Update

Cybercrime overvalt de industrie

6 juli 2022 8:30

Cybersecurity krijgt nog lang niet de aandacht die het verdient. Dit terwijl het risico op een cyberaanval met 1 op 5 vele malen hoger is dan het risico op brand (1 op 8.000) of een inbraak (1 op 250). De komende jaren gaat de industrie flink investeren in digitalisering. Die investering is noodzakelijk om concurrerend te blijven. Tegelijkertijd nemen hierdoor de cyberrisico’s toe. Kortom: de industrie wordt steeds afhankelijker van zijn digitale infrastructuur. En dat brengt naast veel voordelen ook risico’s met zich mee. In dit artikel gaan we in op de risico’s en geven we adviezen over wat je kunt doen om deze risico’s te voorkomen.

header-cyber-industrie 30062022

Bedrijven in de industrie steeds meer een gewilde prooi voor cybercriminelen

Cyberrisico’s vormen een groot risico voor bedrijven. Zo wordt de schade door ransomware in 2021 op 20 miljard euro geschat. Ongeveer twee derde van alle bedrijven werd in 2021 getroffen door ransomware, zo blijkt uit onderzoek van beveiliger Sophos. Verder worden er dagelijks gemiddeld 30.000 websites gehackt en is de kans op een cyberhack 8 keer zo groot als de kans op brand. Industrie stijgt op de ladder van meest aangevallen sectoren en staat inmiddels op nummer 2 (zie tabel 1).

Tabel 1: top 10 industrie als doelwit 2019 t.o.v. 2020

figuur1 industrieupdate 06302022
Bron: IBM Security

In de industrie worden relatief veel aanvallen van buitenaf gemeld. Volgens het CBS rapporteerde 9% van de bedrijven in de industrie in 2019 een aanval van buitenaf. In ongeveer de helft van de gevallen ging dit samen met kosten. Cybercriminelen slaan onder andere hun slag via phishing, ransomware en DDoS-aanvallen en maken op deze manier veel geld buit.

Wat betekenen deze termen?

    Phishing
    Een medewerker krijgt een e-mail met het verzoek om op een linkje te klikken die doorverwijst naar een website. Op deze website wordt gevraagd om inloggegevens, bijvoorbeeld om zogenaamd een account te updaten. De cybercriminelen hebben met deze gegevens toegang om in het netwerk te komen.
    Ransomware
    Steeds vaker eisen cybercriminelen losgeld onder de dreiging van het openbaar maken van vertrouwelijke gegevens. Deze gegevens kunnen op het dark web worden verkocht aan andere criminelen. Een andere manier die cybercriminelen inzetten is het gijzelen van data en deze in een virtuele kluis stoppen. Je kunt dan de sleutel van die kluis kopen, zodat je de data weer kunt ontsleutelen. Vaak vindt de betaling plaats in bitcoins.
    DDoS-aanval
    Cybercriminelen sturen ontzettend veel verkeer naar een computernetwerk. Hierdoor wordt het netwerk overbelast en onbruikbaar. Op deze manier kan bijvoorbeeld een webshop een tijd uit de lucht zijn, met omzetverlies tot gevolg.

De industrie loopt zeker niet voorop in cyberweerbaarheid. Het CBS geeft aan dat de industrie, in vergelijking met andere sectoren, laag scoort op het gebied van:

    Encryptie (versleutelen) van data Uitvoeren van risicoanalyses Beleid voor sterke wachtwoorden Updaten van software- en besturingssystemen

Net als in andere sectoren nemen grotere bedrijven meer maatregelen dan minder grote bedrijven, al is vrijwel elk bedrijf in Nederland een potentieel doelwit van cybercriminelen. Wel is er een factor die de industrie extra kwetsbaar maakt. In de kantooromgeving wordt vaak gewerkt met standaardsystemen die continu worden geüpdatet, de bekende IT-systemen.

In operationele omgevingen gebruikt men zogenaamde OT-systemen, wat staat voor Operationele Techniek. Die sturen machines aan en daarbij gaat het om maatwerk. Door de ontwikkeling van IoT (Internet of Things) en andere ‘smart industry’ toepassingen worden OT-systemen nog meer afhankelijk van IT. Dit alles vergroot de kans op cyberincidenten. OT-systemen zijn regelmatig al 10, soms wel 15 jaar oud. Bekend is dat dat deze systemen veel kwetsbaarder zijn, zeker als updates niet beschikbaar zijn of niet worden uitgevoerd. Deze kwetsbaarheden zijn bekend bij cybercriminelen. Ze spelen hierop in door aanvallen op deze OT-systemen te richten.

Gedrag en cultuur zijn net zo belangrijk als techniek

Bij de aanpak van cyberrisico's speelt zowel techniek als organisatie een belangrijke rol.

Techniek
Veel klanten weten niet dat de gebruikte techniek niet altijd even veilig is. Bij klanten horen wij vaak: ‘’Onze data staan in de cloud dus dat zit wel snor.’’ Dat is een misvatting. De cloud is goed beveiligd, maar het is onvoldoende om enkel op je IOT-leverancier te leunen. We zien dat cybercriminelen steeds vaker hun pijlen richten op Cloud providers. Op het dark web kunnen cybercriminelen software kopen. Deze software heet Cybercrime-As-A-Service. Hiermee breken ze digitaal in bij de omgeving van een Cloud provider.

Zoals al eerder benoemd zie je dat in de maakindustrie de Technische Dienst met eigen systemen werkt. Deze systemen staan vaak los van de rest van de ICT-infrastructuur en worden minder intensief geüpdatet of gemonitord en zijn daarmee kwetsbaarder. Zorg dat ook deze systemen onder 1 paraplu komen zodat je de veiligheid kunt waarborgen.

