Homerun-CEO blikt terug op hack: ‘Je bent helaas nooit 100% veilig’

Het Nederlandse sollicitatieplatform Homerun werd recent slachtoffer van een grote cyberaanval. Een nachtmerrie, blikt CEO Willem van Roosmalen terug. Wat kunnen we leren van deze aanval?

Peter Boerman Op 11 november 2021
Gem. leestijd 4 min 628x gelezen
Deel dit artikel:
Homerun-CEO blikt terug op hack: ‘Je bent helaas nooit 100% veilig’

Het moeten ongetwijfeld de zwartste dagen zijn geweest uit de nog jonge geschiedenis van het Nederlandse sollicitatieplatform. De ‘Airbnb van recruitment’ worden, dat was bij de start zo’n 7 jaar geleden de ambitie. En de groei van het ATS mag sindsdien aanzienlijk zijn geweest, met de hack die recent bekend werd, krijgt Homerun ook een flinke knauw, blikt ceo Willem van Roosmalen terug. In elk geval financieel.

Homerun beleefde ongetwijfeld de zwartste dagen uit zijn nog jonge geschiedenis.

Op 15 oktober was een update verschenen om een kwetsbaarheid in de eigen (cloud-)systemen te herstellen. Maar Homerun had deze update in de dagen erna nog niet geïnstalleerd. Daardoor kon een cyberaanvaller zich toegang verschaffen en een kopie maken van een heel aantal gegevens. De crimineel kreeg daardoor niet alleen sollicitaties en cv’s, maar dus ook onder meer namen, e-mailadressen en woonadressen van sollicitanten in handen.

Op 28 oktober gefixt

De hack werd uiteindelijk op 26 oktober ontdekt. Onmiddellijk werd databeveiligingsbedrijf Northwave ingeschakeld, waarna op 28 oktober de kwetsbaarheid gefixt werd en de aanvaller geen toegang meer tot de data had. Maar veel van het kwaad was toen natuurlijk al geschied. Ook omdat de criminele hacker begon met afpersen: alleen bij betaling van een bepaald bedrag in bitcoins, zouden de buitgemaakte gegevens worden verwijderd en niet worden gepubliceerd.

‘We wilden geen enkel risico lopen dat de data ergens zouden worden gepubliceerd.’

Het bedrijf is op dat verzoek ingegaan, om zo verdere schade te voorkomen, vertelt Van Roosmalen. ‘Een lastige keuze, maar we wilden geen enkel risico lopen dat de data ergens zouden worden gepubliceerd. Het belang van onze klanten en hun kandidaten staat voorop.’ Het betaalde bedrag maakt Homerun niet bekend, maar is volgens de CEO wel aanzienlijk. ‘De financiële buffer die we hebben, is daardoor nu een stuk kleiner.’

Aangifte gedaan

Homerun heeft melding gedaan bij de Autoriteit Persoonsgegevens van de hack en het datalek. Ook is aangifte bij de politie gedaan. De inmiddels ongeveer 1.500 organisaties die gebruikmaken van het ATS van Homerun, zoals Dopper, Decathlon, Tony’s Chocolonely, de Correspondent, VPRO, World Press Photo, Belsimpel en Mollie, zijn eind oktober geïnformeerd.

Een groot risico dat de data van de sollicitanten op straat komen te liggen is er nu niet meer.

Een groot risico dat de data van de sollicitanten op straat komen te liggen is er nu niet meer, denkt Homerun zelf. In vergelijkbare gevallen waarbij losgeld is betaald is dat in elk geval nog nooit gebeurd. Er is dus ook weinig reden om aan te nemen dat sollicitanten (extra) voorzichtig moeten zijn met phishing vanwege deze cyberaanval; er is immers betaald om de gegevens te verwijderen.

