Selecteer Pagina

De leverancier is de zwakke schakel

door | 26 nov, 2021 | Uitgelicht

Foto: Danny Cornelissen

Cybercriminelen proberen grote industriële bedrijven in toenemende mate via hun leveranciers aan te vallen. Deze, veelal kleinere, bedrijven zijn hier onvoldoende op voorbereid. Daarom verwacht David Kemps van ABN AMRO dat grote producenten andere partijen in de keten weerbaarheidseisen gaan opleggen.

[ihc-hide-content ihc_mb_type=”show” ihc_mb_who=”2,4″ ihc_mb_template=”3″ ]

ABN AMRO publiceerde deze zomer een onderzoek, waarin de cybercrimerisico’s per sector worden beschreven. David Kemps, sector banker industrie bij de bank, schreef het hoofdstuk waarin de dreigingen, risicoperceptie en mogelijke maatregelen specifiek voor de industrie aan bod komen.

Om wat meer algemeen te beginnen: kun je aangeven in hoeverre cybercriminaliteit een probleem is voor de Nederlandse economie?

“Niemand weet dat precies. Bedrijven die slachtoffer van cybercriminaliteit zijn, treden daar vaak uit schaamte niet mee naar buiten. Ook angst voor reputatieschade speelt mee. Als je wordt gehackt kan dat immers negatieve effecten in de hele supply chain hebben. Als de schade zo groot wordt dat het niet meer valt te bedekken, komt het uit. Zoals bij Maersk in 2017. Ik hoor van bedrijven dat bij hen een belletje gaat rinkelen als zij een offerte ontvangen van de privé-e-mail van een sales manager, in plaats van zijn business account. Dat kan betekenen dat een bedrijf op slot zit. De cijfers die hierover bestaan, lopen enorm uiteen. Het rapport van verzekeraar Hiscox meldt een toename van ransomware bij 16 procent van alle bedrijven, in een ander rapport van cyberbeveiliger Mimecast is dat 53 procent.”

David Kemps (foto: Hannie Verhoeven)

Betalen de meeste slachtoffers van ransomware?

“Ook dat weet ik niet. Uit de praktijk is bekend dat er wordt betaald. Je moet niet onderschatten dat cybercriminaliteit een internationale business is geworden. Het is geen één- of tweepitter die je hackt. Het zijn conglomeraten van criminelen, die daarvoor een ransomwarebedrijf inschakelen. Bedrijven die zijn gehackt kunnen een helpdesk bellen, waar ze heel klantvriendelijk in het Engels te woord worden gestaan hoe zij het bedrag in bitcoins het beste kunnen afrekenen. Heel professioneel. Ook die helpdesks krijgen een percentage van de opbrengst.”

Hoe alert zijn bedrijven op cybercriminaliteit?

“De alertheid is bijna gehalveerd, blijkt uit onze enquête. Wij hebben ondernemers in Nederland op drie momenten in de tijd gevraagd in welke mate zij cybercriminaliteit als een risico voor het eigen bedrijf zien. In januari 2020 gaf 54 procent aan cybercrime als een risico te zien. In mei 2020 was dit naar 31 procent gedaald. Door de coronacrisis was dit onderwerp van de agenda verdwenen. Een jaar later, in april 2021, steeg dit percentage licht naar 34 procent. Ondernemers hebben ook nu veel op hun bordje, zoals de schaarste aan materialen en mensen, en de lange levertijden. Daarom vinden ze cybercriminaliteit minder belangrijk.”

Dat terwijl de risico’s niet zijn verminderd.

“Nee, die lijken mede door corona juist significant toe te nemen. Mensen zijn meer gaan thuiswerken. Ook in de industrie, waar bijvoorbeeld de administratie of het maken van technische tekeningen vanuit huis wordt gedaan. Grote bestanden worden heen en weer gestuurd. Wij vermoeden dat mkb-bedrijven hiervoor geen beveiligde lijnen, maar gewoon Wetransfer gebruiken. Ook speelt een andere factor mee. Tijdens de coronacrisis konden monteurs van toeleveranciers niet meer naar hun klanten toe. Daarom kregen zij via een dataverbinding toegang tot de fabriek, waardoor een machinebouwer op afstand een diagnose kan stellen. Eventueel kan de reparatie ook remote worden uitgevoerd, met hulp van een fabrieksmonteur ter plekke en een camera of hololens. Die communicatie vindt in de hele keten plaats. Fabrieken hebben hun poorten opengezet en dat zal zo blijven. Toeleveranciers zijn hier blij mee en zeggen dat de crisis hen veel heeft gebracht. Maar met alle negatieve gevolgen van dien. IT en OT raken meer aan elkaar gekoppeld, waardoor criminelen van buitenaf een machine kunnen uitlezen of stopzetten.”