Organisatie
Om cyberrisico’s te voorkomen, is het ook belangrijk dat de organisatie rondom cybersecurity op orde is. Ga binnen je bedrijf na waar data wordt verzameld en uitgewisseld. In de industrie wordt data vaak uitgewisseld met toeleveranciers en klanten. Maak daarom goede afspraken over dataveiligheid. Het is niet alleen belangrijk om aandacht te besteden aan het voorkomen van cyberrisico's. Je moet ook nadenken over de maatregelen die je treft als je gehacked bent. Welke deskundigen moeten dan ingeschakeld worden? Wat zijn de consequenties als de productie gestopt moet worden? Hoe communiceer je naar medewerkers en klanten?

In de praktijk: hoe staat cybersecurity op de directieagenda?

Cybersecurity is geen operationeel probleem dat je snel even regelt. Het verdient nu en in de toekomst strategische aandacht. Bedrijven die achterblijven op dit gebied zetten letterlijk hun toekomst op het spel.

Ronald Siemons (ICT-manager bij het farmaceutisch bedrijf Dopharma) ziet de aandacht voor cybersecurity in de industrie duidelijk toenemen. Bij Dopharma staat het prominent op de agenda van de directie.

“Cybersecurity kun je niet uitbesteden aan een softwareleverancier of er even bij doen, daarvoor is het onderwerp te belangrijk. Mijn directie wil weten of we in control zijn.”

Om te zorgen dat je in control bent, is het belangrijk dat er binnen de directie iemand verantwoordelijk is voor het thema en dat je mensen de risico's kennen en daarnaar handelen. Je cyberweerbaarheid staat of valt met het gedrag van mensen. Training van medewerkers is daarom heel belangrijk. Eenmalig een bijeenkomst organiseren om medewerkers bewust te maken van de risico’s is niet voldoende. Je zult er in het werkoverleg keer op keer op terug moeten komen, onder andere omdat er steeds nieuwe risico’s ontstaan. Je wilt dat werknemers een melding maken van fouten die ze zelf hebben gemaakt of van verdachte zaken. Dat is ook een kwestie van cultuur. Het versterkt de interne communicatie als meldingen worden beloond in plaats van bestraft. Voor het besturen van een heftruck heb je een certificaat nodig maar iedereen mag zomaar achter een computer gaan zitten. Dat is niet logisch. Bekijk de Cyber infographic voor meer informatie.

Cyberbeveiliging aanpakken? Zeker doen.

We hebben per onderdeel een paar tips voor je op een rijtje gezet. Met deze maatregelen kun je cyberveiligheid beter aanpakken.

Strategisch:

    Omarm als directie het onderwerp en draag dit uit binnen de organisatie. Maak een medewerker verantwoordelijk. Overweeg een deskundig bureau in te huren als je binnen je organisatie onvoldoende kennis hebt. Zet het onderwerp periodiek op de agenda en bepaal daarbij welke inzichten je wilt krijgen en met welke frequentie. Rapporteer over incidenten. Zo kun je ervan leren. Maak expliciete afspraken met je toeleveranciers en klanten over cybersecurity.

Technisch:

    Maak op tijd back-ups. Gebruik alleen beveiligde internet-hotspots. Maak gebruik van programma’s die verdachte mails kunnen traceren. Remote access: via multifactorauthenticatie.

Organisatorisch:

    Installeer updates op tijd. Wijzig wachtwoorden regelmatig. Maak gebruik van sterke wachtwoorden. Maak gebruik van dubbele encryptie. Investeer in trainingen voor personeel. Verzeker je tegen schade door cyberincidenten.

Cybersecurityverzekering de moeite waard?

Om de schade van cybercrime te beperken kun je naast bovengenoemde beleidsmatige, technische en organisatorische maatregelen, jezelf ook verzekeren tegen cybercrime. Dit kan met een cyberverzekering.

Klaas Rijpsma (Risicospecialist Verzekeren - Rabobank): "Databestanden gelden voor de meeste bedrijven als hun kroonjuwelen. Als deze worden gegijzeld, dan kunnen cybercriminelen er flink wat losgeld voor vragen. Bovendien kunnen datavelden beschadigen. Dit zijn velden waarin je een naam of adres invoert. Deze datavelden moeten hersteld worden en de kosten hiervan kunnen oplopen tot € 250,- per dataveld. Ook aan het forensisch onderzoek naar het datalek en de aanpassingen die nodig zijn om herhaling te voorkomen zitten kosten verbonden. Daarnaast is er een Incident Response Team dat 24/7 beschikbaar is. Cyber-experts staan je hier direct na het incident bij met raad en daad. Dan is er nog de nazorg. Grote kans dat je bedrijf tijdelijk minder of zelfs helemaal geen omzet draait. Ook dat risico is in de meeste gevallen met deze verzekering gedekt. Verder krijg je advies over wat je moet doen in het geval je toch getroffen bent door een aanval, onder andere om eventuele reputatieschade onder controle te houden. Je bent immers verplicht om je klanten te informeren over de cyberaanval."

Naast het beperken van schade na een cyberaanval, helpt een cyberverzekering ook met het voorkomen van een aanval. Een scan om te bepalen waar jouw kwetsbaarheden zitten in het bedrijf is vaak onderdeel van de verzekering.

Een cybercrimeverzekering kan de schade door cybercrime beperken. Lees meer over de mogelijkheden van het afdekken van cyberrisico’s op Risico's van cyber en digitalisering bij ondernemers - Rabobank.

Wil je meer weten over cyberbeveiliging en cyberrisico's in de industrie? Spar dan eens met onze sectorspecialisten Yorick Cramer of Kees de Schipper. Zij vertellen je graag meer over de kansen en uitdagingen.