Michel Klompmaker
Het overkwam een aantal woningcorporaties enige tijd geleden. Eén van de gehackte partijen, Zayaz uit Den Bosch, gaf opening van zaken aan de Controllers Circle Corporatie, afgekort CCC, tijdens een bijeenkomst begin oktober in de voormalige Willem II sigarenfabriek in Den Bosch. Frank Smits, controller bij Zayaz vertelde samen met zijn collega Etienne van den Broek over het hoe en waarom. Maar ook wat ze ervan geleerd hebben.
De hack was zeer ernstig, ID-bewijzen en bankgegevens waren in handen van de criminele hackers uit Rusland. Er volgde een crisisberaad toen de hack geconstateerd werd. Alle drie de lijnen van de organisatie, eerste lijn, tweede lijn met business en financial controllers en derde lijn met concern controller en audit afdeling werden erbij betrokken en ingeschakeld. Losgeld werd geëist. De Autoriteit Persoonsgegevens en de Politie werden op de hoogte gesteld. Daarnaast werd de externe partij Northwave ingeschakeld en een speciaal team geformeerd met als naam Formatie Incident Response Team.
Hoe zag het er qua tijdlijn eruit? In maart vond de hack plaats. Kort daarna begonnen de onderhandelingen met de hackers en werd er geïmproviseerd en aan het herstel gewerkt. Dit duurde ruim zes maanden. Het besluit was genomen om niet te betalen. Bewijs werd verzameld van de gestolen data en een forensisch onderzoek kwam van de grond.
Wat vooraf ging
In 2020 is een audit uitgevoerd mede met oog om de weerbaarheid tegen een hack te meten. Achteraf is gebleken dat er een verkeerde inschatting heeft plaatsgevonden van het risico en de samenhangende impact. Al geruime tijd zijn Nederlandse bedrijven en organisaties het doelwit van Russische en Chinese hackers. Zo was onder andere de KNVB slachtoffer, waarbij de voetbalbond een standje kreeg van de Autoriteit Persoonsgegevens, afgekort AP. De KNVB houdt met het betalen van losgeld een verwerpelijk verdienmodel in tand aldus de AP. Niet alleen commerciële bedrijven staan op de lijsten van de hackers maar ook ziekenhuizen en goede doelen organisaties. Het gevolg van het een en ander is dat verzekeringsmaatschappijen in het gat gesprongen zijn en tegen betaling van forse premies het een en ander wel wensen te verzekeren. Het onbedoelde effect zou kunnen zijn dat hackers op zoek gaan bedrijven die toch tegen cyberhacks verzekerd zijn, met het idee dat die eerder bereid zullen zijn om losgeld te betalen…
De gevolgen
Volgens de extern uitgevoerde audit was er bij Zayaz sprake van een zogenaamd beheerst volwassenheidsniveau. Met andere woorden het proces is gedefinieerd en de processen die goed lijken te werken, worden herhaald. De taken, verantwoordelijkheden en bevoegdheden voor de diensten zijn gedefinieerd en er is sprake van een beheerst proces.
Frank Smits ging nader in op de gevolgen en in dit verband zei hij andere andere het volgende:“Volgens onze IT-dienstverlener zouden we met drie dagen weer in de lucht zijn. Al gauw bleek dat het drie weken zouden worden. En daarna bleek dat het wel eens drie maanden kon gaan kosten voordat we weer volledig waren hersteld van de hack. Uiteindelijk hebben we negen maanden nodig gehad!”
Etienne van de Broek vulde aan met : “Zorg dat je het calamiteitenplan geprint op de plank hebt liggen. Als je gehackt wordt kun je het calamiteitenplan niet even op je scherm oproepen”.