Alles van digitale waarde is weerloos

WannaCry, NotPetya en BadRabbit waren waarschijnlijk schadelijker voor de Nederlandse industrie dan elke isolationistische maatregel van Trump. Toch is de laatstgenoemde wel een bekende naam. WannaCry, NotPetya en BadRabbit zijn malware en ransomware: software die een bedrijf volledig lam kan leggen. FPT-VIMAG en specialisten roepen op tot meer cyberweerbaarheid. “Alleen kun je de strijd met cybercriminelen niet aan.”

Het is moeilijk om aan te geven hoeveel geslaagde cyberaanvallen er precies plaatsvinden en hoe groot de economische impact is. Enerzijds komt dat omdat het aantal delicten dat we kunnen scharen onder cybercrime groot is: van het hacken van een systeem en het platleggen van websites met zogenoemde ‘Distributed Denail of Service’ aanvallen (DdoS-aanvallen), tot het sturen van phishing e-mails om online bankrekeningen te plunderen en het gebruik van ransomware om losgeld te krijgen voor het ontsleutelen van bestanden. Anderzijds komt dat door een gebrek aan inzicht, omdat we pas sinds een paar jaar slachtofferschap van cybercrime meten en dit soort slachtofferonderzoek ook nog eens beperkt is tot enkele vormen van cybercrime.

De Haagse Hogeschool voerde in 2017 een nulmeting uit naar slachtofferschap onder mkb’ers. Hieruit bleek dat één op de vijf deelnemende mkb’ers slachtoffer is geworden van een cyberaanval, waardoor schade werd opgelopen. De slachtoffers rapporteerden verschillende vormen van criminaliteit. Malware (30 procent), phishing (10 procent) en hacken (7 procent) werden het vaakst gemeld.

 

Fietsendief

Dr. Rutger Leukfeldt is lector Cybersecurity in het mkb aan de Haagse Hogeschool. Daarnaast is hij senior onderzoeker cybercrime bij het Nederlands Studiecentrum Criminaliteit en Rechtshandhaving (NSCR). “De beperkte cijfers die er zijn laten echter duidelijk zien dat cybercrime serieus genomen moet worden. Het Centraal Bureau voor de Statistiek meet sinds een paar jaar slachtofferschap van hacken, online fraude en identiteitsdiefstal. De meest recente cijfers laten zien dat in een jaar tijd vijf procent van de Nederlanders slachtoffer werd van hacken, vier procent van online fraude en 0,5 procent van identiteitsdiefstal.” Ter vergelijking: van fietsendiefstal was vier procent slachtoffer.

Leukfeldt bij zijn intreerede als lector: “Het mkb heeft onvoldoende middelen en (toegang tot) kennis om dreigingen te onderkennen en zich vervolgens weerbaar te maken. Basale beveiligingsmaatregelen, zoals het updaten van software, het gebruik van sterke wachtwoorden of het maken van back-ups van belangrijke bestanden, worden vaak niet genomen. Mkb-ondernemers achten zichzelf veelal niet interessant voor cyberaanvallen en zien cybercrime niet als een van de belangrijkste risico’s. Het zijn vooral de sociaal-economische ontwikkelingen waar de ondernemer van wakker ligt.”

Risico’s blijven daardoor ongrijpbaar en het belang van cybersecurity krijgt onvoldoende prioriteit, totdat het een keer echt misgaat. Daarmee vormt een gebrek aan weerbaarheid een serieus probleem. Verder kan gesteld worden dat onveilig gedrag vaak aan de basis staat van geslaagde cyberaanvallen: iemand trapt in een phishing e-mail, heeft de verplichte software-update te lang uitgesteld of een standaardwachtwoord nooit aangepast. “Daarom is het van belang dat er zicht komt in waarom mkb’ers zich onveilig gedragen. Tevens is inzicht vereist in manieren waarop mensen kunnen worden gestimuleerd om zich wél veilig te gedragen, zonder al te veel impact op de dagelijkse routine.”

 

Hacker

“We moeten weerbaar zijn. Waar we ooit voor- en achterdeur van het huis open lieten, moeten we die vandaag de dag op slot draaien. En in de digitale wereld moeten we er ook voor zorgen dat de deuren dicht zijn.” Aan het woord is Liesbeth Holterman, beleidsadviseur Cyberveilig Nederland en adviseur Cyber Security Centrum Maakindustrie.

Ofschoon FME in een eigen publicatie (‘Praktische handvatten voor cyberveilig gedrag’) aangeeft dat een cyberaanval wereldwijd tot de drie grootste bedrijfsrisico’s van het moment behoort, is er te weinig bekend over de schade. Het lastige is namelijk dat niet altijd bekend is dat een hacker in een systeem zit. De ondernemer heeft niet eens door dat hij een probleem heeft. Daarnaast heerst er een schaamtecultuur. Niet snel zullen mensen toegeven dat ze te pakken zijn genomen door cybercriminelen.

