De kosten van cyberaanvallen zijn vorig jaar geëxplodeerd. Vooral sectoren die sterk inzetten op digitale dataverwerking en communicatie, zoals de industrie, blijken kwetsbaar. Diefstal van data en het gijzelen van systemen nemen hals over kop toe. Ondanks deze toegenomen dreiging blijft de risicoperceptie van cybercriminaliteit onder ondernemers laag.
Elk jaar identificeert IBM X-Force de mondiale top 10 van meest aangevallen industrieën en rangschikt deze vervolgens tot een zeker percentage aanvallen. Volgens IBM is de financiële- en verzekeringssector al jarenlang de meest aangevallen bedrijfstak.
Opvallend is dat de positie van de verschillende andere bedrijfstakken aanzienlijk is veranderd vorig jaar. Zo steeg de sector industrie in 2020 van de achtste naar de tweede plaats. In de industrie neemt de digitale communicatie tussen machines, producten, toeleveranciers en gebruikers snel toe, wat de sector een interessant doelwit maakt. Bovendien kent de Nederlandse industrie een aantal innovatie koplopers wiens bedrijfsgeheimen veel waard zijn.
De industrie wordt vooral aangevallen met het doel om kostbare informatie zoals intellectueel eigendom buit te maken of om te chanteren. Met gijzelsoftware wordt dan de boekhouding vergrendeld of zelfs het productieproces stilgelegd. De enorme toename van Business E-mail Compromise (BEC)-aanvallen hebben tot doel om via een e-mailuitwisseling werknemers om de tuin te leiden en hen uiteindelijk geld over te laten maken of data te versturen naar de criminelen. Desondanks blijkt uit onderzoek dat de gemiddelde Nederlandse industriële ondernemer zichzelf niet als interessant doelwit ziet voor cybercriminelen. De cyberparaatheid is daarom laag, vooral bij het midden- en kleinbedrijf (mkb). De FME, de branchevereniging voor de industrie, roept op tot versnelling en intensivering van de cybersecurity-aanpak. De FME benadrukt in zijn standpunt dat cyberveiligheid een essentiële randvoorwaarde is voor het Nederlands groeivermogen en welvaartbehoud.
Datalek
Naast een papierloze kantooromgeving worden ook op de fabrieksvloer volop digitale middelen ingezet. Productiemachines, robots en magazijnsystemen communiceren continu met elkaar om het productieproces zo efficiënt mogelijk te laten verlopen. Ook buiten de fabrieksmuren is er veel data-uitwisseling. Machinedata worden bijvoorbeeld naar de backoffice van gebruiker of fabrikant gestuurd voor de planning van predictief onderhoud, controle en optimalisatie. Ook machine-onderhoud en upgrades van de ingebouwde software worden via onlineverbindingen uitgevoerd. Vooral de toeleverketens voor elektronica, auto’s en hightech-machines zijn complex en internationaal. De vele schakels zijn digitaal met elkaar verbonden om zo tegen de laagste kosten te produceren, maar dit verhoogt het risico op cybercriminaliteit.
Ook de trend van servitization, de transitie van het industriële verdienmodel van pure productie en verkoop naar het aanbieden van diensten en ‘as-a-service’-proposities, verhoogt het risico op een cyberaanval en vergroot de impact van een hack. Om de afnemer te ontzorgen van bijvoorbeeld onderhoud, storingen en machine-optimalisatie heeft de fabrikant vaak online toegang nodig tot het product. De kans op een datalek wordt hierdoor vergroot, omdat het ICT-beheer bij verschillende partijen ligt. Ook gezamenlijk gebruik of hergebruik van elektronica of machines kan leiden tot verlies van vertrouwelijke informatie.
Zwakste schakel
‘Kopiëren is nog altijd goedkoper dan eigen onderzoek en ontwikkeling’, aldus Robert Jan Marringa van het Cyber Weerbaarheidscentrum Brainport (CWB), wijzend op de kostbare kennis die hoogtechnologische bedrijven in huis hebben. De Nederlandse industrie kent een aantal toonaangevende en innovatieve multinationals als ASML, Philips, Vanderlande en Thales waar een heel ecosysteem van toeleveranciers omheen hangt van ondernemingen als VDL, NTS en Aalberts Industries. Deze innovatieve koplopers verduren veel cyberaanvallen vanwege hun kostbare bedrijfsgeheimen. Als hackers niet binnen weten te komen bij de grote multinationals, dan rammelen ze aan de digitale poort van de kleinere en vaak minder goed beveiligde eerstelijns of tweedelijns toeleveranciers.
Dat cybercriminelen vernuftig te werk gaan, heeft ook Jeroen Roest, directeur van Ketting Import Mij. uit Nootdorp ervaren. ‘Begin 2020 opende een medewerker per ongeluk een geïnfecteerde pdf via de e-mail, waarna hackers met een soort spam-bot duizenden e-mails hebben verzonden vanaf onze server’, vertelt Roest. ‘Gelukkig werd dit snel opgelost door onze ICT-partner.’
Toch bleek dit niet het einde te zijn. Enkele weken later bleek dat de cybercriminelen ook een e-mailadres van een bestaande leverancier in ons systeem hebben aangepast met een klein lettertje. Via dit ‘bekende’ e-mailadres werd een nieuw rekeningnummer doorgegeven onder het mom van een wisseling van bank. ‘Pas na een herinnering van onze leverancier kwamen wij erachter dat er een flink bedrag was overgemaakt naar de valse bankrekening. Via de fraudedesk van ABN AMRO en de medewerking van de Chinese bank hebben wij het geldbedrag gelukkig kunnen terughalen’, aldus Roest.
Uitbesteden
Roland Sniekers is eigenaar van Euro-Techniek in Veldhoven en is een tweedelijns toeleveranciers van veel bedrijven in de hightech, automotive en aerospace. Hij is zich zeer bewust van de gevaren en ziet ook dat zijn mkb-bedrijf steeds meer data deelt met partners buiten de fabrieksmuren. Zijn afnemers stellen steeds meer vragen over zijn veiligheidsmaatregelen. Sniekers ziet het dan ook als belangrijkste doel om zijn cybersecurity beter op orde te hebben dan andere bedrijven. Hij heeft daarvoor ook een prominente rol neergelegd bij zijn ICT-toeleverancier. ‘Als mkb-bedrijf is het onmogelijk om iemand intern verantwoordelijk te maken voor cybersecurity. Het is te complex om het erbij te doen, wij hebben daarom gekozen voor uitbesteding. Maar onze data bewaren we op onze eigen servers.’ Liesbeth Holterman van het Cybersecurity Centrum Maakindustrie (CCM) – onderdeel van Novel-T – schat in dat binnen de industrie circa 75 procent van de bedrijven de ICT heeft uitbesteed. Voor het mkb ligt dit percentage waarschijnlijk hoger. ‘Veel bedrijven gaan ervan uit dat bij ICT-uitbesteding ook direct de cyberveiligheid goed geregeld is. Maar dat is echter vaak niet het geval. Cybersecurity is tegenwoordig echt een specialisme en behelst meer dan applicatiebeheer en tijdige updates’, aldus Holterman.
Het is daarom opvallend dat de toonaangevende maakbedrijven op dit moment nog geen harde certificeringseisen stellen aan haar toeleveranciers op het gebied van cybersecurity. Wel vraagt een aantal fabrikanten, zoals ASML, haar toeleveranciers om een ‘self-assessment’ aan de hand van een cybersecurityvragenlijst. Ook helpen de cybersecurity-specialisten van ASML om de cyberweerbaarheid van hun toelevernetwerk te vergroten door trainingen en informatie.