ING maakte een update over het thema cybersecurity voor de sector transport en logistiek. De inzichten zijn gebaseerd op het recente ING-rapport over cybersecurity en ICT. Sectorbanker ICT Samantha Reilly en sectorbanker Transport, Logistics & Mobility Machiel Bode geven een toelichting op de laatste ontwikkelingen.
Cyberaanval grootste bedreiging voor bedrijf
“De laatste twee jaren zijn de cyberaanvallen in aantal en in complexiteit enorm toegenomen”, steekt Reilly van wal. “Als bank betekent dat voor ons een call to action om bestuurders van bedrijven bewust te maken van dit risico. Een groot deel van de geslaagde cyberaanvallen draait om ransomware of gijzelsoftware. Hierbij nemen hackers de controle over van data of de IT-infrastructuur van een organisatie. Daarna blokkeren ze de toegang met behulp van encryptie totdat losgeld is betaald. Uit onderzoek blijkt dat cybercriminaliteit de grootste bedreiging is voor de bedrijfscontinuïteit. Niet alleen grote bedrijven worden getroffen door een cyberaanval, waar veel te halen is. Ook kleinere bedrijven zijn het doelwit van cybercriminelen; zij zijn meestal minder goed voorbereid op een cyberaanval. Boeven grazen de hele omgeving af.”
Herstel schade cybercriminaliteit
Machiel Bode vult aan: “Als een cyberaanval je als ondernemer overkomt, betekent dit een hartstilstand voor het bedrijf. Zo wordt een aanval ook wel omschreven door experts. Na een cyberaanval is de kans reëel dat een bedrijf er niet bovenop komt. De schade van een cyberaanval bestaat uit de kosten die moeten worden gemaakt om te reageren, zoals detecteren en escaleren, en het op de hoogte stellen van en afwikkelen van schade met getroffenen en autoriteiten. De grootste post is echter het verlies aan business: omzet, klanten en kosten voor reputatieherstel. Als je als bedrijf uitvalt door zo’n aanval, zullen veel semivaste klanten om zich heen gaan kijken. Dit is een enorm risico. Nog los van beschikbaarheid van personeel en voertuigen. De transport- en logistieksector is een competitieve markt. Minder concreet, maar wel relevant na een aanval zijn de opportunitykosten zoals verlies van intellectuele eigendommen en reputatieschade.”
Digitalisering maakt bedrijf kwetsbaarder
Bode wijst erop dat de digitalisering in de sector de laatste jaren een flinke opmars heeft gemaakt, die is versneld door corona. “Veel bedrijven hebben behoorlijke slagen gemaakt op het gebied van digitalisering. Digitalisering is dan ook naast verduurzaming een van de belangrijkste trends in de sector. Er wordt meer in de cloud gewerkt. Ook worden met digitalisering orders snel en efficiënt doorgegeven en verwerkt. Dit wordt als voordeel gecommuniceerd naar de klanten. Transporteurs zijn met iedereen in contact. Veel bedrijven realiseren zich niet hoe kwetsbaar zij hierdoor zijn. Zij hebben niet door dat hun digitale ramen en deuren openstaan. Je bent niet alleen een ‘openstaand raam’ voor jezelf, maar ook voor een ander. Sommige bedrijven hebben zelfs websites met orderintake, dat een potentieel middel is om het netwerk van het bedrijf binnen te komen. Alles wat aan internet hangt, is kwetsbaar. De afgelopen jaren zijn diverse cybersecurityincidenten in het nieuws gekomen in transport en logistiek. Digitalisering is belangrijk, maar zijn de stappen op dat gebied wel goed doordacht? Dat kun je je afvragen.”
Meer investeren in cybersecurity
De aandacht voor cybersecurity had in dezelfde mate ontwikkeld moeten worden als digitalisering, maar dat is volgens Reilly niet gebeurd. “Bestuurders van bedrijven hebben daar maar mondjesmaat aandacht voor. Eerst was security meer een ICT-onderwerp, nu wordt het meer gezien als een risico voor het hele bedrijf. In Duitsland en Amerika wordt veel meer geïnvesteerd in cybersecurity. Daar blijft Nederland qua niveau op achter.”
Kortom, een sector waarin veel wordt gedigitaliseerd, moet meer investeren in cybersecurity, stelt Reilly. “Het gaat daarbij om investeringen in technische middelen én mensen die er enigszins verstand van hebben zonder cyberexpert te hoeven zijn. Bedrijven doen er goed aan om samenwerking te zoeken met een ICT-partner die het bedrijf hierbij helpt. Als ondernemer heb je de expertise niet om de snelle ontwikkelingen op het gebied van cybersecurity bij te houden.”
