Benieuwd hoe de National Museum of the Royal Navy de cyberaanval oplostte? Bekijk of luister naar DEN's podcast Cultuurshift seizoen 3, aflevering 6: Zo voelt een cyberaanval. En zo voorkom je het.
George Wilson staat op het vliegveld van Southampton, onderweg naar hun museum in Belfast om nieuwe collega’s in te werken als hij hoort dat er iets niet in orde lijkt met hun systemen. Hij maakt zich geen grote zorgen en vermoed dat het iets te maken heeft met de nasleep van een storing van een paar weken geleden. Als hij landt, anderhalf uur later, wordt de ravage duidelijk.
Driekwart van de systemen
Van de twintig digitale systemen, liggen er veertien volledig plat. Zowel de voorkant (de kaartverkoop) als de achterkant (e-mail, bestanden, collectiebeheer) blijkt versleuteld door criminelen.
Mobiele pinapparaten kopen
De eerste 24 tot 48 uur probeert hij grip te krijgen op de omvang en impact. Als driekwart van je organisatie platligt, kun je niet alles tegelijk repareren. Wilson en zijn directieteam moesten scherpe keuzes maken. Hun absolute prioriteit was het ticketingssteem: 80% van de inkomsten van het museum komt uit kaartverkoop.
George: “We zijn toen meteen van die mobiele kaartlezers en pinapparaten gaan kopen die je aan een telefoon kunt koppelen. De meeste mensen betalen op onze locaties nu eenmaal met hun kaart, dus we wilden de bezoekers op dat vlak absoluut niet in de kou laten staan.”
Tegelijkertijd waren er ook meteen andere zorgen: was er ook bezoekersinformatie en andere gevoelige data gestolen? Het duurde uiteindelijk zes weken om dat honderd procent uit te kunnen sluiten.
Prioritering en mentale belasting
Tweede prioriteit waren de systemen die met de collectie te maken hadden.
“Tot februari hadden we werkelijk geen idee hoe de database eraan toe was. Die onzekerheid was vreselijk. Je hebt het over veertig jaar aan werk waar je met het hele team aan hebt gebouwd, en je weet simpelweg niet of je er ooit nog bij kunt.”
Voor een museum dat draait op het behoud van erfgoed bracht de onzekerheid een enorme mentale belasting met zich mee voor het team. Pas na maanden van intensief onderzoek bleek de database gelukkig intact.
400 apparaten handmatig resetten
Het team van George wil er zeker van zijn dat er geen malware of virus op laptops en telefoons zit. Deze omvangrijke organisatie zit op zes locaties door het Verenigd Koninkrijk. Alles moest naar 1 plek gebracht worden en zo’n 400 apparaten moesten daarom volledig gewist en gereset worden, dat alleen al is een enorme operatie. Er bleek inderdaad mee gerommeld.
De lessen voor jouw eigen organisatie
Hanteer de 3-2-1 backup-regel
Zorg voor minimaal drie kopieën van je data, verspreid over twee verschillende locaties, waarvan er tenminste een volledig offline is.
Test je herstelprocedure
Een backup hebben is een ding, maar weet je ook hoe lang het duurt om deze terug te zetten? Door dit regelmatig te testen, voorkom je verrassingen tijdens een echte crisis.
Dicht de technische gaten
Gebruik virusscanners en blijf up-to-date met software-updates.
Backups
“Ik zou het van de daken willen schreeuwen,” stelt Wilson stellig, "een van onze belangrijkste lessen gaat over backups.”
George: “Juist dat allerlaatste stukje, die offline backup, misten we op het moment van de aanval. Daardoor zijn we een aantal systemen definitief kwijtgeraakt en moesten we die vanaf de grond opnieuw opbouwen.
"Als ik andere organisaties dus één ding op het hart mag drukken, is het dit: zorg dat je back-up-systemen écht waterdicht zijn.”
Hoe zijn ze binnengekomen
Het museum maakte gebruik van Microsoft Defender, wat er gelukkig voor zorgde dat de verspreiding van de gijzelsoftware binnen het netwerk beperkt bleef. Toch vonden de criminelen een gaatje. De boosdoener bleek een kwetsbaarheid in een Microsoft Exchange-server.
“Het was dus geen menselijke fout, zoals een phishingmail,” legt George uit. “Ze hebben puur een technisch lek in het systeem misbruikt om zo naar binnen te glippen.”
Niets gestolen
De afwikkeling van de aanval verliep merkwaardig. Er werd namelijk geen losgeld geëist en er is niets gestolen. Een heel vreemde situatie, volgens George.
George: “Het was echt een heel vreemde situatie. Normaal gesproken laten die gasten een losgeldbrief achter en zoeken ze direct contact met je om te onderhandelen. Bij ons ging dat anders. We vonden wel een brief, maar dat was overduidelijk een slordige knip-en-plak-template. Er stond niks specifieks over ons in. Er werd alleen gezegd: 'Kom naar deze chatroom op het darkweb, daar wachten we op je om te praten.' We zijn daar uiteindelijk gaan kijken, maar er kwam alleen nooit iemand opdagen. Heel bizar.”
Geen concreet bericht, geen geld eisen en geen enkel contact. Het vermoeden binnen het museum is dan ook dat het gaat om een soort opportunistische oefening.
Wakker geschud
Een jaar eerder was The British Library aangevallen. “Dat had ons echt wakker geschud.” Ze waren net bezig met de eigen online veiligheid te vergroten, geïnspireerd door de geleerde lessen van de British Library, toen het de erfgoedorganisatie zelf overkwam.
Dat is ook de reden dat hij meewerkt aan de podcast Cultuurshift: “Als er maar een organisatie is die van onze verhaal leert, is mijn missie volbracht.”
Podcast Cultuurshift seizoen 3
In het derde seizoen van de podcast Cultuurshift spreken we elke aflevering een andere buitenlandse pionier op het gebied van cultuur en technologie. Denk aan innovaties rondom gamification, AI en datagedreven werken. Hoe pakken zij het aan en wat is de grote meerwaarde voor hun publiek én organisatie?
Host Anic van Damme en sidekick Splinter Chabot bespreken deze case met een expert uit de sector en stellen de vraag: welke inspiratie kunnen wij in Nederland halen uit dit voorbeeld?
Meer artikelen per onderwerp
