Mijn Tools

Log in voor Mijn tools.

Mijn profiel

Homepage
Terug

De hack van Baan Twente

Ondernemerschap
Leestijd: 12 min

Samen Digitaal Veilig helpt BOVAG-ondernemers om weerbaarder te worden tegen cybercriminaliteit. BOVAG-lid Baan Twente was bereid om zich voor dit project doelbewust te laten hacken. Eric Luttikhuis van Baan Twente en ethisch hacker Richard Klein vertellen wat er toen gebeurde.  

Eric Luttikhuis is financieel directeur bij Baan Twente, dat met vestigingen in Hengelo, Rijssen en Oldenzaal onder meer de merken Mercedes-Benz, Ford en Fuso (bedrijfswagens) voert. Eric is bij Baan ook verantwoordelijk voor de digitale veiligheid. “Bij Baan Twente maken we daar werk van, niet alleen door investeringen in de digitale infrastructuur, maar ook door het volgen van workshops. Ik herinner me er bijvoorbeeld één van een importeur. Dat was een echte eyeopener. Daar werd duidelijk hoe geraffineerd hackers te werk gaan. Ze kunnen inspelen op zaken die leven. Met mailtjes die relevant lijken voor de organisatie en tegelijkertijd de nieuwsgierigheid prikkelen, proberen ze je te verleiden om op een link te klikken. Dat kan ingrijpende gevolgen hebben. In het ergste geval word je digitaal gegijzeld. Dan gaan alle computers en systemen ‘op zwart’ en eisen hackers een aanzienlijk bedrag in ruil voor de sleutel die weer toegang geeft. In de branche hebben we daar voorbeelden van gezien. Zo heeft de digitale gijzeling van Bochane (zie BOVAGkrant 09-2021, red.) grote indruk gemaakt. Zelf hebben we ook met een aanval te maken gehad. Een deel van onze systemen kwam toen plat te liggen en de hackers kregen toegang tot bepaalde informatie. Gelukkig was de impact beperkt, vooral doordat we veel informatie gesegmenteerd opslaan.”  

Actie en reflectie

“Hoewel het cyberincident binnen ons eigen bedrijf geen grote gevolgen had, hebben we wel direct extra actie ondernomen”, zo vervolgt Eric Luttikhuis. “We hebben aanvullende aanmeldprotocollen ingevoerd zoals tweetrapsverificatie en onze medewerkers zetten sindsdien hun scherm op slot als ze hun werkplek verlaten. Dat zijn praktische punten, maar in mijn optiek heeft het incident vooral op een ander punt winst opgeleverd: het heeft iedereen in de organisatie op scherp én aan het denken gezet. Daarbij is er een belangrijke omslag geweest. We hebben lang gedacht: hoe interessant zijn wij en onze informatie nou helemaal voor cybercriminelen? Nu denken we: wat gebeurt er als alles op zwart gaat en er geld wordt geëist? En vooral: hoe kunnen we dat voorkomen?” 

De aandacht voor cyberveiligheid bij Baan Twente is volgens Eric Luttikhuis alleen maar sterker geworden door incidenten binnen het eigen bedrijf en bij andere: “Het onderwerp heeft hoge prioriteit, maar je moet ook kritisch blijven. Je kunt wel denken dat je het goed voor elkaar hebt door te investeren in cybersecurity, maar is dat ook echt zo? Toen we onszelf die vraag stelden, moesten we erkennen dat we eigenlijk niet wisten hoe we er daadwerkelijk voor stonden. Daarom hebben we gereageerd op de oproep die BOVAG in het kader van Samen Digitaal Veilig deed en waarbij onze digitale weerbaarheid getest zou worden door een ethisch hacker.” 

Via BOVAG kwam Baan Twente in contact met ThreadStone Cyber Security, waar ethisch hacker Richard Klein werkzaam is. Over en weer legden Baan en ThreadStone afspraken vast. Eric: “Wij gaven toestemming om ons te laten hacken en ThreadStone bevestigde dat de hackpoging(en) met goede intenties zouden worden uitgevoerd. Ook het persoonlijke contact droeg bij aan een professioneel en prettig gevoel. Toen ook nog bleek dat de hackpoging uitgevoerd kon worden zonder dat onze processen zouden worden verstoord, konden we direct door naar de uitvoering.”  

“Wees u ervan bewust dat uw bedrijf continu bloot staat aan online aanvallen ”
Richard Klein | ThreadStone Cyber Security

De hacktest

Ethisch hacker Richard Klein voerde namens ThreadStone een hacktest uit bij Baan Twente. Richard: “Dit is een digitale aanval waarbij we kijken hoe ver we in de organisatie kunnen doordringen en welke systemen we daarbij eventueel kunnen ‘gijzelen’. De hacktest richt zich primair op de site en de mailadressen. We zijn in staat dat te doen zonder dat een bedrijf daar last van heeft: alle online processen kunnen gewoon doorgaan. Klanten merken er niets van. Zij kunnen informatie opzoeken, een auto configureren, een werkplaatsafspraak maken etc. De hacktest maakt samen met aanvullende checks en een analyse van ons bedrijf de technische kwetsbaarheid van het computernetwerk duidelijk. Ons doel is om dat helder en duidelijk te maken voor de klant. Ik hoef bij de meesten bijvoorbeeld niet over een SQL-injectie te beginnen. Als ik in plaats daarvan zeg dat het eenvoudig is om van buitenaf belangrijke gegevens uit een database te halen, zie je die klant direct reageren.”  

