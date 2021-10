Foto: Bram Saeys voor het FD

In het kort Overheden en bedrijven delen meer informatie met elkaar over cyberdreigingen.

Toch ging het bij maakbedrijf VDL goed mis.

Meer informatie delen kan helpen, maar het is belangrijker dat bedrijven vooral naar zichzelf kijken.

Frank Breedijk is chief information security officer bij IT-bedrijf Schuberg Philis. In die functie helpt hij bedrijven hun IT-infrastructuur afdoende te beveiligen. Maar 's nachts en in het weekend gaat het werk van Breedijk als het nodig is gewoon door. Dan als vrijwilliger bij de DIVD, het Dutch Institute for Vulnerability Disclosure.

Binnen de DIVD werkt hij samen zo'n zestig andere vrijwilligers die Nederland beter willen beschermen tegen cyberaanvallen. Zodra er ergens een kwetsbaarheid opduikt, zijn zij er als de kippen bij door zowat het gehele internet af te scannen. Wie kwetsbaar is, kan in veel gevallen een mailtje of telefoontje verwachten.

'Het samenwerken en informatie uitwisselen gaat steeds beter', zegt Breedijk. Met het Nationaal Cyber Security Centrum bijvoorbeeld, en het Digital Trust Center (DTC) van Economische Zaken. Ook dit DTC waarschuwt individuele bedrijven. In de regio Eindhoven, waar maakbedrijf VDL gevestigd is, gaat de samenwerking zelfs nog wat verder. Daar geven hightech- en maakbedrijven elkaar continu dreigingsinformatie door.

Goed mis

En toch ging het ruim een week geleden goed mis bij VDL. Over de omvang wil het bedrijf nog altijd niks kwijt. Wel is duidelijk dat verschillende fabrieken in binnen- en buitenland de productie moesten staken. Pas na zes dagen rolden er woensdag weer auto's van de band. Over de meeste andere fabrieken is er nog altijd geen nieuws. Schiet er dan toch nog wat tekort in het Nederlandse cyberbeleid?

'Het zou van onschatbare waarde zijn als VDL meer informatie deelt', zegt Guido Dam, cyberveiligheidsconsultant bij Cyber Warriors. 'Ik zou heel graag weten wat er precies misging, zodat we die kennis kunnen gebruiken om de rest van de BV Nederland weerbaarder te maken tegen hackers.'

Daar is wat voor te zeggen. Toen Universiteit Maastricht eind 2019 werd getroffen door gijzelsoftware, maakte de instelling vrijwel alles openbaar. Iedereen mocht de laptop zien waar de besmetting startte en technici konden tot in detail teruglezen wat beter had gekund. Op basis van de ervaringen in Maastricht schroefden andere universiteiten hun eigen beveiliging op.

Vragen in bestuurskamer

Dave Maasland, ceo van de Nederlandse tak van antivirusmaker Eset, gelooft niet dat meer kennisdeling het wondermiddel is. 'Ik denk dat de informatievoorziening nu een 7 is. Het kan zeker beter, maar uiteindelijk verwachten in de echte wereld ook niet dat politie bij iedereen komt controleren of de deur op slot staat.'

Technisch valt er waarschijnlijk vrij weinig te leren van de aanval op VDL, denkt hij. Criminelen bedenken volgens hem echt geen nieuwe aanvalsmethoden, als oude nog technieken nog werken. In vrijwel alle gevallen betekent het dat de criminelen ofwel zijn binnengekomen via een 'openstaande poort', bijvoorbeeld omdat een server niet up-to-date is gehouden en wel rechtstreeks was verbonden met het internet. Ofwel dat een medewerker op een linkje in een phishingmailtje heeft geklikt.

Maasland hoopt vooral dat de hack bestuurders aanzet om hun IT-afdeling te bevragen: 'Hebben we geoefend op een scenario met gijzelsoftware? Hoe snel kunnen wij back-ups terugzetten? Hoe vaak testen we of onze back-ups werken?'

Van ei naar ui

Veel bedrijven moeten volgens Maasland de beveiliging ombouwen van een ei — harde schil, maar zodra je binnen bent, heb je overal toegang toe — naar een ui, waarbij elk laagje een beetje bescherming biedt. Die manier van kijken is niet heel nieuw, maar in de praktijk heeft vrijwel geen enkel bedrijf zijn beveiliging zo gelaagd opgezet. 'Elke laag kan helpen om de criminelen te detecteren als ze eenmaal binnen zitten.'

Hoe de beveiliging bij VDL precies werkte, is niet bekend, maar aangezien alle 105 bedrijven zijn geraakt, lijkt het systeem gecentraliseerd ingericht. In zijn jaarverslag benadrukt VDL juist ook al zijn systemen met elkaar te willen integreren.

Technologieconcern Aalberts uit Utrecht, dat net als VDL levert aan onder andere ASML, koos de afgelopen tijd bewust een andere route. 'Wij hebben geen centrale systemen. Bij ons zit de software in de business-clusters of in de stand-alone-bedrijven. Dat is altijd een bewuste keuze geweest', zegt ceo Wim Pelsma. Daarnaast maakt het bedrijf continu back-ups. 'Als je iets overkomt, dan kunnen we snel herstellen, onze programma’s opnieuw installeren en je data weer binnenhalen. Dan hoef je hackers ook niets te betalen.’

Garantie dat Aalberts nooit geraakt wordt is er niet. 'Het is een race tegen een andere wereld die ook weer nieuwe dingen verzint. Je kunt nooit uitsluiten dat er iets gebeurt.'