Hoe de hack wél de systemen, maar niet de veerkracht van RTV Noord platlegde

Door: Noor Vloeimans

De ontdekking
Stephan Kosters heeft er zin in, op donderdag 6 november. Hij valt de hele week in voor presentator Edwin Pasveer, die vakantie heeft. Als de deuren ’s ochtends vroeg om 5.00 uur voor hem en nieuwslezer Rob de Vries open zoeven, zet Stephan de computers in de radiostudio aan en loopt door naar de koffieautomaat. Met een kop koffie loopt hij de radiostudio in. Het valt meteen op: het beeld op de monitors is bevroren. Hij zucht: het is niet de eerste keer dat de computers vastlopen.

Hij belt Ruben, de technicus van dienst, uit bed. Ook die is niet meteen in paniek, probeert thuis in te loggen, wat niet lukt. Na verschillende pogingen om de boel aan de praat te krijgen, ziet Stephan de tijd voorbij kruipen: het gaat richting zes uur, de start van de radioshow nadert. Producer Sergej in ’t Veen is er inmiddels ook. Dan belt de technicus terug. Hij kan thuis ook niks. ‘Het lukt me vanaf hier niet, ik kom naar Noord toe.’

Stephan overlegt met zijn radiocollega’s. We kunnen geen muziek draaien als de systemen zijn vastgelopen. Wat als we niemand kunnen bellen vanuit de studio? Sergej en Rob lopen een rondje door het lege pand, op zoek naar cd’s. Ze vinden er één: die van de zingende buschauffeur Burdy.

Dan wordt het 6.00 uur, het moment waarop Stephan de show opent. De microfoons doen het gelukkig, hij kan live op de zender. De redding? Een ouderwetse platenspeler naast de momenteel onbruikbare schuiven en knoppen. Het decor komt goed van pas: platen worden van de muur gehaald en op de speler gelegd. De naald zakt in de groef van het vinyl: Dolly Parton, Working nine to five klinkt op de zender.

Er zijn meer platen nodig, want met alleen die uit het decor en die van Burdy valt geen volledige radioshow te maken. Sergej springt in de auto om van huis een koffertje platen te halen uit zijn omvangrijke, alfabetisch gedocumenteerde collectie. Die ochtend klinken voornamelijk artiesten uit het koffertje met ‘B’ op Radio Noord. Tussen de Bee Gees, Burdy en Bruce Springsteen is Stephan in zijn element. Hij heeft de voorbereidingen voor de radio-interviews gelukkig wel, omdat hij die naar zichzelf gemaild had de avond van tevoren.

Groningen wordt wakker met een grotendeels geïmproviseerde radioshow, al merkt de luisteraar daar niets van. Het loopt ondertussen richting 9.00 uur en andere collega’s druppelen het pand binnen. Zij hebben inmiddels ook gehoord over de ‘grote technische storing’. Sommigen brengen cd’s mee, anderen vinyl. Alles wordt gretig aangenomen en afgespeeld.

Als de ochtendshow erop zit, dringt de omvang van het probleem bij steeds meer medewerkers door. De afdeling techniek weet al sinds de vroege ochtend dat het waarschijnlijk om een hack gaat, dit wordt nu intern met meer mensen gedeeld. Verloven van medewerkers van de techniekafdeling worden ingetrokken, zij worden zo snel mogelijk op kantoor verwacht. Dit is serieus. Iedereen beseft: deze ‘technische storing’ is te groot om zelf op te kunnen lossen.

RTV Noord besluit externe hulp in te schakelen. Jorg Ebbers, die deze week is begonnen als hoofd ICT en mediatechniek, belt met spoed een cybersecurity-bedrijf. ‘Een interessant begin bij een nieuwe werkgever’, zegt Ebbers later.

Hun opdracht is helder: helpen bij snel herstel, forensisch onderzoek doen en schade beperken. Vanaf dat moment draaien de security-specialisten mee in het hart van de organisatie, naast de technici van Noord. Een van de eerste boodschappen van de specialisten aan het crisisteam is: dit is een marathon, geen sprint.

De aanvaller
Wat op dat moment nog niemand weet, is dat de aanval al veel eerder is begonnen. Dat wordt pas dagen later duidelijk wanneer de security-specialisten de logbestanden en sporen analyseren. Ook wordt dan duidelijk dat het geen gerichte aanval op RTV Noord als journalistieke organisatie is. 

Al op 26 oktober hebben de aanvallers, een internationale groep hackers, via een kwetsbaarheid in het systeem toegang gekregen tot het netwerk van RTV Noord. Ze installeren spionagesoftware, breiden hun rechten uit en bewegen zich daarna vrij door het netwerk. Medewerkers merken niets. De hackers nestelen zich geruisloos in de systemen. In de dagen die volgen downloaden de aanvallers ruim 80.000 bestanden.

In de nacht van 5 op 6 november bereiden de hackers de versleuteling voor. In de vroege ochtend loopt de boel vast, net voor Stephan de computers in de radiostudio opstart. Pas als hij zijn kop koffie leeg heeft merkt hij dat er meer aan de hand is dan een vastgelopen computer.

De criminelen zoeken contact door een bericht achter te laten. Zij willen in onderhandeling met RTV Noord. Stukje bij beetje wordt in de dagen die volgen duidelijk wat de hackers hebben buitgemaakt. Voor medewerkers blijft het dagenlang onzeker wat dat voor hen persoonlijk betekent. Pas een week na de hack kan RTV Noord de balans opmaken: van alle medewerkers zijn namen, mailadressen en banknummers buitgemaakt. Bij een aantal medewerkers gaat het om meer: ook kopieën van paspoorten en woonadressen zijn gestolen. Nu de omvang van de hack duidelijk is, stopt de communicatie met de hackers.

