'dit it-systeem was als een klushuis'

‘We got a breach! Kom snel!’ Die oproep van een klant in Scandinavië bereikte Jeroen Wijnands in de kerstvakantie. ‘De dag erop vloog ik erheen, samen met Joep van Bergen en Marc Visser’, vertelt de lead van Capgemini’s OT Security Centre of Excellence. Eenmaal aangekomen vielen de drie security-experts van de ene verbazing in de andere.

‘We wisten dat het bedrijfssysteem gehackt was’, zegt cloud security engineer Joep. ‘Maar hoe, met welke impact en waar we zouden beginnen om het systeem weer veilig te maken: dat alles moesten we nog ontdekken. Ook omdat dit een nieuwe klant en onbekende ICT-omgeving voor ons was.’

Desastreuze gevolgen

‘Toen de taxi ons afzette bij de organisatie, verwachtten we chaos en paniek te zien’, vertelt OT security officer Marc. ‘Maar medewerkers waren verrassend relaxed.’ Jeroen: ‘Dat veranderde toen we een malware-aanval ontdekten die exact de handleiding volgde van een bekende hackersgroep. Toen begreep iedereen hoe ernstig de situatie was. Zo’n aanval is mogelijk als een organisatie achterligt met ICT-updates. En heeft vaak desastreuze gevolgen. Hackers kunnen dan bijvoorbeeld data stelen, de controle overnemen over bedrijfsprocessen en veel losgeld eisen.’

‘Gelukkig had de Capgemini-consultant bij de klant snel gezien dat er een aanval was’, zegt Marc. ‘Doordat hij het systeem direct had platgelegd waren hackers buitengesloten en was er nauwelijks data gestolen en nog niets versleuteld. Aan ons de taak om de lekken in het ICT-systeem te vinden en te dichten – en nieuwe te voorkomen.’ Marc ontdekte tot zijn verwondering dat er naast de 2500 bekende systemen er nog ’s zo’n 10.000 onbekende systemen op het netwerk aangesloten waren. Dat geen enkele beveiliging meer up-to-date was. Én dat het enterprise-administrator-wachtwoord in vijf minuten te achterhalen was.

Visitekaartje afgeven

‘Als dit ICT-systeem op Funda had gestaan, was het een klushuis genoemd’, zegt Jeroen. ‘Dat kluswerk pakten we met steeds meer mensen op. Begonnen we met z’n drieën, uiteindelijk hadden we tien specialisten op locatie en 120 mensen op afstand – uit alle windstreken. Heel gaaf om zo’n internationale krachtenbundeling aan te sturen. We leverden daar ook echt ons visitekaartje mee af binnen de Capgemini-groep. Intern staat ons team nu qua reputatie, kennis en skills aan de top – mede dankzij deze incident response.’

Concreet werkte Jeroens team onder andere aan de wederopbouw van 17 servers, vulnerability scanning, gegevenschecks van de active directory, beveiligingsupdates van fabrieksautomatisering, en datamigratie naar de cloud. Dat laatste was Joeps verantwoordelijkheid. ‘We hebben die migratie versneld en de cloud veilig gemaakt’, zegt hij. ‘Vaak zie je één omgeving voor authentificatie en werkprocessen. Wij gaven ze allebei een eigen omgeving, volgens onze securityprincipes.’

Lachen voor scherpte

‘De klant overspoelde ons met complimenten’, aldus Jeroen. ‘Van de landelijke en regionale directeuren tot de global director outsourcing.’ Zijn team verdient die, zegt hij trots. ‘We hebben goed gepresteerd, onder grote tijdsdruk, dankzij vakmanschap en saamhorigheidsgevoel.’ Dat laatste ontstond niet alleen door keihard met z’n allen aan één doel te werken, benadrukt Marc. ‘Net zo belangrijk was het om na het werk samen te ontspannen; even bij te kletsen, een borrel te drinken, te lachen. Daarna kun je er weer tegenaan, heb je nieuwe energie. Zo blijf je scherp.’

Jeroen: ‘De grootste crisis was na een paar weken bezworen. Onze werkzaamheden zijn sindsdien afgeschaald. Maar we stoppen pas als alle security-updates getest en geïnstalleerd zijn. En als er sterke firewalls tussen de bedrijfsonderdelen staan. Anders was ons gebuffel straks voor niets; één zwak punt is genoeg voor hackers.’ Het vergt soms wat overredingskracht om de directie dit in te laten zien. ‘Maar ook inzicht bieden hoort bij OT Security. En ook dat vinden we heel gaaf om te doen.’

Houd jij net als Jeroen, Joep en Marc van pittige security challenges?