Sjors Brul, oprichter en eigenaar van Sbit, is nog maar een aantal uren terug van vakantie als hij ’s avonds laat een dringend telefoontje krijgt. Een internationale hotelketen met meer dan twintig hotels is het slachtoffer van een cyberaanval. Een reconstructie van een meer dan ingrijpende operatie.
Op alle beeldschermen in de hotelorganisatie popte het bericht op dat de cybercriminelen ‘binnen’ waren, er contact met de helpdesk gezocht moest worden en dat er een aanzienlijk bedrag aan Bitcoins overgemaakt diende te worden om weer toegang tot de eigen pc’s te krijgen. Want alle pc’s waren gegijzeld. ‘Ransomware’ zorgde ervoor dat alle pc’s versleuteld raakten, maar ook de servers kunnen gegijzeld zijn. “Dat weet je als hotelier op dat moment nog niet”, vertelt Brul. “Het eerste wat je moet doen is niet in paniek raken, vervolgens zet je alle toegangen tot het internet uit. Dat betekent dus dat je de hele organisatie voor een groot deel lam legt. In dit geval ging het om ruim twintig vestigingen verdeeld over zeven landen.”
Vleugellam
Pc’s uit, kassa’s uit, servers uit en werkstations uit. De organisatie moest vleugellam gemaakt worden om op een gedegen wijze te onderzoeken hoe en wanneer de criminelen waren binnengekomen en wat het plan van aanpak moest worden om de systemen weer schoon te vegen. “Wat je absoluut niet moet doen, is zelf aan de slag gaan.”
Een cyberaanval is een misdaad en moet ook zo benaderd worden. Een forensisch team moet onderzoek doen, gedegen onderzoek. Dit team, een ‘Red-Team’ geheten, wordt aangewezen door de cybersecurity verzekeraar. Zij gaan aan de slag met twee vragen: wat is er allemaal geraakt? En hoe heeft dit kunnen gebeuren? “En in de tussentijd lag de organisatie nog altijd plat. Het is gewoon terug naar pen en papier. De schade voor de gehele organisatie liep in dit geval op tot 100.000 euro per dag.” Het Red-Team onderzoekt hoe de criminelen zijn binnengekomen en gaat aan de slag met de systemen. “Wij, als ICT-dienstverlener, onderzoeken de kwaliteit van de back-ups. Dat doen we overigens iedere dag, om te controleren of ze werken maar ook om te kijken of ze op een veilige plek staan. Ook de back-ups worden vaak door deze hackers beschadigd, Wij hebben daar echter een beveiliging voor.”
Waar de criminelen voornamelijk naar op zoek zijn is chantabele informatie. Dat kan informatie zijn over gasten. “Maar creditcardgegevens zijn als het goed is niet meer terug te vinden in de systemen. Verder richten ze zich op het PMS-systeem, maar ook op het online gedrag van de medewerkers. Welke websites zijn bezocht, welke filmpjes zijn bekeken… Dat soort informatie. Dat is chantabele informatie waarvan je als organisatie niet wil dat het op straat komt te liggen. De imagoschade die je oploopt op het moment dat naar buiten komt dat je digitaal kwetsbaar bent is immens.”
Communicatie
De criminelen zitten uiteraard niet stil op het moment dat het Red-Team aan de slag gaat. Zij zien die activiteit en handelen daarnaar. “Ze bellen op met de mededeling dat zij namens Microsoft hun diensten aanbieden en dat het zo vervelend is dat je organisatie is gehackt. Maar zij hebben de oplossing. Een ander advies is dan ook: vertrouw niemand en communiceer met je eigen mensen. Je bent als organisatie bijzonder kwetsbaar op het moment dat je aangevallen wordt. Er staat gewoon een leger voor je deur”, aldus Brul.