Wat nu? Er wordt snel gehandeld. Alle medewerkers worden uitgenodigd voor een informatiebijeenkomst. De mensen van wie meerdere gegevens gestolen zijn, worden eerder op de dag individueel gebeld. ‘Het waren dezelfde zenuwen als ik had voor mijn eindexamen’, zegt een collega. Hij krijgt te horen dat een kopie van zijn paspoort en zijn woonadres gestolen zijn. Hij hoort het gelaten aan: hij had al verhuisplannen.

De onzekerheid
Op de ochtend van 6 november belooft het in Miami, 8.000 kilometer verderop, een stralende dag te worden als RTV Noord-directeur Nina Nomden wakker wordt op de eerste dag van haar vakantie. Ze heeft er zin in: twee weken met haar man en kinderen door Florida trekken. Vanaf het moment dat ze haar telefoon van het nachtkastje pakt, kan ze dat vooruitzicht vergeten. Ze is overspoeld met berichten uit Groningen, waar het inmiddels rond het middaguur is. Nina weet: ze moet direct terug. Drie uur achter elkaar hangt ze aan de telefoon met de Raad van Toezicht en vergadert ze online met het managementteam van RTV Noord en het cybersecurity-bedrijf, tot haar man haar op Miami International Airport afzet. Tijdens de eerste online meeting schiet even door haar heen: ‘Zijn deze IT-specialisten wel te vertrouwen? Het is een voor ons bedrijf vreemde partij.’ Na navraag in haar omgeving blijkt dat het een gerenommeerd IT-bedrijf is.

Op Miami International Airport informeert ze telefonisch de RPO, de koepelorganisatie van regionale omroepen, en het ministerie van OCW, waar de publieke omroepen onder vallen. Vrijdagochtend 7 november landt ze op Schiphol. Na een rit door de mist met een collega die haar ophaalt, parkeert ze haar koffer in haar werkkamer. Jetlag, maar geen tijd te verliezen: er is een crisisteam opgetuigd en haar kamer is het ‘commandocentrum’. Daar wordt meerdere keren per dag overlegd over de status van het herstel, het contact met de aanvaller, het forensisch onderzoek en hoe over de hack intern en extern te communiceren. Zodra de opgetrommelde security-specialisten uitleg geven, komt Nina meer tot rust. ‘Deze mensen weten wat ze doen. Ze namen stap voor stap de onzekerheid weg.’

In de eerste dagen doet ze samen met collega Jorg aangifte bij de politie, wordt de Autoriteit Persoonsgegevens op de hoogte gebracht en wordt een gespecialiseerd juridisch bureau ingeschakeld. Ze vergadert dagenlang en komt alleen thuis om te slapen. ‘Ik wist amper nog welke dag het was op een gegeven moment’, blikt ze terug.

In de week die volgt komt het crisisteam steeds meer te weten over de hackers. Op vrijdag 14 november, nadat intern bekend is gemaakt welke persoonlijke gegevens door de aanvaller zijn buitgemaakt, staat Nina met security specialist Bryan voor de groep om alle vragen te beantwoorden. Medewerkers zijn onzeker en ongerust. Moet ik mijn bank bellen? Een nieuw paspoort aanvragen? Voorzichtig zijn online de komende tijd? Krijgen we wel salaris uitgekeerd?

Er leven zorgen. Niet alleen over de gestolen data. Al meer dan een week wordt er via soms gecompliceerde omwegen gewerkt. Collega’s zijn in afwachting van goed nieuws. Daar zijn ze wel aan toe. Helaas is de enige zekerheid onzekerheid. Wat er met de gestolen data gaat gebeuren, weet niemand. Het is niet duidelijk wanneer alle systemen weer werken. Maar door goede veiligheidsmaatregelen en backups kan alles op termijn worden hersteld. 

‘Betalen hebben we nooit overwogen’, zegt Nina, ‘we onderhandelen niet met criminelen met publiek geld. Bovendien zijn er geen betrouwbare afspraken met criminelen te maken.’

Open einde
Het is halverwege december en in het pand van RTV Noord branden overal kerstlampjes. Sommige collega´s hebben de kersttruien en -mutsen uit de kast getrokken. Er komen relatiegeschenken binnen om het jaar uit te luiden. ‘Hartverwarmend’, noemt Nina de handreikingen die van buiten gedaan worden. Praktische hulp, maar ook krijgt Noord allerlei lekkers van andere regionale omroepen opgestuurd; Friese oranjekoek, Brabantse worstenbroodjes en Zeeuwse bolussen.

Het einde van het jaar nadert, maar het einde van de gevolgen van de hack nog niet. Voor de buitenwereld lijkt het alsof alles weer normaal is, maar dat is niet zo. Niet alle redactiesystemen zijn terug online, artikelen publiceren gaat nog via een omweg. De eerste opwinding over de hack is verdwenen en er speelt soms wat irritatie op.

Toch blijft het optimisme overeind. Nina: ‘We komen hier met zijn allen doorheen. Ik ben ongelofelijk trots op de manier waarop alle medewerkers zijn omgegaan met de hack. De creativiteit, flexibiliteit en saamhorigheid die iedereen heeft laten zien, waren indrukwekkend. Onder grote druk is er door alle collega’s, als één team, een topprestatie geleverd. Ondanks de hack is onze functie als calamiteitenzender niet in gevaar gekomen.’ 

Lees ook:
– RTV Noord geeft medewerkers openheid over hack: ‘Iedereen moet weten waar hij aan toe is’
– RTV Noord heeft nog steeds last van cyberaanval, nieuwsvoorziening online weer opgestart