MediaMarkt werd onlangs opgeschrikt door een grote cyberaanval. Retailers blijken hier sowieso extra gevoelig voor. Hoe komt dat en wat valt ertegen te doen?
Vijftig miljoen dollar. Dat is de som geld die hackers eisten van MediaMarkt om de gegijzelde computersystemen weer vrij te geven. Een behoorlijk bedrag, waarvan de criminelen ongetwijfeld weten dat die bij het elektronicaconcern wel te halen is. De omzet van eigenaar Ceconomy bedraagt bijna 21 miljard euro. MediaMarkt wil zelf overigens niet bevestigen of het geëiste 'losgeld' klopt.
De aanval op MediaMarkt laat maar weer eens zien dat gehackt worden allang niet meer iets is van onoplettende internetters die schimmige e-mails openen en op rare links klikken. Een maand vóór de aanval op MediaMarkt luidt INretail al de noodklok over de cyberveiligheid van retailers. Bij een inventarisatie onder zijn leden bleek dat ruim zeventig procent wel eens te maken gehad heeft met online criminaliteit.
Grote gevolgen
De urgentie wordt te vaak nog niet gevoeld, stelt de brancheorganisatie. En dat terwijl de...
MediaMarkt werd onlangs opgeschrikt door een grote cyberaanval. Retailers blijken hier sowieso extra gevoelig voor. Hoe komt dat en wat valt ertegen te doen?
Vijftig miljoen dollar. Dat is de som geld die hackers eisten van MediaMarkt om de gegijzelde computersystemen weer vrij te geven. Een behoorlijk bedrag, waarvan de criminelen ongetwijfeld weten dat die bij het elektronicaconcern wel te halen is. De omzet van eigenaar Ceconomy bedraagt bijna 21 miljard euro. MediaMarkt wil zelf overigens niet bevestigen of het geëiste 'losgeld' klopt.
De aanval op MediaMarkt laat maar weer eens zien dat gehackt worden allang niet meer iets is van onoplettende internetters die schimmige e-mails openen en op rare links klikken. Een maand vóór de aanval op MediaMarkt luidt INretail al de noodklok over de cyberveiligheid van retailers. Bij een inventarisatie onder zijn leden bleek dat ruim zeventig procent wel eens te maken gehad heeft met online criminaliteit.
Grote gevolgen
De urgentie wordt te vaak nog niet gevoeld, stelt de brancheorganisatie. En dat terwijl de gevolgen vaak ernstig zijn. In twintig procent van de gemelde situaties kan niet meer worden gewerkt en zijn winkels niet bereikbaar voor klanten en leveranciers. Ook is er het risico van reputatieschade en schade aan de infrastructuur. Bovendien moeten retailers in 22 procent van de gevallen van cybercriminaliteit externe IT-specialisten inhuren of aanvullende software kopen (13 procent) om de problemen op te lossen. Een dure grap.
Afgelopen zomer wees ABN Amro er al op dat retailers extra kwetsbaar zijn voor cybercriminaliteit. Na de financiële dienstverlening, industrie en energie is retail wereldwijd de zwaarst getroffen sector door cybercrime, schrijft de bank in een cybersecurity-rapport. Retailers worden steeds vaker getroffen doordat zij meer data gebruiken, bijvoorbeeld om klantbehoeften te voorspellen. Daarnaast hebben veel winkeliers vanwege de lockdowns gekozen voor online afzetkanalen. Hierdoor is het risico op een datalek toegenomen, wat kan leiden tot grote reputatieschade en klantverlies.
Het gevaar van thuiswerken
Een andere belangrijke, nieuwe risicofactor: het thuiswerken. Sinds de start van de coronacrisis zijn hele kantoortuinen voor langere tijd verplaatst naar de huiskamers. “Mensen werken op allerlei devices en weten zelf niet hoe ze die goed moeten beschermen”, vertelt Sander Hofman, manager of sales engineering van beveiligingsspecialist Mimecast. “Er is een explosie geweest van het gebruik van allerlei applicaties om samen te werken, documenten te delen en te communiceren. Zonder direct na te denken over wat dan de beveiligingseisen moeten zijn. Dat geeft een enorme druk op de securityteams van organisaties.”
De Mandemakers Groep kan daarover meepraten. De keukenspecialist is afgelopen zomer getroffen door een grote hack. Een direct gevolg van corona, zegt ceo Robert Coppens. “We hebben heel snel werkplekken moeten uitgeven om thuis te werken. Daar zat een verbinding in die niet goed beveiligd was.” Via de computers van een van de medewerkers is zo malafide software het bedrijfsnetwerk binnengekomen en kregen hackers wachtwoorden in handen.
