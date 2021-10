Ruim een week na de cyberaanval op VDL Groep rollen er alweer auto's van de band bij VDL Nedcar in Born. Maar tot het concern, toeleverancier van ASML, Philips en DAF, behoren wereldwijd nog 104 bedrijven die nog altijd last hebben van de brutale digitale aanval. Acht vragen en antwoorden over gijzelsoftware.

Dit artikel is afkomstig uit het AD. Elke dag verschijnt een selectie van de beste artikelen uit de kranten en tijdschriften op NU.nl. Daar lees je hier meer over.

Een week geleden werd VDL platgelegd. Wat gebeurt er nu bij het bedrijf?

Wat er aan de hand is, zegt VDL niet, maar bronnen rond het concern melden dat het centrale it-systeem is gegijzeld. Criminelen blokkeren netwerken en geven die pas vrij nadat losgeld is betaald. Na zo'n cyberaanval zal het bedrijf een crisisteam formeren onder leiding van een externe partij die de regiefunctie neemt, schetst Dave Maasland van Eset internet security. "Wat is er gebeurd? Hoe kan de schade worden hersteld? En gesprekken met de criminelen worden gevoerd. Dat doet doorgaans de externe partij." In het crisisteam zitten, behalve de directie, mensen van de afdelingen communicatie, it, de operationele bedrijfsvoering en juridische zaken. "Klanten moeten bijvoorbeeld worden ingelicht als mogelijk klantdata zijn gestolen."

Wat doet het bedrijf om de getroffen IT-systemen weer aan de gang te krijgen?

De autofabriek in Born draait weer voorzichtig. Voor andere bedrijfsonderdelen die vanwege koppeling van productiesystemen aan internet niet kunnen draaien, hoopt het bedrijf zo snel mogelijk op een vergelijkbare oplossing. Grote vraag is of de criminelen ook de hand hebben weten te leggen op back-ups. "De laatste twee jaar zien we steeds vaker dat criminelen ook back-ups versleutelen", zegt Job Kuijpers, oprichter van cybersecurity-organisatie Eye en voormalig medewerker van de AIVD. De aanvallers worden volgens hem steeds slimmer, de criminele groeperingen groter en professioneler. "Maar ook als er back-ups zijn, kan het weken duren voordat alles weer normaal functioneert." Want een back-up terugzetten gaat niet altijd goed en soms missen nog data.

Betaalt VDL losgeld?

VDL zelf laat er niets over los. Volgens expert Maasland lijkt het er echter op dat VDL op eigen kracht probeert de systemen te herstellen, in plaats van dat losgeld is of wordt betaald om weer toegang te krijgen tot door criminelen versleutelde data. "Bedrijven van de omvang van VDL kunnen met waanzinnige hoge losgeldeisen worden geconfronteerd, van 0,5 tot 2 procent van de omzet. Dan heb je het over vele miljoenen euro's. Tegelijkertijd is het ook heel complex om voor 105 bedrijven de it-systemen opnieuw op te bouwen."



Hoe langer een slachtoffer van een cyberaanval daarna weer in de lucht is, hoe aannemelijker is volgens Maasland het scenario dat geen losgeld wordt betaald. "Criminelen willen heel snel hun geld hebben, over het algemeen binnen 48 uur. Ze willen het geld wegsluizen, hun sporen wissen en verdwijnen." Toch sluit hij het losgeldscenario niet uit. "Als je betaalt, ben je ook niet meteen weer online. Het is de vraag welke data je dan terugkrijgt en of alles nog werkt. Voordat je met de halve data die je terugkrijgt, weer alles hebt draaien, duurt het ook wel even."

Hoe groot is de financiële schade voor het concern?

Dat is lastig te bepalen, maar het omzetverlies valt al gauw op vele miljoenen euro's te becijferen. VDL rekent dit jaar op een omzet van zo'n 5 miljard euro, dat is bijna 100 miljoen euro per week. De gevolgen van de cyberaanval laten zich inmiddels een week voelen, maar de impact op de 105 individuele bedrijven van de groep verschilt. Duidelijk is dat autofabriek VDL Nedcar - goed voor een jaaromzet van meer dan 2 miljard euro - een week heeft stilgelegen. Bij andere bedrijfsonderdelen, zoals de busfabrieken, is in elk geval gedeeltelijk doorgewerkt.

