Toen alle bedrijfsgegevens van het garagebedrijf van Peter Schoolderman waren vergrendeld, maakten de cybercriminelen hun eis kenbaar: 6.000 euro in cryptomunten. Schoolderman betaalde niet, maar wordt meer dan drie jaar later nog steeds dagelijks geconfronteerd met de gevolgen. Hij kijkt terug op die periode die hem tienduizenden euro’s en kopzorgen kostte.
Het autobedrijf van Peter Schoolderman is een familiebedrijf, dat in 1968 werd gestart door zijn vader. In het kantoor van zijn moderne bedrijfspand aan de rand van Zutphen laat de Gelderse ondernemer een Whatsapp-gesprek op zijn telefoon zien dat hij recent had met een bekende. Iemand had hem een link gestuurd naar een grappig filmpje, maar Schoolderman vertrouwde het niet en vroeg de kennis ter verificatie eerst naar iets wat alleen zij beiden weten. ‘Klik jij wel eens zomaar op een link van bijvoorbeeld een track & tracecode?’, vraagt Schoolderman. ‘Jij durft. Ik doe het nooit meer.’ Hoe het precies gebeurde weet de ondernemer niet, maar waarschijnlijk werd zijn bedrijf gehackt doordat iemand op een linkje klikte. ‘Voor mij is dat wel een soort trauma geworden. Zo zie je maar hoe voorzichtig je wordt na een hack.’
‘Met de pc onder de arm’
Het was 22 maart 2019. Peter Schoolderman was die dag vrij. ‘Eindelijk eens een keer, ik zou naar een wellness gaan. Net voordat ik weg zou gaan, werd ik opgebeld door een medewerker: de computers doen het niet. Alles stond op zwart. Even snel langs het bedrijf, dacht ik nog.’ Daar aangekomen, kreeg Schoolderman het niet voor elkaar om in te loggen. Hij belde zijn vaste ICT-bedrijf in Deventer en toog ‘met een pc onder de arm’ naar het kantoor van zijn dienstverlener. ‘Na wat onderzoek concludeerde die dat de harde schijf was versleuteld. Er stond een pdf’je bij, waarop te lezen was dat ik zo’n 6.000 dollar (destijds omgerekend 6.790 euro) in bitcoins moest betalen als ik mijn spullen terug wilde hebben.’ Daarvoor kon hij contact opnemen met een aantal verschillende mailadressen. Dat moest binnen een bepaald tijdsbestek. Schoolderman: ‘Op zo’n moment breekt het zweet je wel uit, kan ik je zeggen.’ Omdat het op een vrijdag gebeurde, liet Schoolderman nog verschillende mensen pogingen doen om het probleem op te lossen. Tevergeefs. ‘Alles was versleuteld met behulp van ransomware, tot en met de labelprinter aan toe.’
‘We zijn gehackt, help ons’
Het eerste wat Schoolderman daarna heeft gedaan, is het nieuws naar buiten brengen. ‘Ik dacht: hoe kom ik weer in contact met mijn klanten? Dus ik heb direct op Facebook gezet: we zijn gehackt, help ons!’ Dat bleef niet zonder gevolgen. ‘Er ontstond heel veel reuring. Niet alleen mijn klanten, maar ook allerlei media namen ineens contact met me op. Vervolgens heb ik bij de Autoriteit Persoonsgegevens melding gemaakt van een datalek, anders krijg je een boete. En ik heb natuurlijk aangifte gedaan van diefstal en afpersing bij de politie, maar daar word je niet veel wijzer van. Die wisten
niet eens wat ransomware was en leken totaal niet te weten wat ze ermee aan moesten.’ Daarna volgde een belletje met de verzekeraar. ‘Ik ben nagegaan of ik hiertegen was verzekerd, maar dat was niet het geval.’ Schooldermans ICT-bedrijf heeft na het weekend contact opgenomen met de hackers. Niet om te betalen, overigens. Schoolderman: ‘De politie droeg meteen op niet te betalen, maar ik dacht in eerste instantie: als ik zeker weet dat ik alles terugkrijg, dan betaal ik. Maar ik concludeerde al snel: dat weet je nooit zeker, en je weet ook niet wat er gebeurt als je je gegevens wel terugkrijgt. Voor hetzelfde geld is er iets ingebouwd waardoor je een jaar later weer de klos bent. Dus ik heb geen cent aan ze betaald. Van de politie heb ik trouwens ook nooit meer wat gehoord.’