In het geval van Mandemakers bleef de schade relatief beperkt. “De kantoorautomatisering is stilgelegd, maar de individuele ERP-, kassa- en magazijnsystemen bleven draaien.” Concreet gevolg was dat alleen twee dagen geen meubels geleverd konden worden. De sanitairbedrijven, die op andere systemen werken, draaiden gewoon door.
Geen omzetdip
Met veel pijn en moeite heeft Mandemakers uiteindelijk een backup kunnen maken. Een inschatting van de schade durft Coppens niet te maken. “We hebben twee dagen geen meubels kunnen leveren, maar daarmee houdt de verkoop niet op. Je kunt alles nog op een briefje schrijven en alsnog in het systeem zetten zodra het weer werkt.” Bovendien zijn binnen een week alle stilgelegde leveringen ingehaald.
Van de gevreesde merkschade heeft Mandemakers volgens Coppens niets gemerkt. “We hebben geen omzetdip gezien.” Klanten toonden volgens hem veel begrip. Goed en open communiceren is daarbij de sleutel, zegt de directeur. “Niet alleen schriftelijk, maar ook telefonisch. Daarnaast hebben inmiddels zoveel bedrijven hiermee te maken gehad. Klanten begrijpen dat wel.”
Inmiddels zijn extra maatregelen getroffen om herhaling te voorkomen. Alle systemen zijn met tweetrapsauthentificatie beveiligd, er wordt bijna alleen nog met eigen hard- en software gewerkt en verbindingen naar buiten die niet frequent gebruikt worden zijn afgesloten. Honderd procent uitsluiten dat het nog eens gebeurt kan Coppens niet. “Dat kan niemand. Het is net een huis: je kunt er alles aan doen om inbrekers tegen te houden, maar als ze echt naar binnen willen komen ze toch binnen.”
Dat binnenkomen van ransomware kan op verschillende manieren. E-mail is nog steeds veruit de belangrijkste. “Negentig tot 94 procent van de bedreigingen komt binnen via het e-mailplatform”, zegt Hofman. Dat kan het zakelijke e-mailplatform zijn, maar net zo goed een privé-account van een medewerker.
Criminelen gaan niet meer weg
Zijn de criminelen eenmaal binnen, dan zullen ze niet snel meer weggaan. “Als je zoals MediaMarkt met de rug tegen de muur wordt gezet, kun je twee dingen doen”, zegt Hofman. “Heel snel backups maken en je systemen resetten óf het gevraagde geldbedrag betalen in ruil voor de toegangssleutel.” Dat laatste is erg gevaarlijk, waarschuwt hij. “Als je betaalt, krijg je heus de key wel. Maar de criminelen gaan niet meer weg uit je omgeving. Dus de kans dat het weer gebeurt is aannemelijk.”
Het trainen van medewerkers in hoe om te gaan met inkomende e-mails – niet op links klikken bijvoorbeeld – zit er bij de meeste retailers wel in. Waar veel organisaties volgens Hofman minder zicht op hebben, is hun eigen domeinnaam. “Weet MediaMarkt bijvoorbeeld wie er allemaal vanuit zijn naam kan mailen”, vraagt hij zich af. “Hebben zij hun DMARC en SPF (bescherming tegen phisingmails, red.) op orde of zitten daar gaten in?”
Naast de merkschade die ontstaat als klanten mails openen die valselijk vanuit de naam van een retailer worden verstuurd, is het ook aannemelijk dat medewerkers dat soort mailtjes openen. “Zo kun je ook iets je netwerk binnenhalen wat schade berokkent.”
Al met al zijn er een hoop zwakke plekken waar cybercriminelen gebruik van kunnen maken. Enerzijds is de kwetsbaarheid afhankelijk van financiële afwegingen, zegt Hofman. “Heb je voldoende geld om bedreigingen tegen te gaan. Partijen als MediaMarkt, Coolblue en bol.com wel. Tegelijkertijd worden die uit zoveel hoeken aangevallen, dat je maar één zwak moment hoeft te hebben en er is een gat.”
Vaker en vaker
Nog meer zorgen maakt hij zich om die duizenden kleinere retailers in Nederland. Zij hebben vaak niet de mogelijkheid om hun servers, e-mailbeveiliging en firewalls continu up-to-date te houden.
Of we de komende tijd vaker aanvallen als die op MediaMarkt gaan zien? “Ik zou graag zeggen van niet, maar ik weet dat dit vaker en vaker gaat gebeuren”, zegt Hofman. “De kans dat er al criminelen bij je binnen zijn is groter dan dat dat niet zo is. Bij grote bedrijven zullen ze een tijd lang stilletjes binnen blijven zitten, rondkijken, IP-adressen en klantenlijsten stelen. En dan is het niet de vraag of, maar wanneer ze toeslaan.”