ISO 27001
Het laatste halfjaar hoort Bode steeds vaker dat klanten aan logistiek dienstverleners vragen of zij hun cybersecurity goed georganiseerd hebben en of zij geen risico vormen. “Steeds meer ketenpartners vragen om een gedegen aanpak en hoe hun informatie wordt beveiligd. De eerste grote logistiek dienstverleners worden geconfronteerd met de vraag of ze hiervoor zelfs ISO-gecertificeerd zijn. ISO 27001 is een standaard voor informatiebeveiliging. Als je een stappenplan maakt voor cybersecurity is het verstandig dit ISO-certificaat hierin mee te nemen.”
De tekst gaat door onder het kader.
Tips voor ondernemers
Een cyberaanval is helaas nooit 100 procent te voorkomen, maar er zijn wel stappen te zetten om de kans op een succesvolle aanval te verkleinen door:
Awareness & preventie
• Zet het onderwerp cybersecurity op de agenda van vergaderingen en stel een cybersecurity verantwoordelijke aan. Heb de basis op orde door software-updates, sterke wachtwoorden en multifactorauthenticatie;
• Automatiseer het maken van back-ups. Zorg dat patches en updates tijdig worden uitgevoerd. Richt processen in rondom de in- en uitdiensttreding van personeel en automatiseer deze processen indien mogelijk.
Trainen, detectie en testen
• School specialisten bij en breng werknemers kennis en besef bij over veiligheidsrisico’s;
• Maak een cybercrisisplan en test het plan regelmatig en check hoe sterk de beveiliging is.
Strategische respons
• Zorg voor plannen en back-ups voor als een aanval toch slaagt;
• Maak een communicatieplan om stakeholders te informeren;
• Verzeker de financiële schade van het resterende risico waar mogelijk. Standaardpakketten dekken dit soort schade niet. Maar ook cyberverzekeringen dekken niet alles.
Slotconclusie: voorkomen is de beste strategie.
Reilly ziet certificering steeds meer als vereiste. “Met dit certificaat is het geen garantie dat de cybersecurity goed op orde is, maar wij verwachten dat het steeds meer de norm wordt. Daarnaast zie je dat klanten in de ICT-sector steeds vaker eisen dat een dienstverlenende ondernemer een cyberverzekering afsluit tegen cyber- of ransomeaanvallen. Dat verwachten we ook voor andere sectoren, zoals die van transport en logistiek. Als zo’n aanval je als ondernemer overkomt, sta je namelijk alleen. De politie helpt je niet. Er is in Nederland slechts een kleine groep bedrijven die gespecialiseerd is in incidentrespons. En die hebben het megadruk. Zonder cyberverzekering ben je vaak niet direct aan de beurt. Verzekeraars kopen hier capaciteit in voor hun verzekerden. Een cyberverzekering dekt meestal een gedeelte van de financiële schade. Behalve recht op hulp helpt zo’n verzekering ook het bedrijf op weg om cybersecure te worden, omdat de verzekeraar eisen stelt aan de basisbeveiliging.”
Menselijk handelen
Bedrijven doen er goed aan cyberaanvallen vóór te zijn en in te zetten op preventie, zegt Bode. “Er wordt wel eens gezegd: vertrouwen komt te voet en gaat te paard. Dat is hier ook het geval. Uiteraard kun je niet alles voorkomen, ook niet met een verzekering, maar het is wél belangrijk geen grote fouten te maken.”
Of een bedrijf cybersecure is, hangt volgens Reilly ook af van het menselijk handelen. “Het kan altijd een keer gebeuren dat een medewerker ondanks alle adviezen per ongeluk op een verdacht linkje klikt, maar je zult je netwerk technisch zó moeten inrichten dat het daartegen bestand is. Dat neemt niet weg dat het overgrote deel aan maatregelen te maken heeft met het menselijk gedrag. Voorbeelden van maatregelen zijn het screenen van nieuwe medewerkers en voorlichting over het kiezen van een sterk wachtwoord. Trainen van medewerkers en hen bewust maken van de risico’s zijn heel belangrijke factoren van een securitybeleid. Als ondernemer kun je zelf dus ook veel maatregelen treffen om de digitale weerbaarheid van je organisatie te verbeteren. Door te beginnen met je risico’s in kaart te brengen via bijvoorbeeld een veiligheidsscan.”
Lees ook:
‘Gevolgen van cybercrime kosten vaak meer dan investering in beveiliging’
“Soms zijn hackers niet speciaal op jouw bedrijf uit, maar willen ze een bepaalde industrie of grote verlader treffen”, zegt NetworkPeople-directeur Ruud Geelen. “Hoe mooi is het dan om dat indirect te doen door de partij plat te leggen die de bevoorrading en het transport verzorgt?”