Hectische weken

‘Het blijkt dat je dus nooit 100% zeker bent’, aldus Van Roosmalen, die terugkijkt op bijna 3 ‘heel hectische weken’. ‘De kans dat zo’n hack je treft is ontzettend klein. Het is ook waarschijnlijk geen gerichte aanval geweest. We zijn dit bedrijf gestart om de ervaringen van sollicitanten beter te maken, en het is dan extra pijnlijk dat ons dit is overkomen. Het doet me ook wel veel, dat criminelen zomaar bij ons hebben ingebroken.’ Maar hij haalt er ook wel wat goeds uit, zegt hij. ‘Toen het gebeurde baalden we natuurlijk enorm. Maar we hebben ook meteen tegen elkaar gezegd: hoe we hiermee omgaan, daar willen we straks trots op kunnen terugkijken.’

Het bedrijf was in zijn plannen voor 2022 al volop bezig met het onderwerp privacy, zegt hij. Zo werd al gekeken hoe bepaalde data protection-principes nog meer in het product zijn in te passen, om bijvoorbeeld klanten meer bewust te maken van bewaartermijnen van sollicitantgegevens. Het is een vervelende manier om erachter te komen, maar de hack heeft het belang daarvan wel onderstreept, aldus Van Roosmalen. ‘Wij kunnen vanuit de software het nóg makkelijker maken om zo min mogelijk kandidaatgegevens langdurig te bewaren. Data minimization, noemen we dat.’

Privacy by design

Uiteindelijk is het doel ook kandidaten hier zelf meer controle in te geven. Maar zover is het nu nog niet, aldus Van Roosmalen. Wel zegt hij stellig te blijven geloven in Software-as-a-service, en opslag van gegevens in de cloud. ‘Dit soort incidenten gebeuren, kijk maar naar het nieuws deze week. Toch blijf ik organisaties oproepen een SaaS-oplossing te blijven gebruiken. Je moet goed begrijpen: we richten ons vooral op het mkb. Die stappen vaak over van bijvoorbeeld e-mail-inboxen en Excel-bestandjes. Dan worden kandidaatgegevens gemaild, en overal en nergens gekopieerd en verspreid, en heb je helemaal geen zicht op wat ermee gebeurt. Systemen zoals het onze gaan juist zoveel mogelijk uit van privacy by design.’

‘Jezelf 100% beveiligen bestaat in deze wereld helaas niet.’

De bewustwording van het belang van het thema noemt hij ondertussen ‘alleen maar goed’. ‘De aanleiding is zeer vervelend, maar het helpt ons wel in onze missie dat elk bedrijf dit serieus mag nemen. En dat een ongeluk in een klein hoekje zit. Zoals Northwave ook bij ons constateerde: onze instellingen waren op een hoog niveau helemaal in orde. Maar jezelf 100% beveiligen bestaat in deze wereld helaas niet.’

Kennisdeling blijft cruciaal

Homerun is onder meer bekend van de vele content die het op het platform deelt. Daarbij gaat het vaak over hoe je beter kunt recruiten, in alle facetten: van remote hiring tot sollicitatiegesprekken voeren. Zo is er ook al heel veel op het gebied van privacy gepubliceerd. Dat levert al met al een behoorlijke community op waar gretig kennis wordt gedeeld, aldus Van Roosmalen. ‘Als ATS zijn we vanaf dag 1 volledig gericht op het mkb, omdat we denken dat we daar de meeste impact kunnen maken.’

‘Het blijft onze missie om ook kleinere bedrijven te helpen aan het beste talent.’

Dat zal door het recente incident niet veranderen, stelt hij. ‘Het blijft onze missie om ook kleinere bedrijven te helpen aan het beste talent. En kennisdeling vinden we belangrijk. Daar zijn we alleen maar in gesterkt. We willen dus nog meer informatie proactief gaan delen én deze best practices embedden in ons product. Bedrijven helpen goed met privacy omgaan valt daar ook onder. Dat deden we al zoveel mogelijk vóór dit incident. En dat zullen we de komende jaren onvermoeid blijven doen.’

Lees ook

Credit beeld boven

Tags:
Deel dit artikel:

Peter Boerman

Hoofdredacteurbij Werf&
Hij heeft eigenlijk nog nooit een vacature uitgezet. En meer sollicitatiegesprekken gevoerd als kandidaat dan als recruiter of werkgever. Toch schrijft Peter Boerman alweer een jaar of 10 over weinig anders dan over de wondere wereld van werving en selectie, in al zijn facetten.
Bekijk volledig profiel

Premium partners Bekijk alle partners