Eric Luttikhuis is blij met de pragmatische aanpak van Richard Klein: “Uit de aanval kwamen aandachtspunten naar voren, maar overall bleek dat we er heel behoorlijk voor stonden. Het mooie is ook dat Richard ons heeft gewezen op zaken die op het gebied van cybersecurity ogenschijnlijk een bijrol spelen. Zo zijn bepaalde systemen en functies binnen ons bedrijf op afstand te bedienen via een smartphone. Ook online dus. Die systemen zijn niet de eerste waar je aan denkt als het gaat om het uitvoeren van updates, terwijl dat wel heel relevant is. Zoals Richard het ons uitlegde: je wéét dat je een deur hebt, je bent ervan overtuigd dat hem op slot hebt gedaan, maar in werkelijkheid staat hij open. Cybercriminelen zijn daar gek op.”  

“We hebben lang gedacht: hoe interessant zijn wij en onze informatie nou helemaal voor cybercriminelen? ”
Eric Luttikhuis | Baan Twente

De vaart er in

Richard Klein voerde de hacktest in een weekeinde uit en deelde direct op maandag al de eerste bevindingen met Baan. Hij geeft wel aan dat hij nog eerder contact had kunnen opnemen: “Als we tijdens een aanval merken dat het systeem duidelijk trager wordt, stoppen we. Dat kan namelijk een voorbode zijn van een kritieke situatie. En als ik zie dat ik toegang kan krijgen tot iets wezenlijks als de salarisadministratie volgt er direct contact. Er moet dan acuut actie worden ondernomen. Voor Baan was het dus goed nieuws dat we volgens de normale procedure contact opnamen. Op maandag kregen ze een globaal overzicht van de bevindingen en de vrijdag erop zijn we samen met de ICT-partij van Baan verder ingegaan op de aandachtspunten en de details.”  

Eric Luttikhuis daarover: “Wij waren vooral blij met de uitslag. De hacktest toonde aan dat onze digitale beveiliging behoorlijk goed voor elkaar is. Bovendien bleek dat we samen met onze automatiseringspartner en met leveranciers van online systemen snel en gericht werk konden maken van de aandachtspunten. We weten dat we altijd scherp moeten blijven. Kwaadwillenden ontwikkelen continu nieuwe manieren om je te hacken en te gijzelen. Wij moeten ons dus blijven wapenen. Regelmatige hacktests zijn een goed middel omdat ze laten zien waar je staat. Maar beveiliging gaat niet alleen om technologie. We focussen ook op de menselijke kant: met voorlichting, trainingen en workshops blijven we onze medewerkers wijzen op de gevaren van cybercriminaliteit en reiken we ze manieren aan om daar goed mee om te gaan. Alle schakels in onze digitale bescherming dienen zo sterk mogelijk te zijn.” 

U wordt continu aangevallen

Volgens Richard Klein van ThreadStone zijn een paar zaken cruciaal als het gaat om digitale weerbaarheid:  

  • Wees u ervan bewust dat uw bedrijf continu bloot staat aan online aanvallen. Zorg daarom dat u weet wat u hebt en waar u staat op het gebied van online veiligheid. Oftewel: laat regelmatig uw online kwetsbaarheid testen. 
  • Voer updates uit, niet alleen van computersystemen en -programma’s, maar ook van ondersteunende systemen die gebruikmaken van online toegang.  
  • Kies sterke wachtwoorden, gebruik één wachtwoord nooit vaker. 
  • Zorg voor deugdelijke versleuteling (encryptie) van bestanden.  
  • Als het kan: overweeg gebruik te maken van geofencing. Daarbij is vanuit bepaalde gebieden/regio’s geen toegang tot de bedrijfssite te krijgen. 

Samen Digitaal Veilig: bescherm uw bedrijf

Het online platform Samen Digitaal Veilig helpt ondernemers om zich te wapenen tegen cybercriminaliteit. Dit is een initiatief van koepelorganisatie MKB-Nederland en BOVAG ondersteunt dit platform, omdat we de digitale weerbaarheid van ondernemers hoog op de agenda hebben staan. In video’s op Samen Digitaal Veilig vertellen ondernemers die zijn getroffen door een cyberaanval over de impact en de gevolgen, maar ook over de maatregelen die ze vervolgens hebben genomen. Daarnaast zijn er praktische filmpjes die duidelijk maken wat de risico’s van online criminaliteit zijn én hoe gevaarlijke situaties zijn te voorkomen. Het platform geeft mede door een handige checklist en een overzichtelijk dashboard ook inzicht in waar u als ondernemer met uw bedrijf staat. De basisversie van het platform is gratis te gebruiken voor BOVAG-leden. Zie ook mijn.bovag.nl/samendigitaalveilig

Extra beveiligd

Slimme scans, een cyberverzekering én een Cyber Incident Manager: dat is het Digitaal Veilig Pakket van Bovemij. Met het Digitaal Veilig Pakket krijgt u bij een cyberincident 24/7 hulp van een Cyber Incident Manager, wordt inzichtelijk gemaakt wat de oorzaak is, krijgt u hulp bij het oplossen van het incident én bent u verzekerd tegen veel van uw eigen kosten maar ook de aansprakelijkheid richting uw klanten of leveranciers. Inclusief eventuele juridische hulp. 

Dit artikel is verschenen in de BOVAGkrant 11-2022.
Wij maken op deze website gebruik van cookies. Meer informatie is beschikbaar in onze Privacy- en cookieverklaring