De digitale weerbaarheid van veel maakbedrijven laat te wensen over. ‘Ook hackers en cybercriminelen zitten niet stil.’
10 miljard euro: zoveel kost cybercrime Nederlandse organisaties elk jaar, zo becijferde adviesbureau Deloitte eerder dit jaar. Vooral de techsector, defensie- en luchtvaartorganisaties, de publieke sector en banken zijn kwetsbaar, maar ook industriële bedrijven kunnen door cybercriminaliteit te maken krijgen met problemen op het gebied van bedrijfscontinuïteit. De urgentie van het onderwerp wordt onderstreept door de steeds strengere wet- en regelgeving op dit gebied. Zo geldt sinds 1 januari 2016 de zogenoemde Wet meldplicht datalekken, die organisaties verplicht om ernstige datalekken direct te melden bij de Autoriteit Persoonsgegevens. Bedrijven die dit nalaten, kunnen een flinke boete krijgen.
Internet of things
Ondanks deze toenemende aandacht en bewustwording, onderschatten vooral MKB’ers de digitale dreiging nog altijd, constateert cyberrisk-expert Mark Hoogeveen van verzekeraar Centraal Beheer. ‘Te vaak denken ze dat het zo’n vaart niet zal lopen. Toch zijn er genoeg voorbeelden van bedrijven die te laks omsprongen met hun digitale veiligheid en daardoor in de problemen kwamen. Zeker nu steeds meer bedrijfsprocessen zich digitaal afspelen en bijvoorbeeld steeds meer apparaten en systemen binnen het internet of things met elkaar verbonden zijn, groeit het belang van een goede beveiliging. Aan het internet gekoppelde devices – zoals machines of voertuigen – zijn in verkeerde handen potentieel levensgevaarlijke instrumenten. Maar ook diefstal of verlies van data – zoals intellectuele eigendommen en persoonsgegevens – kan verstrekkende gevolgen hebben voor bedrijven die niet goed voorbereid zijn.’
Hackers
Hoogeveen maakt onderscheid tussen opzettelijke en onopzettelijke cyberdreigingen. ‘Zonder het gevaar te willen overdrijven: criminaliteit via de digitale weg vormt een steeds groter risico voor bedrijven. Daarbij gaat het onder meer om ransomware: criminelen die bedrijven chanteren door computers en netwerken te ‘gijzelen’ en deze pas tegen betaling van losgeld weer vrij te geven. Ook het aloude hacken blijf populair, vooral onder scriptkiddies: pubers die het als een sport zien beschouwen om bedrijven plat te leggen. Soms is een via de mail meegestuurde pdf-file al voldoende om een virus binnen de bedrijfsmuren te krijgen.’
Spionage
Ook digitale bedrijfsspionage komt volgens Hoogeveen geregeld voor. ‘Nog altijd stallen bedrijven vitale gegevens soms op een slecht beschermd netwerk. Zeker intellectuele eigendommen en strategische informatie kun je beter op een afgesloten, niet van buitenaf te bereiken plek neerzetten. Maar ook klantinformatie en financiële gegevens zijn nog te vaak eenvoudig te achterhalen. Hoe ziet de klantenkring van een bedrijf eruit? Hoe steken de productieprocessen in elkaar? Hoe worden de marges bepaald? Informatie die voor een kwaadwillende concurrent erg interessant kan zijn.’
Laptop
Bijkomend probleem is volgens Hoogeveen dat digitale inbraken vaak lang onopgemerkt blijven. ‘Een gebroken raam, een vernield slot, een alarm dat afgaat: fysieke inbraken worden doorgaans snel ontdekt. Hoe anders is dat bij digitale inbraken: vaak komen die pas uren of zelfs dagen na de feitelijke dreiging aan het licht.’ Bij cybersecurity gaat het soms ook om onopzettelijke dreigingen, vervolgt Hoogeveen. ‘Daarbij kan het simpelweg gaan om fouten in de software en ander technisch falen. En vergeet ook de medewerker niet die zijn laptop of usb-stick in de trein laat slingeren. Het komt vaker voor dan je denkt.’
Workshop
Reden genoeg dus voor organisaties om werk te maken van hun digitale weerbaarheid, benadrukt Hoogeveen. ‘Dat gaat verder dan een firewall en een goede virusscanner. Om te beginnen is het belangrijk om medewerkers te doordringen van het belang van een goede digitale routine. Daarbij gaat het bijvoorbeeld om het regelmatig uitvoeren van software-updates – zodat apparaten altijd optimaal beschermd zijn – en om het regelmatig back-uppen van gegevens.’
Reputatieschade
Maar daarmee zijn de meeste bedrijven er nog niet, stelt Hoogeveen. ‘Het is belangrijk dat datasecurity structureel op de agenda van directies komt te staan en onderdeel wordt van het strategische risicomanagement van het bedrijf. Zoals ik al aangaf, onderschatten veel maakbedrijven de gevaren; ze investeren veel geld in hoogwaardige apparaten en machines, maar vergeten die vervolgens goed te beveiligen. Terwijl een beveiligingsinbreuk een enorme impact kan hebben. Bedrijven waarvan klantinformatie en andere gegevens op straat komen te liggen, krijgen vaak te maken met enorme reputatieschade. Hetzelfde geldt voor een noodgedwongen onderbreking van klantleveringen: de financiële gevolgen én de imagoschade kunnen een bedrijf een flinke slag toebrengen.’
Simulatie
Het aantal mogelijkheden om de digitale omgeving te beveiligen, groeit snel. Zo komen er steeds meer breach simulation tools op de markt: programma’s die de IT-omgeving voortdurend proactief bestoken met gesimuleerde bedreigingen en zo zwakke plekken snel kunnen achterhalen. Encryptie van gegevens en de inzet van analytics-tools (waarmee ‘afwijkende’ activiteiten in het netwerken snel kunnen worden gedetecteerd en onderzocht) zijn andere voorbeelden van relatief nieuwe technologieën die steeds vaker worden ingezet.
Blik van buiten
Maakbedrijven die door de bomen het bos niet meer zien en die worstelen met de beveiliging van hun bedrijfsinformatie en bedrijfsprocessen, raadt Hoogeveen aan om een externe partij de beveiliging eens te laten doorlichten. ‘Vaak zie je zelf de onvolkomenheden niet meer. Een deskundige blik van buiten kan dan erg nuttig zijn. Bovendien gaan de ontwikkelingen op dit gebied inderdaad enorm snel. In tegenstelling tot individuele bedrijven hebben gespecialiseerde partijen de expertise en de schaalgrootte om dit allemaal bij te houden.’ Om diezelfde reden kan het volgens Hoogeveen ook nuttig zijn om bedrijfsgegevens in de cloud op te slaan. ‘Dan heb je de zekerheid dat de beveiliging te allen tijde up-to-date is. Geen overbodige luxe binnen het snel veranderende beveiligingslandschap.’
Dit artikel is onderdeel van het dossier Made in NL. Bij MT vinden we dat Nederland trotser mag zijn op zijn maakbedrijven. Met Made in NL wil MT de kennisdeling binnen én over de sector bevorderen en maakbedrijven een podium bieden. Opdat we terecht trots zijn op de hidden champions van de maakindustrie. In deze missie wordt MT vergezeld door de volgende partners: Centraal Beheer, MBCF, NIBC, Salesforce en TNO.