Medewerkers kunnen niet meer inloggen en back-ups zijn onbenaderbaar. Opeens volgt het bericht: we zijn gehackt. Gelijk daarna belt de hacker en eist een miljoen in bitcoins om jouw bedrijf weer in de lucht te krijgen. Ga je betalen?
Ontdek de timeline van een hack in deze simulatie van minuut tot minuut. Leer hoe je jouw bedrijf kunt beschermen tegen cyberaanvallen.
Dit soort vragen komen aan de orde tijdens onze security-simulaties, waar we een hack van minuut tot minuut naspelen in een tabletop-sessie.
En dat ziet er ongeveer zo uit.
Timeline van een hack
08.30: Een dag als alle anderen. Sommige medewerkers loggen op hun werkplek in, anderen werken thuis. De koffiemachine draait overuren en de late ontbijters verorberen hun boterham achter het toetsenbord terwijl ze hun mail checken.
08.32: Een medewerker wordt uit zijn mailbox gegooid en belt ICT.
08.35: Een tweede medewerker belt ICT. De offertetool is niet meer bereikbaar.
08.39: Een derde medewerker krijgt de pc niet ingelogd, maar ze weet zeker dat ze haar wachtwoord goed heeft ingevoerd.
08.51: Overleg op de ICT-afdeling tussen de medewerkers en de manager, als de telefoon overgaat. Een medewerker ziet een zwart scherm met groene letters, zoals in de Matrix-films. Grote letters vertellen een onheilspellend verhaal: 'U-R hacked".
08.53: Paniek bij ICT. Dit is echt. De ICT-manager belt de directie.
09.12: De directie roept het MT bij elkaar. Zo ontstaat een geïmproviseerd crisisteam, maar de situatie is niet ideaal. Twee MT-leden werken thuis en kunnen door de hack niet meer inloggen in Teams.
09.18: De senior van de ICT-afdeling heeft slecht nieuws: van de server verdwijnt 100 gigabyte aan data per minuut. En de back-ups zijn niet bereikbaar.
09.19: Spoedoverleg tussen de beheerders. Trekken we de stroomkabel uit de server? Dan beperken we het dataverlies, maar wissen we ook de sporen van de hacker uit het geheugen. Besloten wordt om de netwerkkabel uit de server te halen en alle processen te stoppen. Voor het gevoel is dat de beste keuze.
09.25: Een landelijk dagblad belt met de receptie, omdat er vreemde Chinese tekens op de website staan. Is het bedrijf gehackt? De medewerker vertelt dat haar computer het niet doet en dat ze iets over een hack heeft gehoord, maar dat ze dit moet navragen bij haar leidinggevende.
09.31: De ICT-manager wordt gebeld door een buitenlands nummer. Een vervormde stem noemt een adres op het netwerk waar moet worden ingelogd. De hacker vertelt dat er op die plek een chatgesprek kan worden gevoerd.
09.44: Met trillende handen logt de ICT-manager in op de link. Hij houdt rekening met het worst-case-scenario en krijgt (helaas) gelijk. De hacker heeft alle servers kunnen versleutelen en een deel van de aanwezige data vernietigd. Hij wil wel de back-ups vrijgeven, maar tegen een forse prijs: twintig bitcoins, omgerekend meer dan een miljoen euro.
09.59: Druk overleg in het MT. Betalen we of niet? Alle voors en tegens worden besproken. Een betaling betekent dat het bedrijf verder kan. Maar wie zegt dat de hacker niet terugkomt?
10.15: HR loopt de directiekamer binnen omdat ze de thuiswerkers niet kunnen bereiken, want de telefoonlijst stond op de gehackte server. De directie parkeert het probleem. Dit heeft nu even geen prio.
10.20: De journalist belt terug om te vragen of er klantgegevens op straat zijn komen te liggen. Achter de schermen wordt nog uitgezocht wie de journalist te woord staat en wat het antwoord precies moet worden.
10.41: De directie besluit: We betalen niet. We halen het bedrijf van het netwerk af en sturen onze mensen naar huis. In de komende dagen laten we de leverancier de back-up van de back-ups terugzetten en de infrastructuur opnieuw opbouwen.
Zou jij hebben betaald?
Bovenstaande timeline van een hack klinkt dramatisch. Dat klopt, want zoals wij het beschrijven is precies hoe het kan gaan.
Zou jij de hacker hebben betaald of niet? In het voorbeeld hierboven was het de juiste keuze om niet te betalen. Immers: als de dader weet dat je gemakkelijk betaalt, kun je over een paar maanden opnieuw gechanteerd worden met gestolen klantdata.
En daarom is het belangrijk om over dit soort dingen na te denken voordat er iets misgaat.
Als een brandalarm afgaat, dan weet iedereen wat er moet gebeuren. Maar bij een hack is dit – zo hebben wij gemerkt – bijna nooit zo. Medewerkers improviseren onder druk, maar doen dit op gevoel en niet op ervaring.
Daarom organiseren we met onze klanten regelmatig cyber security simulaties, waarin we deze noodsituaties simuleren in een tabletop-sessie. We stellen daarin de medewerkers voor lastige dilemma's, zodat ze bij een echte hack precies weten wat ze moeten doen of zeggen.
Wil je ook zo'n tabletop-sessie? Neem contact met ons op en we plannen er eentje in.
Over de auteur
Jean-Paul Bingen is Security Awareness Lead bij Delta-N en helpt bedrijven te ontdekken wat ze kunnen doen in noodsituaties.