Werken zonder planning
Na de hectiek van de eerste dagen, volgden stressvolle pogingen om te repareren. In die tijd bleek hoe groot de afhankelijkheid van software daadwerkelijk was. Schoolderman: ‘We moesten nieuwe harde schijven hebben om überhaupt iets te kunnen beginnen, maar dan kun je eigenlijk nog helemaal niets. Want wie komen er wanneer werken, welke klanten hebben een afspraak, hoe bellen we die klanten? We wisten helemaal niets, concludeerden we. Hoe meld je je af voor de APK? Hoe bestel je onderdelen? We hadden geen idee. Je kunt echt helemaal niets, ook niet plannen.’ Dus toen klanten belden om een afspraak in te plannen, kon niemand zeggen wanneer dat mogelijk zou zijn.’ De eerste dagen wachtte iedereen af welke klanten er binnenkwamen. ‘Een maand lang hebben we helemaal geen werk aangenomen. Pas voor de periode daarna zijn we langzaamaan weer afspraken gaan maken.’
Papieren administratie
Daarna kreeg Schoolderman het probleem dat de onderhoudsgeschiedenis van auto’s niet was terug te halen. ‘Daar loop ik nu nog steeds regelmatig tegenaan, dat blijft een probleem. Gelukkig zijn we nu ruim drie jaar verder en bouw je op die manier vanzelf weer wat op qua gegevens. En sommige klanten kwamen met oude bonnen langs.’ En de financiële administratie? ‘We hadden het geluk dat we alles nog op papier factureerden, want daardoor hadden we wel alle auto- en klantgegevens in mappen. Dat was de enige back-up waaraan we op dat moment iets hadden.’ Niettemin heeft het Schoolderman uiteindelijk negen maanden gekost om zijn zaken administratief weer een beetje op orde te krijgen. ‘Voor het einde van het jaar wilde ik dat hebben bereikt, om weer goed te kunnen beginnen aan het nieuwe boekjaar. Want je zit bijvoorbeeld ook met betalingsherinneringen: welke facturen zijn er wel en niet betaald? Ook daarvan hadden we geen idee. Ik heb speciaal iemand aangenomen om alles te laten uitzoeken en administratief weer op orde te brengen. Mijn boekhouder kon bovendien lijsten printen met adressen en betaalgegevens. Daarmee hebben we op een gegeven moment ook weer wat historie tevoorschijn kunnen toveren. Maar ik heb uiteindelijk wel ongeveer 50.000 euro aan extra kosten moeten maken door die hack.’
Ook de back-ups waren versleuteld
Schoolderman haalt de oude harde schijven uit een ladekast in zijn kantoor. Meer dan drie jaar later kan hij nog altijd niet bij de gegevens die er opstaan, waaronder ook privégegevens als foto’s van zijn kinderen. ‘Ik bewaar ze toch maar, met de gedachte: je weet nooit of er een keer een whizzkid langskomt die de boel weer kan omtoveren.’ Zelfs een usb-stick waar de ransomware zelf op staat heeft hij nog. De hele affaire zorgde ervoor dat de Zutphense ondernemer nog meer op zijn hoede is. ‘Ik heb het qua ICT nu behoorlijk goed voor elkaar, betaal alleen al aan cybersecurity 550 euro per maand. Dat is best veel voor een bedrijf als het mijne, maar het valt mee als je kijkt naar wat het kost als je bent gehackt. Het ICT-bedrijf heeft het nu meteen in de gaten als er iets in ons systeem verandert en qua ICT-infrastructuur staat alles meer los van elkaar’, vertelt Schoolderman. ‘Want de vorige keer was alles tegelijk geïnfecteerd, ook de back-ups. Zelfs bij het bandencentrum dat ik naast het autobedrijf runde was alles versleuteld.’
Koude start
Toch maakt de ondernemer zich geen illusies: ‘Het kan in principe iedereen gebeuren, ook mij nu nog. In feite ben je nooit helemaal veilig, ook al heb je het nog zo goed voor elkaar. Ik was me voor de hack ook al wel bewust van het belang van digitale veiligheid, had antivirussoftware en was altijd voorzichtig met dingen aanklikken. Er werden bovendien dagelijks back-ups gemaakt. Maar dat is ook het gevaar van een bedrijf waar meerdere mensen werken: je kunt zelf nog zo voorzichtig zijn, maar iemand anders kan net op een verkeerd linkje klikken. En dat is wel hoe het vaak werkt: er wordt op een fout linkje geklikt en in eerste instantie gebeurt er daarna niks bijzonders. Totdat de pc een keer opnieuw wordt opgestart, dan ben je de klos. Zo gaat het negen van de tien keer. Je kunt er als bedrijf alleen voor zorgen dat de gevolgen minder groot zijn als het gebeurt.’
Deze bijdrage komt uit de derde editie van het AV-magazine dat gaat over ICT en Kengetallen. Dit magazine is verschenen in september 2022. Zie: https://www.accountancyvanmorgen.nl/kennisdoc/av3-2022-ict-en-kengetallen/
Geef een reactie