Die vragen dus geen ransom, maar houden zich stil, zodat ze zo lang mogelijk data kunnen verwerven.”
Welke stappen heeft Anthura sindsdien genomen?
“Anthura heeft veel digitaal contact met andere bedrijven. Daar zit een groot deel van de kwetsbaarheid. Zo kunnen leveranciers in onze systemen voor het bieden van support. Dat gebeurde eerder via internet en Teamviewer, maar we zijn inmiddels overgestapt op VPN (een versleutelde verbinding). Daar wil ik ook mee stoppen: ik wil dat we nog meer controle hebben over wie in onze systemen komt, hoe lang en met welke rechten.”
Begrijpen jullie klanten en leveranciers die stappen?
“Soms is het lastig. Ze vinden het een beperking. Daarom leggen we goed uit waarom we die stappen zetten en vooral ook wat zíj eraan hebben. Als wij digitaal veiliger werken, dan is dat ook in hun voordeel en in dat van hun klanten. Daarom vertellen we het verhaal over de hack in China ook aan de buitenwereld: we voelen ons verantwoordelijk voor het hele glastuinbouwcluster.”
Weet iedereen binnen Anthura wat te doen bij een hack?
“We zijn het afgelopen jaar gestart met het trainen van onze medewerkers. Ze krijgen korte trainingen. Dankzij kunstmatige intelligentie zijn die trainingen aangepast aan ieders niveau. Zo leren ze wat te doen bij een hack, hoe ze phishing kunnen herkennen en deze ook eenvoudig kunnen rapporteren. Daar hebben ze niet alleen op hun werk wat aan, maar ook privé.”
Anthura wordt dus nu niet meer gehackt?
“Ik houd er altijd rekening mee dat het netwerk van Anthura op dit moment gecompromitteerd is en dat er dus een hacker in ons systeem is. Of we dat kunnen controleren? Uiteraard doet Anthura er alles aan om ongewenste indringers buiten de deur te houden, maar dit zal nooit 100% effectief blijken. Met de mogelijkheden die we hebben, zijn we maximaal beschermd. Naast preventie zorgen we ervoor de dat de mogelijke schade ten gevolge van een hack tot een minimum beperkt wordt.”
Waarom zijn jullie aangesloten bij het Cyberweerbaarheidscentrum Greenport?
“Binnen de tuinbouw zijn veel bedrijven digitaal met elkaar verbonden; in de keten maar ook bijvoorbeeld leveranciers. Met de andere deelnemers aan het Cyberweerbaarheidscentrum willen we kennis en ervaringen uitwisselen. Daar leren we van en misschien dat we ketenpartners kunnen helpen met ons verhaal.”
Wat adviseer je andere bedrijven te doen?
“Begin met jezelf te vragen: wat is onze core business, dus wat moeten we beveiligen? Zo is onze afdeling R&D een van de kernactiviteiten, want daar ontwikkelen we nieuwe rassen. Voor deze afdeling gelden andere en strengere beveiligingsmaatregelen. Wees ook kritisch op klimaatcomputers. Daarvan wordt vaak gezegd: laat die maar draaien, want die doet het al tientallen jaren goed. Dat zijn dus vaak verouderde IT-systemen en dus schuilt daar een gevaar. En wees open richting jouw ketenpartners, want digitale veiligheid doen we samen.”
Cybercafé op 30 maart
Anthura en het Cyberweerbaarheidscentrum Greenport organiseren op 30 maart een cybercafé over ‘incident response’, ofwel: wat moet u doen als uw bedrijf gehackt blijkt? Wil je dit Cybercafe bijwonen, houd dan onze website in de gaten voor meer informatie.