Waarmee kunnen we je helpen?

Het recreatiepark dat op een zondag werd gehackt.

Hiscox banner shape mask mobile Hiscox banner shape
Klantverhalen tech
Pascal Boogaert

Pascal Boogaert | LinkedIn

Een recreatiepark werd op zondag gehackt. Hiscox handelde snel, onderhandelde met hackers, vond een backup en beperkte de kosten en impact van de cyberaanval effectief.

Door Fanny van Cappel - Director Claims Benelux • Claims EU

In april 2023 ontvingen wij een melding van een cyberaanval op een zondag. Dat is uitzonderlijk, want meestal worden deze aanvallen pas op maandag opgemerkt, wanneer werknemers hun systemen weer opstarten. Deze aanval was een van de vele uitdagingen waar ons team bij Hiscox mee te maken heeft.  

De cyberaanval en de voorbereidingsfase

Hackers zijn slim. Voordat ze echt toeslaan met ransomware, doen ze grondig voorbereidend werk. Ze vinden eerst een manier om in het systeem binnen te dringen en blijven soms maandenlang onopgemerkt. Ze observeren welke data opgeslagen is, welke gevoelige informatie aanwezig is, en wat de omzet en de structuur van het bedrijf is. Dit type cybercriminaliteit is zoals het spelen van verstoppertje in een dataomgeving. Op een gegeven moment moeten ze uit hun schuilplaats komen om de aanval volledig uit te voeren. Dit is dan het moment waarop beveiligingssystemen de verdachte activiteit kunnen onderscheppen en een signaal kunnen sturen.

Het perfecte moment voor een aanval: vrijdagmiddag

Cybercriminelen kiezen doorgaans vrijdagmiddag voor hun aanvallen. Dit is het moment waarop IT-professionals vertrekken voor het weekend, waardoor het hackersteam minder risico loopt om snel opgemerkt of tegen gehouden te worden. Tijdens het weekend kunnen ze ongestoord data versleutelen, informatie stelen en hun plannen uitvoeren. Op maandag ontdekken werknemers dan vaak de ransomnotes, complete versleuteling van hun systemen en het verlies van backups.

In dit geval ging het om een recreatiepark in België. Tijdens een schoolvakantie opende het park op zondag om de vele kinderen te verwelkomen. Helaas stonden deze kinderen al te wachten toen de medewerkers ontdekten dat hun kassasysteem was gehackt en een ransomnote op het scherm verscheen.

Directe actie: de eerste reddingsoperatie

Het team van Hiscox kreeg vrijwel direct een aanvraag via onze hotline en startte onmiddellijk met het in kaart brengen van de situatie samen met de klant. Een cruciaal onderdeel van ons werk is snelheid. Schade beperken begint bij razendsnel handelen. We stelden een team van IT-experts aan, elk met hun eigen specialisatie: één voor de root cause analysis om te achterhalen waar de zwakke schakel zat, één voor systeemherstel, één voor de beveiliging, en één ervaren onderhandelaar die in contact kon treden met de hackers.

Deze expert trad in onderhandeling met een “professionele” hackerorganisatie. Zij eisten een losgeld van meerdere honderden euros. Dit was behoorlijk veel, en ons primaire doel was dan ook om dit bedrag naar beneden te krijgen door te onderhandelen en zo ook tijd te winnen om het IT-systeem zo snel mogelijk te herstellen.

Het complexe onderhandelingsproces

Terwijl onze expert in onderhandeling was om het losgeldbedrag te verlagen en ondertussen tijd te winnen, werkte ons team hard aan alternatieven. We zochten naar backups en andere herstelmogelijkheden.  

Gelukkig vonden we een backup van één dag voor de aanval. Dit was een ongelooflijk geluk, gezien de professionaliteit van de hackers. Meestal zorgen zij ervoor dat zelfs backups versleuteld zijn.  

De kosten van herstel na een cyberaanval

Hoewel we het losgeld niet hoefden te betalen, hadden de onderzoek- en herstelfase aanzienlijke kosten. Cyberaanvallen kosten altijd enorm veel geld, zelfs met een effectief herstel.  

Zelfs wanneer je succesvol data terugkrijgt dankzij een backup, betekent het niet dat alles meteen normaal functioneert. Herstel omvat het opnieuw indelen van data, herschrijven van codes en volledig operationeel maken van systemen zoals kassasystemen. Dit is een essentieel aspect van een cyberpolis: het dekken van alle noodzakelijke kosten na een aanval.

Het menselijke aspect: onderhandelen met hackers

Binnen cyberaanvallen zijn menselijke interacties cruciaal. Niet alle hackers zijn hetzelfde; sommigen zijn bereid tot onderhandeling, terwijl anderen strikt vasthouden aan hun eisen. Onze IT-expert wist genoeg tijd te winnen en het losgeld aanzienlijk te verlagen.

Business Interruption: creatief herstel

Door de directe reactie en de efficiëntie van ons team, konden we de kosten van de bedrijfsstilstand beperken. Het park hield ook uitzonderlijke openingsuren om de verloren omzet te compenseren.  

Conclusie:

De kosten en complexiteit van herstel na een succesvolle aanval bevestigen de noodzaak van een goede cyberverzekering. Bij Hiscox is ons doel niet enkel het dekken van kosten, maar vooral het vooruit helpen van onze klanten.