Kan een verzekering de schade dekken?

Zo'n tien verzekeraars in Nederland bieden een verzekering met 'cyberdekking' aan, weet het Verbond van Verzekeraars. Hoeveel bedrijven zo'n verzekering hebben, is niet bekend. Maar volgens het verbond bedroeg de premieomzet van cyberverzekeringen in Nederland in 2020 een 'zeer bescheiden' 25 miljoen euro. De verzekeraar vergoedt doorgaans de geleden financiële schade en herstel van schade zoals vervanging van computers, systemen en herstel van data. Of ook losgeld is gedekt, hangt af van de voorwaarden. Verzekeraar Hiscox bijvoorbeeld heeft in de voorwaarden staan dat losgeld wordt vergoed als dat is betaald om de schade voor het bedrijf beperkt te houden.

VDL telt 105 bedrijven. Was het daardoor extra aantrekkelijk als prooi?

VDL nam de afgelopen jaren het ene na het andere bedrijf over, waarna systemen aan elkaar worden gekoppeld. En dat kan een risico zijn. "Het maakt de kans groter dat er ergens nog niet beheerde computers staan die kwetsbaar zijn", zegt Job Kuijpers. "Maar de segmentatie zorgt tegelijkertijd voor natuurlijke scheiding, omdat niet alles uit dezelfde systemen bestaat."

Hebben de criminelen nu ook privégegevens van de 15.000 werknemers?

Die kans is inderdaad aanwezig, zeggen experts. Vaak zijn criminelen al tot het netwerk doorgedrongen vóór de gijzeling van systemen, waarbij data digitaal zijn versleuteld, wordt ontdekt. Persoonsgegevens, zoals kopieën van identiteitsbewijzen, kunnen worden verhandeld op het darkweb, zeg maar de krochten van het internet waar criminelen zich ophouden. Die data kunnen bijvoorbeeld worden gebruikt voor identiteitsfraude. Ook kan openbaarmaking ervan dienen als drukmiddel voor het betalen van losgeld. Als persoonsgegevens zijn gelekt, zal het bedrijf dat op basis van de privacywetgeving AGV dienen te melden.

Criminele hackers slaan steeds vaker toe. Leren van digitale aanvallen kan echter een wapen zijn. Welke rol kan VDL daarin spelen?

Uit schaamte of angst voor reputatieschade houden door dergelijke aanvallen getroffen bedrijven de kaken op elkaar. "Uit angst voor imagoschade, dat je moet laten zien dat je zaken niet op orde hebt. We moeten allemaal accepteren dat we aan het leren zijn, dat we allemaal nog een lange weg hebben te gaan als het gaat om cyberveiligheid", zegt expert Maasland. Net als deskundige Kuijpers doet hij een dringend appel op VDL. "Wees transparant", adviseert Kuijpers. "Als VDL nu in een losgeldsituatie zit, speel je dat spel niet via de media. Maar het bedrijf moet zich wel bewust zijn van de voorbeeldfunctie in de regio."

In de regio rond Eindhoven zitten behalve VDL spelers als ASML, Philips, DAF, Signify (voorheen Philips Licht) en chipmaker NXP. "Voor het mkb, zeg maar de toeleveranciers van VDL en andere bedrijven, is ransomware het grootste probleem. Die kun je nu inzicht bieden." Expert Dave Maasland: "Ik hoop dat VDL durft te zeggen: er zijn fouten gemaakt. Dat VDL als commercieel bedrijf het stilzwijgen doorbreekt. Geen enkel bedrijf hoeft zich te schamen. Als verdediger tegen cybercriminaliteit moet je alles goed doen, terwijl je als aanvaller maar een enkel foutje nodig hebt."