Software, een cyberveiligheidsbeleid en duidelijke instructies richting medewerkers: het zijn maatregelen die een ondernemer kan nemen om te voorkomen dat zijn bedrijf slachtoffer wordt van een cybercrimineel. Maar dat maatregelen nooit waterdicht zijn, weet ondernemer Cor Spronk maar al te goed. Hij raakte in 2016 talloze voor hem belangrijke bestanden kwijt nadat een medewerker een e-mailbijlage opende.
Virus Cryptowall
“Ik werd eind januari 2016 door een medewerker gebeld. Zij vertelde dat de aanmaakdata van alle documenten was gewijzigd en dat het niet lukte de bestanden te openen.” Cor belde meteen zijn ICT-ondersteuning op die hem adviseerde alle netwerkkabels meteen uit de computers te trekken. Het bleek dat een stagiaire een bijlage had geopend van een mail waarvan ze de afzender niet kende. Die bijlage bevatte het virus Cryptowall. Alle documenten waren door dat virus versleuteld en niet meer toegankelijk. “Ik had destijds een detacheringsbureau. Loonstroken en cv’s van mijn medewerkers maar ook gegevens van onze klanten waren weg. Volgens mij vinden hackers dit soort documenten niet zo interessant, maar voor ons waren ze dit natuurlijk wel.”
Doorpakken
“We zijn dezelfde dag nog naar de politie gegaan om aangifte te doen”, vertelt Cor. De politie vroeg Cor of hij alle computers wilde inleveren om onderzoek uit te voeren, maar daar stemde Cor niet mee in. “Ze vertelden me dat het tot wel drie maanden kon duren voordat ik de computers weer terug zou krijgen. Dat vond ik te lang. Ik zat namelijk vanaf het moment dat ik wist dat we bestanden kwijt waren al in de actiemodus. Ik ben geen type voor het aannemen van een slachtofferrol en dacht meteen: wat kunnen we nog wel?” Gelukkig had Cor enkele tijd voordat hij al zijn bestanden kwijtraakte een back-up gemaakt. Hoewel deze back-up al wel wat verouderd was, hadden ze zo toch een startpunt om weer op te bouwen. “Of het een verstandige keus is geweest om de computers niet af te geven aan de politie weet ik niet. Zo kan je natuurlijk achteraf kijken naar alle keuzes die je hebt gemaakt. Was het wijs of niet? Wat ik wel weet is dat we nadat we over de eerste schrik heen waren we meteen hebben doorgepakt. Dat had misschien niet gekund als we onze computers niet hadden.” Wat er uiteindelijk met zijn aangifte is gebeurd, weet Cor niet. Of de dader is gepakt en gestraft is, is dus ook onbekend bij hem.
De eerste schrik was natuurlijk groot. Vooral bij de stagiaire die per ongeluk de bijlage met het virus had geopend. “Na twee of drie dagen waren haar tranen gelukkig over en konden we haar weer in haar kracht zetten. We hebben haar ook nooit de schuld gegeven. Als eigenaar ben ik uiteindelijk verantwoordelijk voor alles wat er binnen het bedrijf gebeurt en daarbij had ook ik misschien die bijlage wel geopend als ik het mailtje kreeg.” De naam van de bijlage zag er dan ook betrouwbaar uit: het was een samenvoeging van de twee ondernemingen die Cor destijds had.
Losgeld wel of niet betalen?
Tegen betaling kon Cor de bestanden weer terugkrijgen, luidde een bericht van de crimineel. Hoe hoog het losgeldbedrag was, weet Cor niet meer precies. Ook staat dat niet in het proces verbaal van de aangifte destijds. “Ik ben niet een financieel gedreven persoon. Het precieze bedrag weet ik dus niet meer. Ik weet wel dat ik meteen dacht: dat ga ik niet betalen. Dan bouw ik liever mijn bedrijf van de grond weer op.” Cor beseft zich dat deze keuze, vooral gebaseerd op ethische principes, niet door alle ondernemers gemaakt wordt. “Mijn bedrijf leende zich ook voor die keuze. We konden het werk snel weer oppakken en een groot deel van onze werkzaamheden konden gewoon plaatsvinden. Daarnaast zou ik mezelf omschrijven als een pionier. Vooruitkijken en doorpakken zitten in mijn karakter en ook mijn personeel liet ik snel een nieuwe horizon zien.” Toch kan Cor zich voorstellen dat hij wél tot betaling zou overgaan, mocht dit hem ooit nog een keer overkomen. “Als het bijvoorbeeld tonnen kost om te herstellen van de aanval en er ‘maar’ een paar duizend euro losgeld wordt gevraagd, is het natuurlijk een ander verhaal. In die kosten-batenanalyse zou ik zelf ook het menselijke aspect meenemen. Als er personen emotionele of persoonlijke schade oplopen als we niet betalen, zou ik eerder geneigd zijn het bedrag over te maken.”
Schaamte is onterecht
Veel ondernemers die slachtoffer zijn geworden van cybercriminaliteit hangen dat niet aan de grote klok. “Het imago van jou als ondernemer kan toch een beetje afbrokkelen. Zeker als ondernemers wél hebben betaald kan dat impact hebben op de manier waarop consumenten en collega’s tegen hen aankijken. Die schaamte vind ik niet terecht. Het kan écht iedereen overkomen. Er zullen wel mensen zijn die over mij denken ‘wat een sukkel’, en dat doet mij verdriet. Maar schamen doe ik mij niet.”
Anno 2023 is hij niet meer de eigenaar van het detacheringsbureau dat in 2016 slachtoffer is geworden van de cybercrimineel. Nu coacht Cor ondernemers. “Dat coachen doe ik op allerlei vlakken. Als het ter sprake komt, vertel ik de ondernemers ook over mijn ervaring met cybercriminaliteit en hoe je altijd vooruit kan blijven kijken.”
Als er iemand weet dat slachtoffer worden van cybercriminaliteit nooit volledig te voorkomen is, dan is het Cor wel. Hij heeft het advies om nooit te denken dat je geen slachtoffer kan worden, heel regelmatig een externe back-up te maken en om een jaarlijkse of tweejaarlijkse cybertoolbox te organiseren waar je al je medewerkers inlicht over het cyberveiligheidsbeleid.