Bühlmann uit Zaventem is een industriebedrijf met een breed aanbod. Het bedrijf levert onder meer oplossingen voor tram, metro en trein, zoals signalisatie en materieel voor bovenleidingen, onderstations en onderhoud. Andere divisies richten zich op werktuigmachines, industriële opslag en automatisering. De voorbije tachtig jaar surfte Bühlmann mee op de technologische evoluties in zijn branche. Daarbij is een sleutelrol weggelegd voor informatisering. Vorig jaar besliste het bedrijf de beveiliging van zijn IT-omgeving te professionaliseren.

"We kregen e-mails met malware die onze antivirusoplossing niet opmerkte", zegt managing director Brice Bühlmann. "Twee keer was er een medewerker die een besmette file aanklikte en daarmee malware binnenhaalde." Pech, zo bleek, want de attachments zetten een cryptolocker aan het werk. Bij beide incidenten versleutelde de malware alle data van het bedrijf. Al bij al bleef de schade beperkt. "We beschikten over een goed systeem voor data recovery. Bij het eerste incident verloren we de data van de twee voorbije werkdagen. We hebben toen een aantal klanten opnieuw moeten contacteren, onder meer omdat we een stuk van de e-mailcorrespondentie kwijt waren. Bij het tweede incident was er geen dataverlies, maar waren we wel een dag werk kwijt."

Een beetje beveiliging heeft geen zin

Niet statisch

Security is geen statisch gegeven. Bovendien heeft een beetje beveiliging geen zin. Het is alles of niets. Bühlmanns antivirusoplossing bleek onvoldoende. Bovendien toonden de incidenten ook aan hoe de menselijke factor binnen een securitybeleid heel vaak de zwakste schakel blijft. De berichten zagen er op het eerste gezicht bonafide uit, waardoor de medewerkers - zich van geen kwaad bewust - de geïnfecteerde bijlagen openden.

Om nieuwe incidenten in de toekomst te vermijden, vroeg Bühlmann aan zijn IT-partner Waslet IT Services & Solutions om de security van het bedrijf te herdefiniëren. Waslet stelde voor over te stappen op SEREN-IT, een dienst die tegelijk het netwerk en de pc's van de gebruikers beschermt. In de eerste plaats bestaat de oplossing uit een Cisco Firewall MX64. Die filtert alle inkomende verkeer - waaronder e-mail - en houdt verdachte berichten tegen nog voor ze in de mailbox van de gebruiker belanden. Met Sourcefire Snort beschikt de firewall ook over een oplossing voor intrusiepreventie. Waslet rondde de implementatie van de firewall binnen één dag af.

Eén minuut maakt het verschil

SEREN-IT combineert de firewall met nog drie andere toepassingen. Cisco Cloud Email Security controleert elke e-mail en elke bijlage en houdt zo besmette files - zoals ransomware - en phishingberichten tegen. Cisco Umbrella beveiligt de medewerkers wanneer ze op verplaatsing werken of op het internet surfen. Tot slot is er nog Cisco Advanced Malware Protection for Endpoints (AMP) dat de toestellen van de medewerkers beschermt door files te scannen op malware. Die bescherming werkt ook retroactief. AMP houdt bij welke bestanden de gebruiker in het verleden heeft gedownload. Worden die pas later als malware ontmaskerd, dan treedt de oplossing er alsnog tegen op.

AMP verifieert elk ontvangen bestand met een databank waarin Cisco ruim een half miljard bekende malwarebestanden heeft verzameld. Die screening vraagt uiteraard wat tijd. "We ontvangen e-mail met een minuut vertraging", zegt Brice Bühlmann, maar dat neemt de ondernemer graag voor lief. "We werken heel internationaal, ook met landen waaruit vaak cyberaanvallen afkomstig zijn. Met de oplossingen van Cisco kunnen we dat risico volledig indammen."