Cyberaanvallen nemen toe in aantallen en vernuftigheid. Uit onderzoek blijkt dat cybercriminaliteit op dit moment de belangrijkste bedreiging is voor bedrijfscontinuïteit. Hoe zit dat in de food- en agrisector?
Volgens de Digital Economy and Society Index is het Nederlandse bedrijfsleven koploper in Europa als het gaat om digitalisering. Dat heeft ons veel gebracht: een verhoging van arbeidsproductiviteit, nieuwe digitale producten, nieuwe afzetkanalen en betere ketensamenwerking. Er staan ook nadelen tegenover. Denk aan de kwetsbaarheid voor cybercriminaliteit. De laatste tijd komt dit steeds vaker voor: bedrijven en organisaties worden slachtoffer van een (geslaagde) cyberaanval. Naast grotere organisaties die in het nieuws komen, zijn ook vele kleinere bedrijven het doelwit van cybercriminelen.
De versnelling in digitalisering heeft door het coronavirus een flinke boost gekregen. De beweging 'naar de cloud' en de toename van het aantal met een netwerk verbonden apparaten voeden de dreiging. De cybercriminelen hebben het ook steeds vaker gemunt op kwetsbaarheden in software. Vorig jaar werd de wereld nog verrast met wereldwijde beveiligingsproblemen in Log4J, waardoor veel bedrijven tijdelijk applicaties uit de lucht moesten halen. Cybercriminelen worden steeds professioneler en zetten geavanceerde automatisering en digitalisering in. De geschatte jaarlijkse schade ligt tussen de €8 miljard en €12 miljard
Ransomware en economische spionage
In 2021 zijn in de media 168 cyberincidenten bekend geworden. Dat is nog maar het topje van de ijsberg. Veel cyberaanvallen draaien om ransomware of gijzelsoftware. Hierbij nemen hackers de controle over van data of de IT-infrastructuur van een bedrijf. Zij blokkeren de toegang met behulp van encryptie totdat losgeld is betaald. In veel gevallen wordt data ook gestolen, zogenoemde double extortion. Recent waren - naast MediaMarkt - ook Colonial Pipeline, JBS Foods, RTL Nederland, Mandemakers, VDL, Universiteit Maastricht en honderden andere bedrijven en instellingen slachtoffer.
Naast ransomware, kan er tevens sprake zijn van economische spionage. Dat is gericht op het stelen van de bedrijfsgeheimen, zoals intellectueel eigendom. Dit bedreigt het langetermijnverdienvermogen van bedrijven. Sinds 2020 stijgt het aantal gijzelsoftware aanvallen sterk. Conclusie: 100% veilig bestaat niet. Maar je kunt wel veel doen ter voorkoming van een cyberaanval.
Versnelling in digitalisering
De versnelling van digitalisering is gevoed door de coronapandemie, met thuiswerken en meer remote (digitale activiteiten en afhandelingen) tot gevolg. Dat leidt tot een toenemend aantal aan netwerken verbonden apparaten met een groter aanvalsoppervlak tot gevolg. Denk aan VPN op afstand, het gebruik van MS Teams, Zoom et cetera. Cyberaanvallers spelen in op de trend en kiezen bewust voor bedrijfstakken die hun cybersecurity onvoldoende op orde hebben.
Daarnaast zal door de versnelde digitalisering het aantal geautomatiseerde cyberaanvallen van buitenaf alleen maar toenemen, met een steeds hogere slagingskans. Grote en kapitaalkrachtige bedrijven zijn extra kwetsbaar. Dit omdat daar de gevolgen voor continuïteit extra fors kunnen zijn. Daarom is een tijdige voorbereiding net zo belangrijk als dat je je als bedrijf tijdig voorbereidt en adequaat beschermt. Helaas gaat het er al niet meer om of je wordt gehackt, maar wanneer.
Hoe zit het dan met de cybersecurity in de food- en agrisector? Er zijn bijna geen voorbeelden van cybercrime. Bedrijven in de food en agri zijn echter in gelijke mate slachtoffer van cyberaanvallen als die in andere sectoren. Zo'n 10% van de voedingsbedrijven maakt melding van een cyberaanval van buiten. Gegevens van het Centraal Bureau van de Statistiek over 2020 laten zien dat ICT-veiligheid in de voedingsindustrie op zeven van de acht items achterblijft op de totale industrie en die van het totale bedrijfsleven. Dat is een kwetsbaar punt.
In de industrie nemen digitalisering, automatisering en robotisering tegelijk verder toe. De Nederlandse industrie heeft volgens ING onderzoek de hoogste robotdichtheid per 10.000 werknemers in Europa. De kwetsbaarheid voor cyberaanvallen groeit daarin mee. De Nederlandse food- en agrisector, die met een export van bijna €105 miljard 'de wereld voedt', staat daarmee bekend als innovatief en dus een mogelijk doelwit voor bedrijfsspionage. Hunt & Hackett schreef uitgebreid over die dreiging. Voor de primaire agro zijn er geen publieke data beschikbaar, maar ook daar zijn er voorbeelden van cybercriminaliteit.
Toenemende ketenrisico's
Digitalisering houdt niet op bij jouw bedrijf, omdat het onderdeel is van de keten waarbinnen het opereert. Om ketens efficiënt te laten functioneren, is het noodzakelijk informatie met ketenpartners te delen. Elke schakel in die keten is een ingang en een uitgang die kwetsbaar is voor cybersecurity. Zo groeien digitale bedrijfsrisico's uit tot digitale ketenrisico's. Kwaadwillenden gaan bewust op zoek naar de zwakste schakel in de keten. Hoe zit het met cybersecurity van je toeleveranciers en afnemers? Wie is waarvoor verantwoordelijk en hoe is data uitwisseling zo maximaal mogelijk veilig in te richten?
