John van Berkum, IT Manager Timber and Building Supplies (TABS) Holland
Timber and Building Supplies (TABS) Holland, een holding van elf leveranciers van hout en bouwmaterialen op de Nederlandse markt, had altijd al aandacht voor de beveiliging van hun netwerk. Met de opkomst van ransomware besloot het bedrijf om nog een stap verder te gaan. Daarvoor schakelde de houtspecialist Cegeka in, dat al instond voor het beheer van hun werkplekken en infrastructuur.
De missie van TABS Holland is 'bouwend Nederland beter laten bouwen'. Al meer dan 220 jaar is de holding actief op de markt van hout en bouwmaterialen, met 101 vestigingen verspreid door heel Nederland. "Beveiliging van ons netwerk is altijd een onderwerp bij ons geweest", legt John van Berkum uit, Manager ICT bij TABS Holland. "We namen de klassieke beveiligingsmaatregelen zoals antimalware, een firewall en patchbeheer al heel serieus. Maar toen we een aantal jaren geleden zagen dat de aanval van de ransomware NotPetya ook veel nevenschade opleverde bij bedrijven die geen rechtstreeks doelwit waren, zoals in de Rotterdamse haven, vroegen we ons af: doen we wel voldoende om zo’n aanval tegen te gaan?"
Bijna dagelijks lees je in het nieuws wel dat er een partij getroffen is door ransomware, zoals een gemeente, een boekhandel of een bank. Als TABS Holland ooit door ransomware getroffen zou worden, zou dat een grote operationele impact hebben. Klanten zouden geen hout of bouwmaterialen meer kunnen kopen omdat de bedrijfsprocessen vastliggen.
Bovendien werkt TABS Holland in een markt met kleine marges: het bedrijf moet het van volumes hebben. Liquiditeit is dan ook heel belangrijk. Daarom wil TABS Holland te allen tijde de continuïteit van zijn primaire bedrijfsprocessen kunnen garanderen.
John van Berkum ziet ook steeds vaker dat bedrijven die financiering zoeken, worden beoordeeld op hun cyberbeveiliging: "In de toekomst krijg je misschien geen financiering meer als je je beveiliging niet op orde hebt."
"In de toekomst krijg je misschien geen financiering meer als je je beveiliging niet op orde hebt."
- John van Berkum, Manager ICT bij TABS Holland
"We werken met meerder partners voor onze ICT. Maar omdat ransomware ook een impact heeft op de werkplekken, was het voor ons logisch om daarvoor Cegeka in te schakelen, dat onze werkplekken al beheerde”, zegt John van Berkum. “We zagen dat EDR (Endpoint Detection & Response) en NDR (Network Detection & Response) in opkomst waren, en we wilden ons daarin verdiepen. Dus we zijn daar met Cegeka over gaan praten."
"Een eigen team van beveiligingsanalisten dat de klok rond alles opvolgt, is voor een bedrijf van onze omvang best intensief", zegt John van Berkum. In een eerste stap implementeerde Cegeka daarom een SIEM (Security Information & Event Management) en een SOC (Security Operations Center) voor TABS Holland, zodat het bedrijf van die taak werd ontlast.
Daarna was het de beurt aan EDR (van Crowdstrike) en NDR (van Vectra). Op elke machine staat nu software die malware en kwaadaardige links detecteert, en die meldingen komen bij het SOC van Cegeka terecht. Als een beveiligingsanalist van het SOC een link als gevaarlijk identificeert, wordt de machine op afstand uitgeschakeld of geïsoleerd, zodat de bedreiging niet verder kan uitbreiden.
TABS Holland is klaar voor een aangeval door ransomware. Het bedrijf heeft meer inzicht in het gedrag van hun netwerk. "Vreemd gedrag wordt nu heel snel ontdekt", zegt John van Berkum. In het begin waren er uiteraard veel valse positieven, en nu komt het ook nog wel eens voor als een beheerder iets nieuws uitprobeert. Maar Cegeka doet de triage van de meldingen.
Op termijn wil TABS Holland geautomatiseerde reacties inzetten. "Ik ben ervan overtuigd dat cyberaanvallen tegenwoordig zo snel gaan, dat je die niet met menselijke triage kunt afhandelen", meent John van Berkum. "We zijn dit nu ook aan het implementeren: als een van onze machines vreemd gedrag vertoont, willen we die pc of gebruiker automatisch kunnen isoleren, tot we hebben kunnen kijken wat er aan de hand is."
John van Berkum contrasteert dit met een ziekenhuis of een systeem voor betaalverkeer: "Daar kun je niet zomaar een systeem automatisch blokkeren nog voordat je zeker bent dat het om een aanval gaat, omdat een blokkade grote gevolgen heeft en soms zelfs mensenlevens kost. Maar bij ons kan dat: wij kunnen een potentiële aanval onmiddellijk blokkeren, en als het vals alarm bleek, heffen we de blokkade op."
Dat Cegeka al de werkplekken en infrastructuur bij TABS Holland beheerde, had zijn voordeel om er ook de beveiliging bij te nemen, zegt Remko Verdouw, Account Manager Infra Services bij Cegeka: "Bij beveiligingsproblemen in de infrastructuur of werkplekken kunnen we onmiddellijk actie ondernemen. Door ons geïntegreerde portfolio kunnen we ook verder nadenken dan alleen beveiliging."
De samenwerking met Cegeka bevalt goed, zegt Rob van Kesteren, Manager Infra, Workplace & Support bij TABS Holland: "Stelselmatig werden de puntjes op de i gezet. Cegeka neemt elke twee weken de rapportage met ons door en daar ben ik tevreden over. Heel simpel gezegd kan ik rustig slapen nu, en dat is veel waard."
"Cegeka neemt elke twee weken de rapportage met ons door en daar ben ik tevreden over. Heel simpel gezegd kan ik rustig slapen nu, en dat is veel waard."
- Rob van Kesteren, Manager Infra, Workplace & Support bij TABS Holland
"Met de opkomst van ransomware ging houtspecialist TABS Holland nog een stap verder en schakelde EDR en NDR software in."