“Alles valt te hacken: ook stoplichten, sluizen, bruggen en ziekenhuizen”

Cybersecurity is actueler dan ooit. Alles hangt aan het internet, dus alles is een potentieel doelwit van criminelen of terroristen: van bedrijven en organisaties tot verkeerslichten, sluizen, bruggen en ziekenhuizen. Hoppenbrouwers Techniek was vorig jaar slachtoffer van een ransomware-aanval. Directeur Henny de Haas schreef er een boek over en pleit voor een meldpunt: ‘1-1-5, bij een gehackt bedrijf!’

Vrijdagavond 2 juli 2021 om 21.30 uur krijgt Henny de Haas een telefoontje van zijn financieel directeur en ICT-verantwoordelijke. “We zijn gehackt.” Zijn bedrijf werd op die dag slachtoffer van een wereldwijde ransomware-aanval op gebruikers van Amerikaanse Kaseya-software. Met één druk op de knop vrat het virus zich in de systemen. “We hebben direct alle systemen uitgeschakeld en samen met een crisisteam, inclusief externe specialisten, een plan van aanpak gemaakt”, zegt de Haas die een telg is van de vierde generatie van dit meer dan honderd jaar oude Brabantse familiebedrijf. De schrik zat er goed in: de aanval raakte de complete organisatie van de totaalinstallateur, die met 1750 medewerkers en 20 vestigingen klanten bedient op allerlei gebied, van elektrotechniek tot industriële automatisering en van beveiliging tot duurzame energie.

Alles is kwetsbaar. De deuren hangen nog in ouderwetse scharnieren, maar verder is alles geautomatiseerd.

Dacht u niet: uitgerekend wij, een technisch bedrijf met verstand van automatisering, worden geraakt door een cyberaanval?

“Het kwam hard binnen. We hebben meer dan gemiddelde kennis in huis van IT en software, maar ik was eerlijk gezegd niet verrast. Regelmatig riep ik al dat je nooit weet wannéér het gebeurt. Maar dát het een keer gebeurt is zeker. Ook bij een bedrijf als het onze. Gehackt worden is een reëel bedrijfsrisico geworden. Hoe goed je beveiliging ook is, het is nooit waterdicht. De volgende dag en de dag erna, in het weekend, hebben we met aas200 van onze technische medewerkers en een cyberteam alles in het werk gesteld om de impact te beperken en zo snel mogelijk weer operationeel te zijn. Dat is uiteindelijk gelukt. Maar het heeft me een paar slapeloze nachten gekost. Een geluk bij een ongeluk was dat we een paar jaar daarvoor al een cyberverzekering hadden afgesloten. We hadden daardoor meteen een nummer dat we konden bellen.”

Kwaadwillenden hebben het voor het uitkiezen. Er gebeurt veel meer dan menigeen in de gaten heeft.

Zijn we als maatschappij, waar techniek in vrijwel alle producten en systemen aanwezig is, niet te kwetsbaar geworden?

“Ja, dat kun je wel zeggen. De deuren hier hangen nog in ouderwetse scharnieren maar verder is vrijwel alles geautomatiseerd. En alles valt te hacken. Dat geldt dus ook voor waterzuiveringsinstallaties, stoplichten, servers, sluizen, tunnels, bruggen, ziekenhuizen, camerasystemen, noem maar op. Ook mijn eigen auto, een Tesla, is een rijdende computer en is daarmee in principe ook te hacken. Vroeger kwam de inlichtingendienst persoonlijk langs om informatie op te halen. Nu kan alles op afstand worden geregeld. Maar dat betekent ook dat kwaadwillenden het voor het uitkiezen hebben. En er gebeurt veel meer dan menigeen in de gaten heeft.”

Is dat ook de reden dat u aan de bel heeft getrokken bij het ministerie van Justitie?

“Ja. Samen met VNO-NCW heb ik een brandbrief gestuurd naar de minister van Justitie en Veiligheid Dilan Yeṣilgöz-Zegerius waarin ik aangeef hoe belangrijk het is dat bedrijven snel informatie krijgen over actieve acties van cybercriminelen. Dan kunnen ze alert zijn. Achteraf bleek namelijk dat het softwarebedrijf Kaseya al wist dat de cybercriminelen hun software hadden geïnfecteerd. Had ik dat geweten, dan hadden we ons kunnen voorbereiden.

“Ook pleit ik in deze brief voor een meldpunt voor bedrijven die zijn gehackt: ‘1-1-5, bij een gehackt bedrijf’. Van daaruit kunnen bedrijven worden geholpen hoe verder te gaan na de hack. ‘Het internet wacht niet op politie en justitie’, schreef ik in de brandbrief. De minister kan er bijvoorbeeld samen met buitenlandse collega’s voor zorgen dat softwarebedrijven worden verplicht om te communiceren na een hack. Maar ook heeft Nederland een langetermijnplan nodig, een Deltaplan ICT, waarin de visie staat van ons land als het gaat om ICT en hoe we daar mee om willen gaan.”

En? Al iets gehoord?

“Nee. Niets.”

Frustreert dat?

“Een beetje wel. De digitale wereld is een 20-koppig monster. Dat vraagt echt om nationaal beleid. Gelukkig is er in de begroting meer geld vrijgemaakt voor cybersecurity.”

Wat wordt de volgende actie? Of laat u het hierbij zitten?

