En toen werden de schermen blauw: reconstructie van de cyberaanval op Picanol

Maandagochtend, omstreeks 5 uur: bij Picanol in Ieper loopt een melding binnen uit de vestiging in China. Een drietal uur eerder is het werk daar opgestart, en heeft de IT-afdeling vastgesteld dat niemand nog op de servers van het bedrijf raakt. De Ieperse vestiging blijkt met hetzelfde probleem te zitten. Ook daar is het bedrijfsnetwerk grotendeels ontoegankelijk. 

Op dat moment is het voor niemand duidelijk wat er precies gebeurd is en welke omvang het zal aannemen. De computersystemen van Picanol zijn geïnfiltreerd en vervolgens versleuteld met ransomware. Alle digitale bestanden zijn ‘gegijzeld’– als het bedrijf ze terug wil, moet het betalen. Maar bij Picanol gaat het om meer dan enkele bestanden. Zonder controle over het computernetwerk valt de hele productie stil. De financiële schade is niet te overzien.

Wie zijn kennis over hackers haalt uit cartoons en televisieseries, verwacht meteen een batterij computerschermen die vollopen met gifgroene programmeercode tegen een zwarte achtergrond, of een dreigende doodskop die op de monitor verschijnt. De werkelijkheid is een stuk banaler. Picanol-werknemers die maandag hun computer opstarten, krijgen enkel een blauw scherm te zien – verder niets. De IT-experts vinden in het computersysteem een mededeling, opgesteld in het Engels, met de vraag om contact op te nemen via een bepaald e-mailadres.

Van een andere orde

De bedrijfsleiding roept de hulp in van de politie. Woordvoerder Frederic Dryhoel wordt rond 6u30 gebrieft, hij is dan al op weg naar de fabriek. “Ik werk hier nu bijna 20 jaar, en een aanval van deze orde heb ik nog nooit meegemaakt. We worden in ons hart getroffen. Zelfs het uitsturen van een persbericht lukt niet meer. Het is niet de eerste crisis die we meemaken, maar dit is van een andere orde.”

Ook het personeel inlichten blijkt geen sinecure. De e-mailtoepassingen bij Picanol zijn voor een groot deel onbruikbaar door de hack, en de telefoonlijsten staan opgeslagen op een plek waar niemand nog aan kan. In allerijl worden Whatsapp- en sms-groepen opgezet om het personeel zo goed als mogelijk op de hoogte te houden. 

De vakbonden spelen daarbij een belangrijke rol. Het overgrote deel van de arbeiders is bij hen aangesloten, en de vakbondsafgevaardigden kunnen dus helpen bij het verzamelen van contactgegevens. Al is ook dat niet op vijf minuten gepiept – bij de Belgische vestiging van Picanol werken ruim 1.500 mensen. Honderden onder hen zijn maandagochtend aan het werk wanneer ze merken dat er iets loos is. Iets voor 8 uur krijgen de werknemers te horen dat het om een cyberaanval gaat.

“Die ochtend was het onduidelijk wat er aan de hand was. We hebben in het verleden al wel meer problemen gehad waardoor er tijdelijk niet gewerkt kan worden. Iedereen dacht dat het een klein probleem was”, zegt Stefaan Williams, hoofddélégué van het ACV bij Picanol. Hij kreeg tegen 6 uur ’s ochtends al de eerste ongeruste berichten van werknemers.

Mastodont

Picanol staat internationaal bekend als producent van industriële weefmachines, maar eigenlijk is het een mastodont die vier bedrijven onder één koepel verenigt. Er is een gieterij, waar metaal gesmolten en dan tot onderdelen gegoten wordt; die zullen later op de weefgetouwen gemonteerd worden. Er is een afwerkingsafdeling, waar onderdelen voor allerhande machines worden afgewerkt. Onder de naam Psicontrol worden hypermoderne elektronicacomponenten vervaardigd.

Het Ieperse bedrijf, dat ook productievestigingen heeft in onder meer Roemenië, China, Frankrijk en Mexico, heeft de voorbije jaren stevig geïnvesteerd in automatisering en robotisering. Onderdelen worden bijvoorbeeld door de assembleurs per computer in het magazijn opgevraagd, waarna ze door machines tot bij hen gebracht worden. Alles om het werk zo vloeiend mogelijk te laten verlopen. 

Maar maandag zinkt het besef in: technologie is feilbaar. En als een heel bedrijf afhangt van die technologie, nemen de gevolgen snel dramatische proporties aan. “Picanol werkt met de laatste snufjes, maar nu zien we de keerzijde van de medaille. Dit is een kleine catastrofe”, zegt ABVV-afgevaardigde Mercedes Debels. 

Rond 9 uur wordt duidelijk dat de situatie bijzonder ernstig is. De impact op de werkvloer wordt dan stilaan zichtbaar. De eerste afdeling die stilvalt, is de montage van de weefmachines. Het werk verloopt daar just in time, zoals dat in logistiek jargon heet: per dag worden enkele tientallen toestellen gemonteerd, die meteen de deur uit moeten. De aanvoer van onderdelen die normaal automatisch uit het magazijn gerold komen, valt maandagochtend volledig stil: niemand kan nog materiaal opvragen, de systemen kunnen onderdelen niet meer op de juiste werkplaats brengen. Williams: “Alle stukken zijn voorradig en zitten in het magazijn. Je krijgt ze er alleen niet meer uit. Zodra je iets nieuws nodig hebt, valt het werk stil.” Een soort digitale Kafka.

