Pilz verliest alles in een cyberattack. “Vandaag hebben we nog steeds geen wifi of WeTransfer”

Verhaal
In samenwerking met

Voka

Geen mail. Geen computer. Geen internet. Geen offertes en bestellingen. De grondig voorbereide cyberaanval op het automatiseringsbedrijf Pilz had uiterst zware gevolgen. Wat doen de Belgische medewerkers van het Duitse familiebedrijf vandaag anders om een herhaling te voorkomen?

Medewerkster in de productie van Pilz
De productie van Pilz waarin deze medewerkster werkt, viel volledige stil na hacking. © Foto Pilz GmbH & Co. KG

Zondag 13 oktober 2019. Deze dag zullen Pilz-medewerkers zich nog lang herinneren. Alle 42 vestigingen wereldwijd van het Duitse bedrijf Pilz met ruim 2500 medewerkers waren gehackt. Ook bij de 36 medewerkers van de Belgische vestiging sloegen de schermen op zwart. Alle bedrijfsgegevens waren geëncrypteerd. Niemand kon nog op internet. De website was weg. 

Veiligheidsspecialist verliest alles 

Pilz zorgt voor de veiligheid van mensen die samenwerken met machines. Het levert zijn veiligheidscomponenten aan de grootste machinebouwers wereldwijd. Een snijmachine voor het portioneren op maat van vis of vlees, is een eenvoudig voorbeeld. Wanneer iemand het mes benadert, zal het Pilz-component het detecteren om te voorkomen dat iemand zijn vinger afsnijdt. Hetzelfde in pretparken, op theaterpodia, bij autobouwers en chemiereuzen. 

Het bedrijf is top in safety. Maar in de security liep het grondig mis. De hackers hadden zorgvuldig alle servers en pc’s in kaart gebracht en geëncrypteerd. Ze hadden het master administrator-paswoord en blokkeerden de toegang tot alle servers, het SAP-bestelprogramma en bedrijfsgegevens.

Timen Floré, verkoop- en marketingmanager bij Pilz Belgium
Probeer je eens in te beelden dat je maandag op kantoor komt en je niets meer hebt.
Timen Floré, verkoop- en marketingmanager bij Pilz Belgium

“Probeer je eens in te beelden dat je maandag op kantoor komt en je niets meer hebt”, getuigt Timen Floré, verkoop- en marketingmanager bij Pilz Belgium. “En dan had ik nog geluk. Omdat ik die zondag niet op het bedrijfsnetwerk aangesloten was, was mijn pc niet gekraakt. Ik kon er nog op werken... offline.”

Vier maanden niet normaal werken

“Het duurde even tot ik doorhad hoe erg het zou worden”, zegt Timen. “Ik vreesde een lastige maandag. Maar het werden lastige maanden. De impact van deze hack was vele malen groter dan de impact van Covid-19. De opkuis en maatregelen om nieuwe besmettingen te vermijden, zorgden bijna vier maanden lang voor vreselijke werkomstandigheden.”

“Dit wil je nooit meemaken”, zegt Timen. “Na twee maanden waren mijn collega’s en ik totaal op. Ons energieniveau was zo gezakt. 70 procent van onze energie ging naar zaken die met de hack te maken hadden. Hierdoor konden we nog maar 30 procent aan onze klanten besteden.”

 

Ook vleesverwerkend bedrijf Dekeyzer Ossaer werd slachtoffer van een Cyberaanval. CEO Johan Dekeyzer getuigt in deze video:

Snel een Gmail-adres aangemaakt

Concreet kon en mocht er na de hack geen enkele communicatie over het bedrijfsnetwerk van Pilz plaatsvinden. Enkel sms en bellen was mogelijk. “We konden enkel met de pc van onze partner of thuiscomputer mailen met elkaar. Zo kon ik wel een offerte opmaken op mijn computer op basis van prijstabellen. Maar deze moest ik afdrukken, vervolgens inscannen en mailen vanop de pc van mijn vrouw vanuit het salespilzbelgium@gmail.com-adres dat we snel aangemaakt hadden.”

“De grootste angst bestond er namelijk in dat onze data potentieel geïnfecteerd zouden zijn en dat we hierdoor onze klanten zouden kunnen infecteren, wat desastreuze financiële gevolgen zou hebben.”

Maar hoe kan je klanten bellen en mailen als je CRM-systeem totaal weg is? Wie bel je waarover? “Gelukkig waren we net met Mailchimp begonnen en vonden we de mailadressen van onze klanten daarin”, zegt Timen. “En klanten belden zelf omdat onze website plots onbereikbaar was.”

“De meeste klanten toonden begrip. Al verdween hun begrip na twee tot drie weken. We kregen steeds meer kritiek. Ze wilden vooral weer de vlotte service die ze gewoon waren.”

Elke pc kreeg een kleurencode bij Pilz. Enkel groene pc's zijn helemaal veilig
Elke pc kreeg een kleurencode bij Pilz. Enkel groene pc's kunnen helemaal veilig op het netwerk van Pilz © Foto Pilz GmbH & Co. KG

Hackers krijgen geen losgeld

Een aantal kleinere klanten vertelden Timen dat ze eerder ook gehackt waren. En dat ze wel snel weer opgestart waren omdat ze losgeld hadden betaald. Maar dat wilden de Duitse eigenaren van Pilz niet. Ze haalden in de media fors uit naar de daders en betaalden het gevraagde losgeld niet.