“Ik ben geen kruisvaarder en ook geen kartrekker van de sector Techniek. Ik vind het een belangrijk onderwerp en we communiceren er veel over in de pers en tijdens lezingen en conferenties bij andere bedrijven. Die vragen komen vaak voort uit het feit dat we er een boek over hebben geschreven – ‘Hack’ – dat leest als een spannende roman waarin minuut tot minuut wordt beschreven wat er gebeurde dat weekend. Maar er moet ook gewoon gewerkt worden. En daar hebben we onze handen aan vol met alle uitdagingen die vandaag de dag op ons afkomen. Dus nee, er staat geen volgende actie op stapel.”

Complete ketens en fabrieken vallen stil. Dat heb ik in mijn hele leven nog nooit meegemaakt.

Wat zijn jullie voornaamste uitdagingen?

“Om te beginnen de arbeidsmarkt. Ieder bedrijf wil groeien en heeft medewerkers nodig. We vissen allemaal in dezelfde vijver die behoorlijk leeg is. Dat remt onze groei. En dan hebben we uiteraard ook nog te maken met de obstakels in de toeleveringsketen. Sommige materialen zijn momenteel niet te leveren. Warmtepompen bijvoorbeeld. Zo leveren wij volgende week een bouwproject op zonder warmtepomp. Het zijn wat dat betreft echt andere tijden. Complete ketens en fabrieken vallen stil. Dat heb ik in mijn hele leven nog nooit meegemaakt.”

Hoe kijken jullie nu naar de toekomst? Gaan deze problemen nog lang aanhouden?

“Dat denk ik niet. Ik verwacht dat de problemen in de toeleveringsketen nog een half jaar duren. Daarna is het wel weer op orde. Het is net als met een hartinfarct. Een deel van het hart sterft af maar er worden ook weer nieuwe bloedvaten gecreëerd. Dat kost ongeveer een jaar. Zo zal het waarschijnlijk ook gaan met de economie. Mensen zijn namelijk superslim en inventief. Zeker als de nood hoog is. De belangen zijn groot en er is veel geld mee gemoeid. Je ziet het bijvoorbeeld gebeuren met de gasprijzen. Iedereen in Nederland zette de thermostaat meteen uit toen de prijzen omhoogschoten. En intussen wordt er keihard gewerkt om minder afhankelijk te worden van Russisch gas. Het gevolg is dat de Nederlandse gasopslagen inmiddels al voor 80 procent zijn gevuld. Nu ziet het ernaar uit dat de gasprijs alweer gaat dalen.”

Wil je groeien? Schrijf op wat je wilt bereiken en communiceer daarover.

En de schaarste op de arbeidsmarkt?

“Dat is een wat structureler probleem. Meer betalen heeft weinig zin, omdat alle andere bedrijven dat ook doen en dan zijn we met z’n allen weer op hetzelfde punt uitgekomen. Wat we wél kunnen doen is slimmer en efficiënter werken. Dus meer digitalisering en automatisering. Dat doen we ook. Daar zijn we tenslotte goed in. Daar steken we veel tijd in en werken daar hard aan. Ik denk harder dan onze concurrenten.”

Ondanks de vele uitdagingen groeien jullie flink. Nog geen negen jaar geleden hadden jullie één vestiging, 250 medewerkers en € 31 miljoen omzet, inmiddels koersen jullie af op € 325 miljoen. Wat is het geheim?

“Schrijf op wat je wilt bereiken en communiceer erover. Maak je droom concreet en expliciet. Iedere medewerker met ambitie kan daar vervolgens op aanhaken, mits deze de ruimte krijgt om de eigen verantwoordelijkheden op te pakken. En dat doen wij. We werken hier met zelfsturende teams. En als iedereen weet waar die heen moet, dan gaat groei als het ware vanzelf. Dan kan iedereen van een dubbeltje een kwartje worden. Daar ben ik van overtuigd.”

Dat klinkt wel heel makkelijk.

“Nee, makkelijk is het zeker niet. Er gaat natuurlijk van alles fout. Het is net als met vier opgroeiende kinderen. Er gebeurt altijd wel wat: schoolspullen kwijt, knie kapot, maar dat hoort erbij. En ik heb het eerste kind ook niet helemaal volwassen laten worden voordat ik pas aan de opvoeding van de twee begon. Daar ga je gelijktijdig mee aan de slag waardoor problemen zich ook gelijktijdig aandienen. Daar moet je niet bang voor zijn. Je moet ze los van elkaar oplossen. Dat is in bedrijven niet anders. Tegenvallers horen erbij en je kunt niet alles onder controle hebben. Niet als je vier kinderen hebt, en zeker niet als je 1.750 medewerkers hebt rondlopen. Bovendien: van crisis en pijn leer je het snelst.”

Tot slot. Heeft u nog gouden tips voor bedrijven die bang zijn dat ze worden gehackt?

“Tip 1 is: Ga er maar vanuit dat het gebeurt en bereid je voor. Nodig bijvoorbeeld een ethisch hacker uit en laat die jouw systemen testen. Kijk maar eens wat er dan gebeurt en wat voor draaiboek dat oplevert. Tip 2: Realiseer je dat je eigen ICT-afdeling het probleem niet kan oplossen. Er ontstaat namelijk vooral een organisatorisch probleem omdat mensen niet meer bij hun werk kunnen komen. Tip 3 tot slot: Weet welk nummer je moet bellen op het moment dát je bent gehackt. Je hebt dan namelijk echt geen idee.”