Boren en fresen

Het probleem snijdt diep. Gereedschap zoals boren en fresen wordt niet alleen automatisch uit het magazijn gebracht, het wordt ook automatisch besteld. “Het materiaal dat nodig is om onderdelen af te werken, verslijt uiteraard. Na verloop van tijd gaat er automatisch een bestelling naar een externe firma, die de waren de volgende dag levert”, zegt Williams. Ook dat proces is stilgevallen. 

In een bedrijf als Picanol is het bovendien cruciaal om alles te registreren dat binnen- en buitengaat. Vergelijk het met een bekend filosofisch raadsel: als een boom omvalt in een bos maar niemand ziet of hoort het, is de boom dan omgevallen? Bij Picanol geldt: als een stuk gereedschap in het magazijn ligt maar niemand weet waar, ligt het daar dan wel? De kans is groot dat het stuk voor altijd onvindbaar zal zijn. 

Eveneens onbeschikbaar zijn de plannen die arbeiders nodig hebben om hun werk uit te voeren. Die vertellen hen welke onderdelen nodig zijn en hoe die op de machines geassembleerd moeten worden. “Vroeger nam je dan een boek met plannen, je legde het open op je werkbank, en je kon verder. Nu gaat dat via de computer. Maar daar kunnen we niet meer in”, zegt Williams. “We ondervinden nu pas hoe afhankelijk we zijn van die technologie. We stonden er niet bij stil dat dit zo’n impact kon hebben.” 

Tekenend voor de broze afhankelijkheid van technologie: het oudste deel van de firma, waar nog op ambachtelijke manier onderdelen afgewerkt worden door stielmannen, kon het langst blijven draaien. De toestellen in dat departement zijn immers niet aan het netwerk gekoppeld.

Als een lichaam dat uitvalt

Het contrast met een doorsnee-werkdag kan niet groter zijn. In tegenstelling tot een kantoor waar in de vooravond iedereen vertrekt, stopt het werk bij Picanol nooit. Het bedrijf blijft altijd draaien. Er zijn vroege diensten, middag- en avondploegen, een late shift, en ook weekendploegen. Nu doofde afdeling na afdeling uit. “Het is als een lichaam dat uitvalt”, zegt Williams. “Het ene lichaamsdeel kan nog iets langer door dan het andere. Maar eenmaal het hoofd is leeggebloed, ligt alles stil.”

De meesten van de 1.500 werknemers zijn intussen technisch werkloos door overmacht. Ze hebben daardoor recht op een werkloosheidsuitkering. Vooral voor de arbeiders is het een bittere pil. Volgens Debels van het ABVV had het bedrijf net enkele mindere maanden achter de rug: minder orders, en daardoor ook minder werk. “Het laatste jaar moest er al veel gestempeld worden bij Picanol. Vanaf januari zou het beter gaan, er ging bijna niet meer gedopt moeten worden. En dan dit.” Voor de vakbonden betekent de cyberaanval overigens dat in sneltempo honderden werkloosheidsdossiers opgemaakt moesten worden.

Het is niet zo dat na de cyberaanval het hele bedrijf meteen lam kwam te liggen. Wie nog voorraden had, kon daarmee verder. In de namiddag werden nog enkele weefmachines afgewerkt, maar uiteindelijk werden circa 200 mensen op die montageafdeling naar huis gestuurd. Elders werden creatieve oplossingen gezocht. Een bediende vond een computer die niet met het bedrijfsnetwerk verbonden was. Met een USB-stick bracht hij bestanden van het toestel naar de machines.

Een halve dag lang draaide de fabriek zoals dertig jaar geleden, alles werd met pen en papier bijgehouden. Een heftruckchauffeur die niet meer kon registreren welke waren uit de rekken gehaald werden en waar ze naartoe werden gebracht, noteerde alles op post-its. Op de duur hing nagenoeg de hele heftruck vol kleine notitieblaadjes. Op de administratieve diensten werd nog vergaderd, werknemers ruimden hun bureau op of namen nog documenten door. Maar hoe langer de dag duurde, hoe moeilijker het werd om nog werk te vinden.

Pikdonker

Dinsdag ging nog een honderdtal mensen aan de slag, voornamelijk onderhoudspersoneel en arbeiders die nog enkele montageopdrachten konden afwerken. Intussen zitten ook zij zonder werk. In het grootste deel van het bedrijf blijft het de rest van de week pikdonker: er is niks te doen.

Niemand weet wanneer Picanol weer op volle toeren kan draaien. Alvast dit weekend ligt de hele productie nog stil, maar vanaf maandag kan het werk beetje bij beetje hervat worden. “De volledige heropstart kan tijd in beslag nemen”, klinkt het. “We zullen niet in een dag weer operationeel zijn.”

De IT-dienst van het bedrijf werkt ondertussen nauw samen met de Federal Computer Crime Unit van de federale politie en een klein leger externe specialisten om na te gaan hoe en waar de hackers zijn binnengedrongen. Het probleem is niet zozeer dat de computerservers onbereikbaar zijn. Picanol was vooruitziend genoeg om voorzorgen te nemen: overal bestaan back-ups van. “Maar die moeten ook gescreend worden”, zegt woordvoerder Dryhoel. “Het probleem zou ook in de back-ups kunnen zitten. We willen vermijden dat we de hackers opnieuw binnenlaten.”