Blomsma digitaal gegijzeld: hackers eisen €500.000 losgeld in Monero

Een ransomware-aanval. Zie het als een gewapende overval, maar dan digitaal. Hackers worden steeds brutaler en hun technieken geavanceerder. Familiebedrijf Blomsma kan het weten. Al ruim 30 jaar zijn zij als adviseur, producent en montage van (veiligheidskundige) signs afhankelijk van hun digitale infrastructuur. Altijd ging het goed, tot die ene dag waarop alle computerschermen op zwart gingen. Als slachtoffer praten zij mee over wat dit met je doet. ‘’Deze ervaring gun je niemand. Als ik iemand kan behoeden voor zo’n aanval met ons verhaal, dan doe ik dat graag’’ zegt Willem Heijboer, Algemeen Directeur van Blomsma.

Het is 23 oktober 2020 als de eerste werknemers ‘s ochtends binnen komen en zich realiseren dat het mis is. Alle computerschermen zijn geblokkeerd. Blomsma is compleet machteloos; digitaal gegijzeld. De bedrijfsvoering ligt plat en alle data zijn versleuteld. Bovendien kunnen de productiemachines niet meer aangestuurd worden. De telefoon van de ICT afdeling stond roodgloeiend. ‘Onze eerste reactie was dat het allemaal niet zo erg is’ vertelt Helmert van der Slik, financieel directeur bij Blomsma. ‘De data zijn onbruikbaar dus dan gebruik je toch gewoon de back-ups? Met een halve dag zagen we onszelf alweer aan het werk. Toen we hoorden dat onze back-ups ook grotendeels niet bereikbaar waren, zat de schrik er goed in’. 

Eerste stappen

‘We hebben gelijk onze accountmanager Armand Garabedian van Meijers gebeld die de situatie juist inschatte en de verzekeraar heeft ingelicht’ vertelt Helmert. ‘Diezelfde dag kwamen de hulptroepen al. Drie mensen van een groot consultancybedrijf, zo serieus werd het genomen’. Om grip te krijgen op de situatie waren een aantal vragen belangrijk: om welke ransomware-variant gaat het? Hoe ernstig is het? Wat is het geschatte schadebedrag als we zonder data zitten? En wat is straks de beste strategie voor de onderhandeling met de hackers.

Cowboyperiode

Wat volgde waren dagen waarin iedereen de schouders eronder zette. ‘Een belangrijk stuk van ons bestaansrecht was opeens weg: onze data. Project engineers zochten losse bestandjes uit oude e-mails bij elkaar om de productiemachines aan te sturen die we tijdelijk als stand alone hadden ingericht. Zo konden we de orders van onze klanten gelukkig nog voor een groot deel redden. Het was een cowboyperiode. Hier zitten ondernemers en creatieve mensen. De mentaliteit van onze collega’s bleek van onschatbare waarde: gewoon doorgaan en oplossingen zoeken’ vertelt  Willem. 

Betalen in Monero
Een paar dagen na de hack werd duidelijk wat de hackers eisten: €200.000 per besmette server in Monero. Dat is een cryptocurrency die anonimiteit biedt bij transacties. Willem: ‘Toen hebben we een partij in de hand genomen die voor ons onderhandelt. Vijf ton zou het kosten om alle data terug te krijgen. Dan zit je met een dilemma: gaan we betalen of doen we niks? Want wat is de werkelijke schade als je niet betaalt? En als je wél betaalt, hoeveel data ga je dan redden? Je snapt, het is kiezen tussen twee kwaden. Uiteindelijk hebben we door tweehonderdduizend Euro te betalen de meeste data terug gekregen’.

Waarom verzekeren?

Een flinke som geld als je bedenkt dat Blomsma laatst nog tienduizenden euro’s had geïnvesteerd in een nieuwe infrastructuur waarvan de veiligheid was gegarandeerd. Willem: ‘Dan vraag je jezelf af: waarom nog verzekeren? Je hebt er zelf geen verstand van en vertrouwt de mensen om je heen. Ik dacht dat onze cybersecurity op orde was, maar dat was dus een illusie. Ik voelde mij in mijn hemd gezet’.

Verstandige keus

‘Onze accountmanager bleef aandringen dat we ons tegen het cyberrisico moesten verzekeren. Op zijn advies hebben we de cyberverzekering vorig jaar toch aangeschaft. Achteraf een verstandige keus. Het heeft zich dubbel en dwars uitbetaald. Niet alleen financieel, maar ook door alle hulp die we kregen. Er gebeurden zoveel dingen die onze kennis en ervaring te boven gingen. Dan is het heel fijn dat er zoveel experts voor je klaar staan’ aldus Willem.

Lessons learned

‘Als ondernemer ben je niet alleen bezig met geld verdienen, je bedrijf is onderdeel van je leven. Wij zeiden wel eens tegen elkaar: was het pand maar afgebrand. Dan stroop je de mouwen op en kan je fysiek aan de slag. Het cyberrisico is zo onzichtbaar. En de onzekerheid over de veiligheid van je infrastructuur blijft altijd bestaan. We weten nu dat je het cyberrisico niet moet onderschatten. Daarom hebben we met hulp van de verzekeraar nu de juiste preventiemaatregelen getroffen’ zegt Willem. Helmert voegt toe: ‘denk niet dat je veiligheid van vandaag een garantie biedt voor morgen. Laat je verzekeren én laat cyberexperts je cybermaatregelen regelmatig beoordelen en controleren’.