Tholen - “Veel bedrijven zijn aan het digitaliseren. De keten van het product van het land naar de consument is daardoor onoverzichtelijk geworden en dat biedt openingen voor sabotage,” zegt Juliette Roest, Cyber Risk Consultant bij Aon - adviseur in risicomanagement.
Zij doelt daarbij op de mogelijkheid van cyberaanvallen, waarvan haar Cyber Solutions collega Ralf Willems, aangeeft dat deze over de volle breedte van het bedrijfsleven toenemen en dat onder meer de groenten- en fruitbranche gevoelig is. “Vooral in de Food & Agri sector, zoals bijvoorbeeld de AGF-sector, is de digitalisering later op gang gekomen dan bijvoorbeeld de dienstensector. In eerste instantie worden vooral de mogelijkheden van de nieuwe techniek omarmd en pas later ontstaat aandacht voor de veiligheid. Hierdoor zijn bedrijven in het begin van de digitaliseringscyclus kwetsbaarder.”
Juliette Roest benadrukt dat het terugdringen van cyberrisico's een inspanning van het gehele bedrijf is
Hij wijst daarbij op de koppeling tussen IT (hard- en software voor kantoorautomatisering) en OT (hard- en software die industriële apparatuur en processen monitort of bestuurt). “Vaak zie je dat IT en OT twee losse werelden zijn en dat bij een koppeling kwetsbaarheid ontstaat. OT gaat gemiddeld 20 jaar mee en krijgt niet zoveel updates. IT daarentegen heeft vaak maar een levenscyclus van drie tot vijf jaar en wordt sneller vervangen. In IT software worden vaak kwetsbaarheden gevonden. Wanneer deze kwetsbaarheden niet tijdig worden hersteld, zijn beide omgevingen kwetsbaar voor bijvoorbeeld aanvallen en virussen.”
Bedrijfsstilstand
Dergelijke aanvallen kunnen de beschikbaarheid en voedselveiligheid van producten beïnvloeden. “Vaak wordt naar cybersecurity gekeken vanuit de aspecten vertrouwelijkheid, integriteit en beschikbaarheid. Binnen de AGF-sector is bij een cyberaanval vooral impact op de beschikbaarheid met bedrijfsstilstand tot gevolg en ook kwaliteitsparameters kunnen beïnvloed worden, zoals bijvoorbeeld temperatuur, waardoor producten later mogelijk teruggehaald moeten worden.”
Ralf geeft een voorbeeld van het aspect vertrouwelijkheid, waarbij het intellectueel eigendom van bijvoorbeeld veredelingsbedrijven het doelwit zou kunnen zijn. “Het kwijtraken van kennis en expertise heeft een behoorlijke impact op de concurrentievoorsprong.” Verder ziet hij dat ransomware-aanvallen populair zijn onder cybercriminelen. “Bedrijfsgegevens worden dan versleuteld, ‘bedrijven worden op slot gezet’, waarna losgeld wordt gevraagd. Het gaat hier om makkelijk geld verdienen en niet per se om het bedrijf zelf, maar het blijkt makkelijk om jouw bedrijf aan te vallen en daarmee ben je automatisch het slachtoffer.”
Business Continuïteits Plan
Hoewel er steeds meer aandacht is voor cybercriminaliteit, ook op directieniveau, begrijpt Juliette ook dat de corebusiness van een bedrijf vaak voorrang heeft, waardoor veiligheid een onderbelicht aspect blijft. Toch hoeft een bedrijf niet af te wachten tot het slachtoffer wordt, maar kan het ook zelf stappen zetten om het risico op een cyberaanval terug te dringen. “Er kan een heel palet aan technische en organisatorische maatregelen genomen worden om het risico preventief te beheersen,” geeft Ralf aan.
Het Business Continuïteits Plan (BCP) neemt daarbij een centrale rol in. “Een BCP is bij uitstek een maatregel die gebruikt kan worden om te reageren als de bedrijfscontinuïteit in het geding komt. Daarin is beschreven welke stappen genomen kunnen worden om weer terug te keren naar business as usual.” Daarbij komen aspecten als toegangsbeveiliging, plannen om op incidenten te reageren of een back-up strategie in beeld. Juliette benadrukt dat dit een inspanning van het gehele bedrijf moet zijn en niet alleen de verantwoordelijkheid van de IT-afdeling. “Het moet veel breder getrokken worden dan alleen de IT en het is juist interessant als de verschillende afdelingen met elkaar in gesprek blijven, ook op directieniveau. Het is met elkaar.”
Ralf Willems geeft aan dat het belangrijk is om je als bedrijf te verplaatsen in de mogelijke motieven van cybercriminelen
Een voorbeeld uit de praktijk
Ralf geeft aan dat het belangrijk is als bedrijf om je te verplaatsen in de mogelijke motieven – zoals bijvoorbeeld geldelijk gewin of maatschappelijke ontwrichting – van een cybercrimineel. Dat een cyberaanval soms uit een onverwachte hoek kan komen, bewijst de verscheping van avocado’s die Juliette en Ralf als voorbeeld noemen. “Een schip gevuld met avocado’s, onderweg van Zuid-Amerika naar de Verenigde Staten, verloor dichtbij de haven van bestemming opeens de controle over de navigatie. Geen van de computersystemen functioneerde nog. Het schip werd in quarantaine geplaatst, terwijl naar de oorzaak werd gezocht. Daarbij werd gekeken naar de mogelijkheid van een storing, een terroristische of een cyberaanval. Hoewel het schip, en vooral de bederfelijke lading, inderdaad het slachtoffer werden van een cyber attack, bleek niet het schip, maar verstoring van de aanvoerketen het doel van de aanvallers. De aanvallers hadden gespeculeerd op stijgende koers van avocado’s en door de beperkte aanvoer, met bijbehorende stijgende prijzen, konden zij van hun speculaties profiteren. Dit is een voorbeeld dat aantoont dat geen bedrijf immuun is voor een cyberaanval.”
Reële kans
“Ga ervan uit dat je geraakt wordt, want de kans dat je geraakt wordt, is reëel,” geeft Ralf aan. Daarbij ziet hij dat organisaties die zich hebben voorbereid en regelmatig oefenen, beter beslagen ten ijs komen tijdens een crisis. “Er wordt dan niet ad hoc gereageerd, maar op basis van de plannen. Daardoor duurt de crisis korter en heeft het minder impact.”
Een cyberverzekering is ook een aspect om te overwegen, merkt Ralf op, met als uitgangspunt het in kaart brengen van de risico’s die een bedrijf loopt, waaronder ook het financiële risico. “Als een bedrijf geraakt wordt, is er een financieel risico. Kan het bedrijf dat risico wel of niet zelf dragen? We helpen bedrijven daarbij door het risico inzichtelijk te maken en de cyberrisico’s te kwantificeren. Als dat risico de financiële draagkracht te boven gaat, kan een verzekeringsoplossing worden overwogen voor cyberincidenten.” Daarbij geeft hij aan dat dergelijke verzekeringen pas sinds een jaar of tien op de markt zijn, waardoor er nog volop ontwikkeling is en premies en dekkingsvoorwaarden wisselen.
Dit artikel verscheen eerder in editie 2, 37e jaargang van Primeur. Zie hiervoor www.agfprimeur.nl
Voor meer informatie:
cybersolutionsgroup@aon.nl