Productie poliovaccin in Bilthoven komt bijna tot stilstand na cyberaanval

Een ochtend in september vorig jaar op het Utrecht Science Park/Bilthoven. In het gebouw van Bilthoven Biologicals (BBio) starten medewerkers hun computer op. Meerdere collega’s merken op dat het intranet niet laadt. Ook andere applicaties starten niet zoals gebruikelijk. De servicedesk raakt overspoeld met telefoontjes. En dan wordt al vrij snel duidelijk dat er iets goed mis is.

Peter Lakenman, directeur Informatiemanagement, kan zich het moment nog goed voor de geest halen. “We zagen zoveel afwijkend gedrag op onze IT-systemen. Dan gaan onmiddellijk alle alarmbellen af en weet je vrij snel dat je het slachtoffer bent geworden van een malware-aanval.”

De cybercriminelen zijn er die ochtend als de kippen bij om de ‘geslaagde’ aanval op Twitter (voorloper van X) te zetten. Ook in een tekstbestandje op de geïnfecteerde systemen maken ze hun eisen duidelijk: Bitcoins.

Grote tijdsdruk

De eerste prioriteit was vanaf dat moment om de schade zoveel mogelijk te beperken, vertelt Peter: “We hebben samen met onze partners een Incident Response Team samengesteld en alle verbindingen met de buitenwereld verbroken. Gecontroleerd uiteraard, geen ‘flick of the switch’. Maar wel onder grote tijdsdruk. Want malware kan zich heel snel verspreiden.” Daarnaast werd er een crisisteam opgetuigd om alle vervolgacties rondom de impact op de bedrijfsvoering nader af te stemmen.

BBio is een van de belangrijkste leveranciers van poliovaccins ter wereld. Het produceert jaarlijks miljoenen vaccins om kinderen te beschermen tegen deze nare ziekte die kan leiden tot verlammingen en soms zelfs fataal is. BBio is voortgekomen uit het Nederlands Vaccin Instituut (NVI) en is in 2011 geprivatiseerd. Tegenwoordig maakt het deel uit van de Cyrus Poonawalla Group en is daarmee onderdeel van het grootste vaccinproducerende bedrijf ter wereld.

Workarounds: controlerondes lopen

En dat betekent dat een productiestop in Bilthoven gevolgen kan hebben voor de volksgezondheid elders in de wereld. Daar was Peter zich zeer van bewust. “We hebben daarom heel goed gekeken naar de impact van het uitzetten van systemen op onze productie. Alle medewerkers die niet direct in het productieproces werken, kregen de opdracht om tijdelijk het werk stil te leggen. Voor de mensen die wel in de productie werken, hebben we workarounds toegepast om door te gaan.”

Dat betekende bijvoorbeeld dat de temperatuurbewaking van koelingsinstallaties niet meer via de geautomatiseerde systemen verliep, maar tijdelijk op zicht en met de hand gedaan moest worden. Manager communicatie Arlette Kessing vult aan: “Er hebben zich collega’s vanuit het hele bedrijf gemeld om 24 uur per dag om de 4 uur controlerondes te lopen en de boel veilig te stellen. De toewijding van onze collega’s maakt ons heel trots.”

Goede communicatie

Een belangrijke factor daarbij was goede communicatie met de medewerkers. Arlette: “We hebben meerdere medewerkersbijeenkomsten georganiseerd. Onze grootste zorg was namelijk niet zo zeer dat het vaccinrecept op straat zou komen te liggen. De receptuur wordt al sinds de jaren 60 rijkelijk gedeeld in de wereld. Onze grootste zorg – behalve stilstand van het productieproces - was het mogelijk lekken van persoonlijke gegevens van onze medewerkers. We hebben vanaf moment één eerlijk gezegd dat die kans aanwezig was. We hebben mensen aangeboden te helpen als het nodig zou zijn. Bijvoorbeeld met de aanvraag van een nieuw identiteitsbewijs of andere documenten.”

Essentiële sector

Tot nu toe is er nog niet gebleken dat er persoonsgegevens gelekt zijn. Tot grote opluchting van het bedrijf. BBio heeft het datalek gemeld bij de Autoriteit Persoonsgegevens (AP), zoals wettelijk verplicht is. Ook is er aangifte gedaan bij de politie. Peter: “Dat werd heel serieus opgepakt. We hebben heel prettig contact gehad en werden goed begeleid bij het invullen van de aangifte.”

Verder zijn er medewerkers van het Nationaal Cyber Security Centrum (NCSC) bij BBio langs geweest. Peter: “Tijdens COVID maakten wij deel uit van de essentiële sector, vandaar dat we al wat contactpersonen hadden bij het NCSC. En ons gebouw is op hetzelfde terrein als het RIVM. Dus vanuit het NCSC wilden ze graag zeker weten dat er niks was over overgevloeid daarnaartoe.”

Terug naar normaal

Al met al kijken Peter en Arlette positief terug op de manier waarop ze werden bijgestaan. Arlette: “Het is voor bedrijven heel prettig om te weten dat er organisaties zijn die klaar staan om je te helpen. We voelden ons niet alleen en hebben ons echt gesteund gevoeld. En niet in de laatste plaats door onze medewerkers die echt overuren draaiden om te helpen. We zijn daar met recht trots op.”

Na een week draaide het bedrijf weer de normale productie. Peter: “Dankzij de inrichting van de IT-architectuur konden we makkelijk terug naar onze back-ups. Bovendien waren onze belangrijkste systemen niet getroffen, omdat die niet direct gekoppeld zijn aan het netwerk.”

Achterdeurtje

“Het is met een sisser afgelopen,” zegt Arlette. BBio was er gelukkig snel bij en oefent dit soort crisisscenario’s voortdurend. Dat heeft geholpen. Toch heeft de aanval opnieuw doen inzien hoe belangrijk het is om te investeren in bewustwording van medewerkers. Peter: “Waarschijnlijk hebben de hackers via social engineering of phishing een achterdeurtje weten te forceren. De menselijke factor blijft de zwakste schakel in je bedrijf. Daar moet je je bewust van zijn. Dus investeer daarin.”

BBio heeft geen moment overwogen om de cybercriminelen tegemoet te komen in hun Bitcoin-eis. Het onderhandelen met cybercriminelen zou bovendien alleen maar onnodig tijdverlies opleveren. Het op gang houden van de productie en herstarten van de systemen had de prioriteit. Arlette: “We hebben het gelukkig kunnen opvangen met onze voorraden. Als dit veel langer had geduurd, hadden we na enige tijd wél een leveringsprobleem gehad en waren wellicht vaccinatiecampagnes in het geding gekomen. Deze hackers spelen echt met mensenlevens.”