Verklaart dit ook waarom de industrie een aantrekkelijker doelwit voor cybercriminelen is geworden?

“Op de IBM X-Force ranglijst van sectoren die de meeste cyberaanvallen hebben te verduren, is de industrie met stip van de achtste naar de tweede plaats gestegen. Dat valt inderdaad te verklaren door de verwevenheid door IoT. Er zijn meer slimme machines, meer sensoren en meer afnemers die op afstand kunnen ontzorgen. De ketens grijpen meer in elkaar. Een logistieke partner van een fabriek kan uitlezen wanneer een product klaar is, zodat het op tijd aan de poort kan staan om het op te halen. Of een leverancier weet precies wanneer hij nodig is. Just-in-time is belangrijk in de industrie; men wil geen voorraden hebben liggen. De IT-omgeving van fabrieken is over het algemeen vrij goed afgesloten. Maar op die nieuwe, slimme systemen en meters in de OT-omgeving zit vaak nog het wachtwoord van de leverancier. Vergelijk het met slimme producten die consumenten kopen, zoals een slimme deurbel of thermostaat. Steeds vaker worden die gehackt, waardoor criminelen door de camera naar buiten of in huis kunnen meekijken. In de industrie is die dreiging nog vele keren groter. Fabrieken zitten vol met sensoren. Als je daar toegang toe krijgt, kun je data ontvreemden voor eigen gewin of productieprocessen stopzetten. Grote producenten hebben vaak de mensen, kennis en geld om zich goed te beveiligen, maar de beveiliging bij hun toeleveranciers – veelal mkb-bedrijven – kan een probleem vormen.”

Geldt dit ook voor de procesindustrie?

“De chemie was altijd erg gesloten, maar heeft zich meer opengesteld. Ook daar zien wij nu ransomware-aanvallen. Soms wordt de data van bedrijven gemanipuleerd. Dan denkt men dat een machine minder produceert dan daadwerkelijk het geval is. Door dit ontregelen van de dashboards stijgen de kosten en neemt de concurrentiekracht af. Cybercrime kan heel geniepig zijn, en al maandenlang plaatsvinden zonder dat je er erg in hebt.”

Wat doen mkb-bedrijven aan hun cyberweerbaarheid?

“Die is voor verbetering vatbaar. Meer dan driekwart van de mkb-bedrijven heeft hun IT en cybersecurity uitbesteed aan IT-bedrijven. Als wij directeuren uit het mkb hiernaar vragen, weet men veelal niet hoe het zit. Soms mogen wij een service level agreement inzien, waaruit blijkt dat vooral op IT-vlak van alles goed is geregeld. Maar over cybersecurity staat er vaak niets in, of maar een regeltje. Een IT-bedrijf is ook lang niet altijd een cybersecurity-expert. Dat is echt een ander métier. Ga er niet vanuit dat je IT-bedrijf alles regelt.”

Wat heb je nog meer voor advies aan bedrijven in de industrie?

“Werk aan de awareness van je medewerkers. Veel bedrijven trainen hun medewerkers niet op dit gebied. Het is verstandig dat wel te doen. Niet alleen de kantoormedewerkers, maar ook de mensen op de werkvloer. Ze mailen misschien niet veel, maar zetten wel bestanden over. Veelal worden hier usb-sticks voor gebruikt. Daar kan zoveel mee misgaan. Het is niet de vraag of maar wanneer je aan de beurt komt. Dan is het goed om een cyber-response-plan klaar te hebben liggen, waarin staat beschreven wat je moet doen in geval van een hack. Welke klanten, toeleveranciers en autoriteiten moet je bellen? Waar is de backup? Wie is daar verantwoordelijk voor? Het geeft zoveel rust als je dat op papier in de kast hebt liggen.”

Kun je je als bedrijf volledig wapenen tegen cyberaanvallen?

“Nee, het blijft een kat-en-muisspel. Je kunt je maatregelen treffen om te voorkomen dat het gebeurt en om ervoor te zorgen dat de gevolgen bij een hack zo minimaal mogelijk blijven. Wij voorzien dat afnemers hun toeleveranciers eisen gaan stellen. Nu zijn die de zwakke schakel en vindt er self assessment plaats. Straks kan er om cybersecurity-certificaten worden gevraagd. Op termijn gaan ook wij vragen of bedrijven zulke certificaten kunnen overleggen. Ondertussen stimuleren wij onze klanten actief om hun risico te verminderen. Wij helpen hen met tips, maar ook met een complete cybersecurity-oplossing om inbraak te voorkomen, te verhelpen en eventueel te vergoeden met een verzekering.” 

[/et_bloom_locked]

 

Nieuwsbrief

Wekelijks het laatste Rotterdamse industrienieuws direct in je inbox? Meld je dan nu aan en blijf zo op de hoogte!

Bedankt voor het aanmelden. Veel leesplezier!