Holterman wil mensen zeker niet bang maken. “Toch hebben aanvallen als WannaCry en NotPetya een inkijkje gegeven in de mogelijke problematiek voor bedrijven. WannaCry werd veroorzaakt door een kwetsbaarheid in Windows, waar al een patch voor beschikbaar was. Bedrijven die dit nog niet hadden opgepakt hadden daarom als voorzorgsmaatregel de boel stilgezet. Maersk, de grootste containerrederij ter wereld, zag door de cyberaanval NotPetya een omzetderving van tussen de 200 en 300 miljoen euro. Dan is Maersk nog een bedrijf waarvan je verwacht dat het zich bezighoudt met cybersecurity en ict-maatregelen. Je mag je dus afvragen wat er gebeurt bij andere ondernemingen, vooral in het mkb.”

 

Ketens

Waarom is de nadruk op cybercrime in de maakindustrie zo relevant? Holterman ziet dat juist deze sector volop bezig is met digitaliseren en zaken als IoT. “Dus wordt er volop IT binnengehaald. Dat is op zich goed. Dankzij die IT kan men sneller en efficiënter werken en betere producten maken. Juist aan het begin van deze digitalisering is het het juiste moment om maatregelen te nemen om digitaal weerbaar te zijn.”

Dankzij die digitale weerbaarheid is niet alleen het eigen bedrijf beter voorbereid tegen cyberdreigingen. In een land als Nederland, waarbij ook in de maakindustrie de logistiek belangrijk is, werkt iedereen in ketens. En hoe veiliger de ketens, hoe beter de producten en diensten. Holterman: “We kunnen vooroplopen door veilige bedrijven te hebben. Dat is een concurrentievoordeel. Want cybersecurity is onderdeel van je bedrijfsvoering. Het is geen IT-vraagstuk, maar een businessvraagstuk. Net zoals dat je een goed personeelsbeleid en een degelijk financieel beleid moet hebben om te kunnen draaien. Bedrijven moeten wel.”

 

Kantbanken

Een andere reden om cyberweerbaar te worden binnen de maakindustrie, is dat bedrijven als Thales, Philips en ASML dat zullen gaan eisen van hun toeleveranciers. Een beveiligingslek is voor hun onbetaalbaar. Wat moet je als machinebouwer dan? “Begin met na te denken wat je belangrijkste onderdelen van het bedrijf zijn. Waar verdien je het geld? En is dat over drie jaar ook zo? Heb je dat helder, dan moet je daar – in het hart van je bedrijf – de maatregelen nemen. Ben je bezig met je IT en je werkvloer te koppelen en ligt daar je kracht? Zorg dat dat goed geregeld is. Maak je kantbanken waarbij er een koppeling via internet mogelijk is? Dan moet je bij de poort naar het internet al maatregelen treffen. Voor elk bedrijf zijn specifieke maatregelen wenselijk. Helaas, er is geen one-size-fits-all.”

En dan is het binnen de maakindustrie nog eens anders dan op andere plekken. Bij cybersecurity denk je allereerst aan je laptop en je mobiele telefoon en niet zo snel aan een CNC-machine. Een machine is gemaakt om dertig jaar te draaien. Software-updates zijn er niet al te vaak. Een mobieltje vervang je om de twee jaar, waarna het weer aan de nieuwste standaarden voldoet. Een remedie daartegen? Holterman: “Het is heel belangrijk om vakinformatie te delen. Kijk naar de luchtvaart. Daar zijn amper nog ongelukken. Dat komt omdat ze 25 jaar geleden hebben besloten om open te zijn over incidenten die ze hebben, zodat iedereen wat kan leren. Er is een mentaliteitsverandering nodig. Wat mij is overkomen, hoeft een ander niet te overkomen. In die mentaliteitsverandering kunnen belangenverenigingen een rol spelen. Zij moeten helpen om de branche te bereiken.”

 

Slachtoffer

Bij brancheorganisatie FPT-VIMAG vinden de woorden van Holterman gretig aftrek. Directeur van de brancheorganisatie voor productietechnologie Ramon Dooijewaard onderkent het nut van openheid. “Samen sta je echt sterker. We hebben in het verleden bij cyberaanvallen gezien dat iedereen slachtoffer kan worden. Alleen kun je de strijd met cybercriminelen niet aan. Je moet intern duidelijk maken dat iedereen bewust moet zijn van de risico’s en dat iedere werknemer zijn gedrag daarop moet aanpassen. De belangrijkste factor in de bestrijding van cybercrime is de mens.”

Saillant detail om dit te ondersteunen is dat bijna zeventig procent van de gevallen om telefonisch een wachtwoord van een willekeurige werknemer te krijgen lukt. Menselijk handelen is doorslaggevend. Slachtoffers geven zelf privacygevoelige informatie als ze gebeld of gemaild worden, ze verliezen hun telefoon met daarin gegevens of maken zwakke wachtwoorden aan. De mens is in de keten van cybersecurity nog altijd de zwakste schakel.

“Veel bedrijven zijn onbewust onbekwaam als het gaat om cybersecurity. Een klein beetje meer oplettendheid zou al veel schelen. En inderdaad, dat is op het niveau dat je altijd de serverruimte op slot moet doen. Werknemers en werkgevers hebben een taak om samen alert te zijn.”

 

FPT-VIMAG houdt geregeld samen met FME bijeenkomsten over cyberveiligheid. Meer weten? Mail info@fpt-vimag.nl