Onderstaande heatmap geeft een overzicht over de sectoren heen waar de gevoeligheden liggen op het gebied van cybercrime. Voor de food en agri liggen deze op het gebied van gebruik van Internet of Things (ioT) en het ketenrisico. In mindere mate op de afhankelijkheid van ICT en M&A. Dit kan wel een risico zijn, omdat bij overnames het in de regel zo is dat primair de aandacht in deze fase is gericht op de operatie. Cybersecurity komt dan pas op plaats twee en daarmee maak je je als bedrijf ongewenst kwetsbaarder. Als koploper in de wereld op het gebied van innovatie-technologie, houdt dit een extra gevoeligheid in voor cybercrime.
Risicogevoeligheid over de sectoren
Medio 2021 slaagde een ransomware-aanval op de computersystemen van het grootste vleesverwerkingsbedrijf JBS Foods in de Verenigde Staten. In tal van slacht- en verwerkingsbedrijven kwam de productie tot stilstand. De criminele organisatie REvil was succesvol binnengekomen en versleutelde de systemen. Voor de Verenigde Staten was dit direct een van de grootste gijzelsoftware aanvallen. Het bedrijf was genoodzaakt $11 miljoen losgeld te betalen om weer toegang te krijgen tot de systemen en hervatting van de productie. Inmiddels ziet de Amerikaanse overheid cybercrime als prioriteit. Door een centraal gecoördineerd onderzoek worden wel successen geboekt bij de aanpak van deze vorm van digitale criminaliteit. Veel cybercrime organisaties vinden hun oorsprong in Rusland of andere Oostbloklanden. Dat is een aandachtspunt.
In de primaire agro zijn ook voorbeelden. Zo waren criminelen bij enkele telers via een computerhack de systemen binnengedrongen. Daarbij bleek dat een veilig verondersteld back-up systeem toch geïnfecteerd was. Configuratie-bestanden waar je geen toegang meer tot hebt, het ontbreken van een overzicht van je IT-infrastructuur met applicaties maken heropstarten tot een langdurige en kostbare klus. Daarom wordt vanuit het veld nadrukkelijk gewezen op cybersecurity. Greenport West-Holland heeft samen met Security Delta het initiatief genomen tot oprichting van het Cyberweerbaarheidscentrum Greenport West-Holland. Dit is het regionale expertisecentrum en informatieknooppunt rond cybersecurity-vraagstukken in de gehele keten van het tuinbouwcluster in het Westland. Een range aan activiteiten over digitaal veilig ondernemen wordt aangeboden.
Jurjen Harskamp, CEO Hunt & Hackett: "Hunt & Hackett ziet een sterke toename van het aantal (geavanceerde) cyberaanvallen die specifiek gericht zijn op de food- en agrisector. Ransomware-aanvallen krijgen momenteel - niet onterecht - veel aandacht als kortetermijndreiging, maar buitenlandse spionage en informatiediefstal zijn een zeer reële bedreiging voor de concurrentiepositie van de Nederlandse food & agrisector op de (middel)lange termijn."
Uit gesprekken met ondernemers in de sector blijkt dat - vooral door de voorbeelden van de laatste twee jaar - het bewustzijn aanzienlijk gestegen is. Belangrijk daarbij is dat het onderwerp vaker op de agenda van de board staat. Bewustwording bij organisatie krijgt aandacht, alsook de inrichting van netwerken en segmentatie, checks & balances door IT-leveranciers, data-uitwisselingen met toeleveranciers en afnemers en voortvloeiende kwetsbaarheden. Een centralere plek krijgt ook de rol van de bestuurder. De vertaalslag naar Business Continuïteits Plannen en concrete actieplannen voor een nog betere bedrijfsbeveiliging hebben daarbij prioriteit.
Preventie en voorbereiding
Bedrijven moeten ervan uitgaan dat zij op een moment in aanraking komen met een cyberaanval. Dat houdt in dat je voorbereid moet zijn en plannen hebt klaarliggen voor een mogelijke hack. In die voorbereiding spelen de volgende afwegingen een belangrijke rol en zijn bepalend voor de invulling van het cybersecurity beleid. In Nederland is het aantal incident response cybersecurity bedrijven beperkt. Bedrijven moeten hiermee rekening houden bij het opstellen van hun actieplannen. Verzeker je dit vooraf? Of wacht je het hackmoment af en onderneem je daarna actie tot incident response? Hierbij loop je het risico achterin de rij te staan wanneer het je overkomt.
Op wetgevend gebied speelt een belangrijke ontwikkeling. In de Europese Unie is de NIS 2 in voorbereiding, een richtlijn voor netwerk en informatie security. De nieuwe NIS 2 raakt bedrijven met een jaaromzet van meer dan €10 miljoen en/of meer dan 50 werknemers in veel sectoren, waaronder de voedselvoorziening. In de aangepaste richtlijn is de vrijblijvendheid ervan af. Om managers bewust te maken, voorziet de nieuwe richtlijn niet alleen in sancties voor organisaties maar ook voor directieleden. Hiermee komt de verantwoordelijkheid voor digitale veiligheid echt bij het management te liggen. De richtlijn gaat in 2022 in en behoeft nog vertaling in nationale wetgeving. Iedereen beseft dat haast geboden is.
© DCA Market Intelligence. Op deze marktinformatie berust auteursrecht. Het is niet toegestaan de inhoud te vermenigvuldigen, distribueren, verspreiden of tegen vergoeding beschikbaar te stellen aan derden, in welke vorm dan ook, zonder de uitdrukkelijke, schriftelijke, toestemming van DCA Market Intelligence.