Timen Floré, verkoop- en marketingmanager bij Pilz Belgium
Onze scansoftware moest goedgekeurd worden door politie en verzekeringen, zodat we zelf beschermd waren tegen juridische claims voor het eventueel besmetten van klanten.
Timen Floré, verkoop- en marketingmanager bij Pilz Belgium

“Hierdoor moesten wij alles van nul opstarten”, zegt Timen. “Wat verklaart waarom we pas na honderd dagen weer op 95 procent van onze digitale mogelijkheden zaten.” 

Het heropstarten verliep met kleine stapjes, strikt geleid vanuit het hoofdkantoor. Het bedrijf kocht een nieuwe SAP-server en stuurde elk land een nieuwe computer op. Enkel vanuit deze computer mochten er weer bestellingen naar de Duitse productie gestuurd worden.

Server per server, file per file werd alles gescand nadat de op maat gemaakte scansoftware klaar was. Files die niet door de scan raakten, waren onherroepelijk verloren. Stap voor stap werd de software sneller en beter, waardoor langzaam aan alle medewerkers hun data terug kregen en het professionele leven opnieuw normaler werd.
Belangrijk was dat deze software goedgekeurd werd door politie en verzekeringen, zodat we zelf beschermd waren tegen juridische claims voor het eventueel besmetten van klanten.”

Omdat niet helemaal duidelijk was welk toestel nog besmet was, mocht een pc pas online als deze helemaal gecheckt was. Vervolgens moest de harde schijf opnieuw geformatteerd worden om dan alles opnieuw te installeren en aan te koppelen.

Vlaggen wapperen voor het Duitse hoofdkwartier van Pilz
Pilz draait opnieuw op volle toeren. © Foto Pilz GmbH & Co. KG

Hoe het bedrijf vandaag cyberveilig werkt

Om een nieuwe hack te voorkomen, werkt het bedrijf veiliger en met een strenger cybersecurity -beleid dan voorheen. De belangrijkste maatregelen in hun strijd tegen hackers? 

Externe websites zijn geblokkeerd. In het begin werd gewerkt met een systeem van whitelist, wat betekent dat alle websites verboden waren, behalve deze die door IT goedgekeurd werden. Na enkele weken werd dit systeem onhoudbaar en is het omgekeerde principe aanvaard. Sommige websites staan nog de zwart lijst, waaronder populaire toepassingen zoals WeTransfer, Yahoo, Google Drive,…

Elke computer wordt door de IT-dienst in Duitsland geïnstalleerd en beheerd. Niemand kan een programma downloaden. Elke wijziging moet aangevraagd worden.

Ieders iPhone is eigendom van het Duitse moederbedrijf. Privégebruik is verboden. Elke medewerker heeft zich akkoord verklaard om er geen andere dan werkapps op te laten draaien.

Elke USB-poort is afgesloten. Niemand mag externe schijven aansluiten.

Geen wifi op het kantoor. “We zijn ongetwijfeld het enige bedrijf zonder wifi in België”, denkt Timen.

Al het internetverkeer loopt eerst naar Duitsland, waar een strikte firewall het in- en uitgaand verkeer scant en beveiligt. Enkel bijlagen met de nieuwste extensies zoals .docx en .xlsx komen erdoor. Een klant die een .doc-document stuurt, moet opgebeld worden om te vragen naar een document met de meest recente extensie.

Whatsapp was tijdelijk verboden en vervangen door de betalende, gelijkaardige applicatie Treema.

Office 365 is het enige werkpakket dat gebruikt mag worden. Het bedrijf kiest nu voor een veilig pakket in de cloud , terwijl vroeger alles op eigen servers draaide. 

“Positief aan de hack was dat we net op tijd voorbereid waren op de coronacrisis”, zegt Timen. “Voordien werkten we niet in de cloud, hadden we weinig middelen om van thuis uit te werken en videovergaderingen te doen. Maar door de hack hebben we nu Office 365 met alle mogelijkheden. Waardoor we deze crisis goed doorkomen.”

Medewerkers mogen zelf geen ZOOM-vergaderingen aanmaken. Alle videovergaderingen moeten via Teams verlopen. Ze mogen wel deelnemen aan een ZOOM opgezet door derden.

Iedereen volgde de cybersecuritytraining waarin de nadruk lag op veilige paswoorden. Timen gebruikt sindsdien de passwordmanager Last Pass. Admin-wachtwoorden worden niet meer gedeeld en veranderen regelmatig.

Bij verdachte mails bellen Timen en zijn collega’s de verzender even op. Verdachte mails worden niet geopend, wel verwijderd.

Geen enkele klant verloren

Achteraf lijkt de schade mee te vallen. “We zijn geen klanten verloren”, merkt Timen. “Integendeel. In januari en februari stegen de verkoopcijfers elke maand met twintig procent, waardoor we het verlies goed konden maken.” 

Naar de impact op langere termijn, heeft Timen het raden. “De markt vraagt steeds sneller naar automatiseringsoplossingen. Door de hack liepen wij vijf tot zes maanden vertraging op in R&D. Hoe gaat dit zich vertalen in latere ontwikkelingen? In verkoop? Ten opzichte van de concurrentie die niet gehackt werd?”

Kom luisteren naar het verhaal van Pilz

Timen Floré spreekt tijdens het Voka-seminarie 'Cybersecurity Lab voor kmo bedrijfsleiders, managers en operationeel verantwoordelijken'

Meer info

TwitterLinkedIn

Hoe ondersteunt het Vlaams Beleidsplan CS jouw onderneming?

Vlaanderen investeert via het Beleidsplan Cybersecurity fors in onderzoek, praktische toepassingen en omkadering op het vlak van opleiding, bewustmaking en ethische vragen. Hoe ondersteunt het plan jouw bedrijf?