Een productiebedrijf met 65 medewerkers, geautomatiseerde CNC-machines en just-in-time leveringen aan de auto-industrie. Elke minuut stilstand kost direct geld. Dit is het verhaal van hoe een pentest niet alleen kwetsbaarheden blootlegde, maar een maand later een echte aanval afweerde.
De situatie: een valse gerustheid
Zoals veel Vlaamse KMO’s dacht de zaakvoerder dat zijn bedrijf veilig was. Er was een firewall, een IT-partner die regelmatig updates uitvoerde, en het bedrijf draaide prima. Waarom zou je je zorgen maken?
Maar door de groei van het bedrijf was de IT-infrastructuur organisch meegegroeid. Voor het onderhoud van de productielijn hadden externe leveranciers toegang nodig tot de machines. Daarvoor was een VPN-verbinding opgezet, zodat technici vanop afstand aan de PLC’s konden werken. PLC’s zijn de industriële computers die de CNC-machines aansturen. Handig en efficiënt, maar met één cruciaal probleem: niemand had recent gecontroleerd of die toegangspoort nog waterdicht was.
De pentest: een ethische inbraak
Na het lezen over de NIS2-richtlijn en de groeiende eisen vanuit klanten en verzekeraars, besloot de zaakvoerder om geen risico te nemen. Hij schakelde een externe partij in om een infrastructuur pentest uit te voeren. De opdracht was helder: probeer van buitenaf toegang te krijgen tot onze productielijn, zoals een echte hacker dat zou doen.
Een pentest (penetratietest) simuleert een echte aanval op je systemen. Het verschil? De testers zijn ethische hackers die stoppen zodra ze een lek vinden, in plaats van het te misbruiken. Ze rapporteren wat ze aantreffen, zodat je het kunt dichten voordat criminelen het ontdekken.
De ontdekking: het vergeten achterpoortje
Binnen vier uur hadden de ethische hackers een kritiek lek gevonden. De VPN-gateway die gebruikt werd voor het machineonderhoud draaide op verouderde firmware. Er bestond een bekende kwetsbaarheid, een zogenaamde CVE, waarvoor al maanden een beveiligingsupdate beschikbaar was. Die patch was echter nooit geïnstalleerd.
Om het erger te maken: er was geen Multi-Factor Authenticatie (MFA) ingesteld op het leveranciersaccount. De reden? Dat was te lastig voor de externe technici. Het gevolg was dat aanvallers via dit lek rechtstreeks in het OT-netwerk (Operational Technology) konden komen en theoretisch de CNC-machines konden stillegen of de bestanden konden gijzelen met ransomware.
De remediatie: het gat dichten
Het rapport was helder en concreet. Geen dikke bundel met technisch jargon, maar een roadmap met prioriteiten. De IT-partner werd diezelfde avond nog ingeschakeld.
Drie maatregelen werden onmiddellijk doorgevoerd. Ten eerste werd de VPN-firmware geüpdatet naar de laatste versie. Ten tweede werd MFA verplicht gesteld voor alle externe toegang, zonder uitzondering voor leveranciers. Ten derde werden de firewall-regels aangescherpt, zodat VPN-toegang enkel mogelijk was vanaf de specifieke IP-adressen van de leverancier.
Totale doorlooptijd van rapport tot implementatie: twee dagen.
Het bewijs: de aanval die faalde
Een maand na de patch keek de systeembeheerder in de logs van de firewall. Wat hij zag, bezorgde hem koude rillingen.
Op zondagnacht, om 03:14 uur, waren er honderden verbindingspogingen geregistreerd op exact die VPN-poort die ze beveiligd hadden. Een geautomatiseerde bot van een ransomware-bende had het IP-adres van het bedrijf gescand, de kwetsbaarheid herkend en probeerde het standaard exploit-script uit te voeren.
Het resultaat in de logs: ACCESS DENIED. CONNECTION DROPPED.
De aanval was afgeweerd. Niet door geluk, maar door voorbereiding.
De ROI-berekening: wat er niet gebeurde
De zaakvoerder maakte achteraf de rekensom van wat er gebeurd zou zijn als ze de pentest niet hadden uitgevoerd en de aanval op zondagnacht was geslaagd.
Het scenario als de aanval gelukt was
Bij een succesvolle ransomware-infectie zouden de hackers de servers en de aansturing van de machines versleutelen. De fabriek zou maandag en dinsdag volledig stilliggen, een productiestilstand van 48 uur.
Het kostenplaatje zou er als volgt uitzien. Omzetverlies en loonlast voor 48 uur stilstand: 72.000 euro. IT-crisisinterventie en herstel door een forensisch team, met weekendtarief: 15.000 euro. Contractuele boetes wegens late levering aan klanten in de auto-industrie: 13.000 euro. De totale geschatte schade: 100.000 euro. En dan zijn het eventuele losgeld en de reputatieschade nog niet meegerekend.
De werkelijke investering
De investering in de pentest en de daaropvolgende remediatie was een fractie van die potentiële schade. Door proactief te handelen heeft het bedrijf een verlies van 100.000 euro voorkomen.
De echte ROI van cybersecurity: stilte
De return on investment van deze preventie was niets. Geen paniektelefoontjes op maandagochtend. Geen stilstaande productieband. Geen krantenkoppen. Geen moeilijke gesprekken met klanten over gemiste leveringen.
Alleen een saaie regel in een logbestand: Access Denied.
In cybersecurity is stilte het geluid van succes. Je betaalt niet voor wat je ziet, maar voor de rampen die je nooit zult meemaken.
Veelgestelde vragen over pentesten en cybersecurity
Wat is een pentest precies?
Een pentest (penetratietest) is een gecontroleerde aanval op je IT-infrastructuur door ethische hackers. Zij zoeken dezelfde kwetsbaarheden als criminelen, maar rapporteren ze zodat je ze kunt dichten. Het resultaat is een concreet rapport met prioriteiten en oplossingen.
Hoe lang duurt een pentest?
De uitvoering van een pentest duurt meestal enkele dagen tot een week, afhankelijk van de omvang van je infrastructuur. Het rapport volgt kort daarna, zodat je snel aan de slag kunt met de bevindingen.
Is een pentest verplicht onder NIS2?
NIS2 vereist dat organisaties hun cybersecurityrisico’s in kaart brengen en passende maatregelen nemen. Een pentest is een van de meest effectieve manieren om kwetsbaarheden te identificeren en aan te tonen dat je je beveiligingsplicht serieus neemt.
Wat is het verschil tussen een vulnerability scan en een pentest?
Een vulnerability scan is geautomatiseerd en controleert op bekende kwetsbaarheden. Een pentest gaat verder: ethische hackers proberen actief binnen te dringen en combineren meerdere zwakke punten, net zoals echte aanvallers dat doen.
Kan ik subsidie krijgen voor een pentest?
Ja, via de KMO-portefeuille kun je als Vlaamse KMO subsidie krijgen voor cybersecurity-advies en -audits. Dit maakt de investering in een pentest een stuk toegankelijker.
Weet waar je kwetsbaar bent
Wil je weten of jouw bedrijf een vergeten achterpoortje heeft? Een infrastructuur pentest geeft je helderheid. Je krijgt een concreet rapport met prioriteiten, geen dikke bundel die stof verzamelt.
Plan een vrijblijvend gesprek en ontdek hoe je jouw productie kunt beschermen tegen de ransomware-bendes die ’s nachts op zoek zijn naar open deuren.
