Sjors Brul, oprichter en eigenaar van Sbit, is nog maar een paar uur terug van vakantie als hij 's avonds laat een dringend telefoontje krijgt.
Een internationale hotelketen met meer dan twintig hotels is het slachtoffer van een cyberaanval.
Een reconstructie van een meer dan ingrijpende operatie.
Op alle schermen in de hotelorganisatie verscheen de melding dat de cybercriminelen 'in' waren, dat er contact moest worden opgenomen met de helpdesk en dat er een bedrag aan Bitcoins moest worden overgemaakt om weer toegang te krijgen tot hun eigen pc's.
Omdat alle PC's gegijzeld werden.
Ransomware' zorgde ervoor dat alle pc's werden versleuteld, maar ook de servers konden worden gegijzeld.
"Als hotelier weet je dat op dat moment nog niet," zegt Brul.
"Het eerste wat je moet doen is niet in paniek raken, daarna moet je alle toegang tot het internet uitschakelen. In dit geval ging het om meer dan twintig filialen verspreid over zeven landen."
Machteloos
Pc's, kassa's, servers en werkstations werden allemaal uitgeschakeld.
De organisatie kwam in een impasse omdat er een diepgaand onderzoek nodig was om erachter te komen hoe de cybercriminelen hun systemen waren binnengedrongen. "Wat je absoluut moet vermijden is het zelf proberen op te lossen, zonder de juiste kennis."
Een cyberaanval is een misdaad en moet als zodanig worden uitgevoerd. Een forensisch team moet onderzoek doen.
Dit team, dat een 'Red-Team' wordt genoemd, wordt aangewezen door de cyberbeveiligingsverzekeraar. Ze beginnen met twee vragen: wat is er aangeraakt?
En hoe kon dit gebeuren?
"En ondertussen lag de organisatie nog steeds plat op haar rug. Het ging terug naar pen en papier. In dit geval bedroeg de schade voor de hele organisatie 100.000 euro per dag."
Het 'Red-Team' (naam voor een onderzoeksteam aangesteld door de verzekeraar) onderzoekt hoe de criminelen binnen zijn gekomen door de systemen te controleren."Wij, als IT-dienstverlener, onderzoeken de kwaliteit van de back-ups.
Dat doen we elke dag, om te controleren of ze werken, maar ook om ervoor te zorgen dat ze op een veilige plek staan. De back-ups worden ook vaak beschadigd door deze hackers, maar daar hebben we bescherming voor."
De criminelen zijn vooral op zoek naar chanteerbare informatie, bijvoorbeeld over gasten.
"Maar creditcardgegevens mogen niet meer in de systemen voorkomen. Ze richten zich ook op het PMS-systeem en op het online gedrag van de medewerkers.
Welke websites werden bezocht, welke video's werden bekeken... Dat soort informatie.
Dat is chanteerbare informatie die je als organisatie niet openbaar wilt maken.
De reputatieschade die je oploopt op het moment dat je digitale kwetsbaarheid aan het licht komt, is immens."
Communicatie
Natuurlijk nemen de criminelen geen pauze wanneer Red-Team het onderzoek start.
Ze zien hun activiteiten en handelen ernaar.
"Ze bellen en zeggen dat ze hun diensten aanbieden aan Microsoft en dat het zo vervelend is dat je organisatie gehackt is.
Maar zij hebben de oplossing.
Een ander advies is: vertrouw niemand en communiceer met je eigen mensen.
Als organisatie ben je extreem kwetsbaar wanneer je wordt aangevallen.
Het is alsof er een leger voor je deur staat," zegt Brul.
Om te voorkomen dat cybercriminelen binnenkomen, is het verstandig om te weten hoe ze binnenkomen.
Dit kan op een aantal manieren.
Via 'phishing', een update die niet of niet goed is uitgevoerd of een lek in de softwaresystemen van het bedrijf via een medewerker die vanaf een privélaptop werkt en daardoor minder goed beveiligd is, wat veel gebeurde tijdens de verschillende lockdowns.
"In dit geval, waarbij meer dan twintig hotels het slachtoffer waren, was het een update die niet goed werd uitgevoerd.
Het Red-Team ontdekte dat de criminelen in dit geval al vier maanden binnen zaten.
Dat betekent dat back-ups die in de tussentijd zijn gemaakt niet te vertrouwen zijn."
Systemen werden teruggezet naar de laatste veilige toestand of in het ergste geval volledig vervangen.
Vanaf dat moment moesten alle gegevens worden onderzocht en getest op betrouwbaarheid en veiligheid.
Sjors Brul vertelt over 'White Listing'; het één voor één goedkeuren van websites en systemen. "In dit geval hebben we vier maanden in die 'White Listing modus' gewerkt.
Stap voor stap werd elke website en elke link als veilig bestempeld voordat deze weer gebruikt kon worden. We hadden het geluk dat deze hotelketen met het PMS-systeem in een gehoste omgeving werkt en we konden vrij snel concluderen dat het PMS-systeem niet was aangevallen en dus veilig was."
Bewustzijn
Volgens Brul doe je dit in de eerste plaats door bewustzijn te creëren in de organisatie over de gevaren van cybercrime. "De hotelbranche besteedt hier steeds meer aandacht aan, maar er is nog veel ruimte voor verbetering.
Een cyberveiligheidsbedreiging is slechts één klik verwijderd en werknemers zwijgen hier vaak over, ook uit schaamte.
Hoe eerder het wordt gemeld, hoe beter het kwaad kan worden bestreden.
Het gevaar schuilt in de onzichtbaarheid, maar in veel hotels staat de digitale deur op een kier of nog verder. Aan de oppervlakte is niets te zien, maar een paar maanden later kunnen de gevolgen desastreus zijn."
Checklist cyberaanvallen
Een cyberaanval op een hotelorganisatie is vaak het resultaat van maandenlange voorbereiding door cybercriminelen.
De criminelen maken hun eisen bekend als ze genoeg gevoelige informatie hebben weten te verzamelen.
Welke stappen moet je als hotelier nemen als je te maken krijgt met een cyberaanval?
1. Raak niet in paniek en onderzoek het niet zelf
2. Schakel de internetverbinding uit
3. Neem contact op met de cyberbeveiligingsverzekeraar
4. Laat forensisch onderzoek doen
5. Vertrouw niemand
6. Houd het team op de hoogte
7. Informeer de autoriteiten binnen de wettelijke termijn
8. Back-ups controleren
9. Geef inzicht in wanneer de criminelen het systeem zijn binnengekomen
10. Vertrouw alle informatie in het systeem sinds de aanval
12. Corrigerende maatregelen nemen om de kans op een nieuwe aanval te verkleinen
Het is natuurlijk beter om dit alles te voorkomen. Maak een afspraak met een van onze specialisten via onze website of bel 0182 747 000