Om te voorkomen dat cybercriminelen binnen komen, is het verstandig om te weten hoe ze binnen kunnen komen. Dat kan op een aantal manieren. Via ‘phishing’, een update die niet of niet goed is uitgevoerd of een inbreuk in de softwaresystemen van het bedrijf via een medewerker die vanuit een privélaptop werkt en dus minder goed beveiligd is, wat veel tijdens de verschillende lockdowns gebeurde. “In het geval van deze casus, waarin ruim twintig hotels het slachtoffer werden, ging het om een niet goed uitgevoerde update. Het Red-Team kwam erachter dat in dit geval de criminelen al vier maanden binnen waren. Dat betekent dat alle back-ups die in de tussentijd zijn gemaakt, niet te vertrouwen zijn.”
Systemen werden gereset naar de laatste veilige status, of in het slechtste geval volledig vervangen. Vanaf dat nulpunt moest alle data onderzocht worden en op betrouwbaarheid en veiligheid worden getoetst. Monnikenwerk. Sjors Brul spreekt over ‘White Listing’; het één voor één goedkeuren van websites en systemen. “In het geval van deze zaak hebben we vier maanden in die ‘White Listing-modus’ gewerkt. Stap voor stap iedere website en iedere link als veilig bestempelen voordat deze weer gebruikt kon worden. We hadden het geluk dat deze hotelketen met het PMS-systeem in een hosted omgeving werkt en we vrij snel konden concluderen dat het PMS-systeem niet aangevallen en dus veilig was.”
Een geluk bij een ongeluk. Maar op het moment dat de eigen softwaresystemen weer veilig te gebruiken zijn, is het onontkoombaar dat er onderhandeld moet worden met de criminelen om de gestolen informatie ‘terug te kopen’. “Dat doet een ‘negotiator’ en na een akkoord heb je als hotelier natuurlijk nooit de volledige zekerheid dat de informatie niet op straat komt te liggen. Het blijven criminelen. Het beeld dat lange tijd heerste dat een hacker vanuit zijn zolderkamertje probeert in te breken, is allang niet meer de juiste. Het zijn professionele organisaties met meerdere afdelingen die precies weten wat ze moeten doen. Het is zaak om je als hotelier daar tegen te wapenen.”
Bewustzijn
Dat doe je volgens Brul allereerst door in de organisatie bewustzijn te creëren over de gevaren van cybercriminaliteit. “De hotellerie geeft daar steeds meer aandacht aan, maar het kan beter. Het gaat vaak mis in de onwetendheid. Wat doe je als je per ongeluk op een verdachte link hebt geklikt? Vaak zwijgen medewerkers daarover, ook uit schaamte. Hoe eerder er melding van wordt gedaan, hoe beter het kwaad bestreden kan worden. Het gevaar zit ‘m in de onzichtbaarheid, maar bij veel hotels staat de digitale deur op een kier of zelfs verder. Aan de oppervlakte is niets te zien, maar een aantal maanden later kunnen de gevolgen desastreus zijn.”
Checklist cyberaanval
Een cyberaanval op de hotelorganisatie is de uitkomst van vaak maandenlange voorbereiding van cybercriminelen. De criminelen maken hun eis kenbaar als ze voldoende gevoelige informatie hebben weten te verzamelen. Welke stappen dien je als hotelier te nemen als je wordt geconfronteerd met een cyberaanval?
1. Raak niet in paniek en ga niet zelf op onderzoek uit
2. Schakel de internetverbinding uit
3. Neem contact op met de cybersecurity verzekering
4. Laat forensisch onderzoek doen
5. Vertrouw niemand
6. Houd het team op de hoogte
7. Informeer de autoriteiten binnen de gestelde wettelijke termijn
8. Controleer back-ups
9. Maak inzichtelijk wanneer de criminelen in het systeem zijn gekomen
10. Wantrouw alle informatie die daarna in de systemen zit
11. Herstel de systemen
12. Neem corrigerende maatregelen, zodat de kans op een nieuwe aanval kleiner wordt.
Beter is het natuurlijk om dit alles te voorkomen. Maak een afspraak met een van onze specialisten via onze website of bel 0182 747 000