Hoe kunt u cybercrime in de foodsector voorkomen?

Dat overkomt mij niet

Cybercrime, oftewel: online diefstal, is het snelst groeiende risico voor ondernemers, óók in de voedingsmiddelenindustrie. In de praktijk blijken de meeste ondernemers niet wakker liggen van dit risico. ‘Als ondernemer in de foodsector wilt u bezig zijn met uw passie en producten, niet met cyberbeveiliging,’ vertelt Wessel. ‘Ik hoor vaak mkb’ers zeggen dat ze een IT-partner hebben “die dat toch gewoon regelt”. Ook hoor ik geregeld: “Maatregelen tegen cybercrime kosten alleen maar geld.” Ze staan er niet bij stil dat een datalek door een cyberaanval hen boetes, maar vooral hun reputatie kan kosten.’ Dát het cyberrisico een reële bedreiging is voor uw bedrijfscontinuïteit, leest u in het artikel Failliet na een hack: ‘Mijn bedrijf is in één klap weggevaagd’.

Afhankelijkheid van IT

In de foodsector worden steeds meer processen geautomatiseerd. Bij het ene bedrijf verloopt alleen de verpakking van de producten automatisch, bij de ander is het hele productieproces geautomatiseerd. Van de selectie van ingrediënten tot transport van het eindproduct naar de afnemers. Dat verhoogt de efficiëntie en lost deels het personeelstekort op, maar brengt tegelijkertijd risico’s met zich mee.

Wessel: ‘Die hoge automatiseringsgraad leidt tot een grotere afhankelijkheid van IT. We zien dat sommige machines in de voedselindustrie op verouderde software draaien. Daardoor kunnen die systemen niet zo snel geüpdatet worden, waardoor ze gevoeliger worden voor cyberaanvallen. Cybercriminelen zijn steeds slimmer in het opsporen van die kwetsbaarheden als achterdeur voor het hele IT-systeem. Ons advies is daarom: wanneer u het oude systeem niet kunt of wilt vervangen, koppel het dan los van de rest van de IT die met internet is verbonden. Zo verlaagt u de kans op een digitale inbraak. En bovendien: zorg dat u een IT-partner heeft die uw cyberbeveiliging serieus neemt. Waar u op kunt vertrouwen en die periodiek rapporteert op hoe veilig de IT-omgeving is.’

Grootste dreigingen cybercrime

Om welke dreigingen gaat het eigenlijk? Hieronder een aantal dreigingen en tips hoe u uzelf tegen cybercrime kunt beschermen.

Geautomatiseerde dreigingen 

U stelt zich bij een cyberaanval (een hack) misschien een computernerd voor, die op zijn zolderkamertje probeert op uw systeem in te breken. In de praktijk zijn het vooral grootscheepse geprogrammeerde aanvallen met malware die uw systeem bedreigen. De cybercriminelen die deze massale inbraakpoging programmeren, schieten als het ware met hagel. Helaas levert hen dat altijd wel iets op. Er is in elk bedrijf wel één medewerker die niet goed oplet en zich laat verleiden om op een foute link te klikken of er staat een server met een kwetsbaarheid die direct aan het internet hangt.

Uit een onderzoek van Akamai blijkt dat 43 procent van alle inlogpogingen geautomatiseerd zijn, oftewel: een inbraakpoging door bots (computerprogramma’s die zelfstandig proberen in te breken). De overige 57 procent zijn dus handmatige inlogpogingen. Wessel: ‘Hoeveel procent van die handmatige pogingen legaal zijn, zegt dit rapport niet, maar het totale aantal geautomatiseerde inlogpogingen is erg hoog.’

Bron: State of the internet security report, Akamai, 2018

Phishing

Cybercriminelen ontfutselen geheime informatie, zoals wachtwoorden of bankgegevens via valse berichten: ze gooien een online hengel uit en hopen dat er iemand hapt. Vandaar de term phishing. De schade door deze vorm van cybercriminaliteit groeit explosief: van 1 miljoen euro in 2017 tot 4 miljoen in 2018. De fraudeurs gebruiken ook steeds vaker andere kanalen dan e-mail, zoals WhatsApp en Facebook, om geheime informatie te ontfutselen. Wees daarom bedacht op onbekende afzenders die zich met een gestolen profielfoto voordoen als een bekende.

Profiling

We doen het (bijna) allemaal: op sociale media laten weten wat we leuk en interessant vinden. Bijna niemand staat erbij stil dat cybercriminelen die informatie kunnen misbruiken. U bent aan de hand van wat u deelt en liket namelijk eenvoudig te profilen. Stel, u bent een groot fan van Marco Borsato. Dan zult u snel geneigd zijn te klikken op ‘Maak kans op vrijkaarten voor concert Marco Borsato’. En zelfs profiling gebeurt vaak geautomatiseerd. Dat mag officieel niet meer sinds de invoering van de AVG, maar daar zullen hackers geen boodschap aan hebben. Profiling biedt hen namelijk de kans om heel gericht te schieten, in plaats van met hagel.

Identiteitsfraude

Als cybercriminelen eenmaal uw systeem gehackt hebben, kunnen ze u op diverse manieren geld afhandig maken. Wat vaak voorkomt, is dat ze hun eigen rekeningnummer op openstaande facturen plaatsen. Nietsvermoedend gaat u ervan uit dat u een bedrag overmaakt naar een leverancier, maar in werkelijkheid gaat uw geld naar de hackers. En helaas gebeurt het ook nog regelmatig dat criminelen de inloggegevens van een online bankaccount stelen en daarmee alle tegoeden wegsluizen.

Ransomware

Gijzelsoftware is volgens Europol op dit moment de grootste cyberdreiging voor het bedrijfsleven. U zult geneigd zijn direct geld over te maken wanneer uw scherm op zwart gaat en u een melding krijgt dat u pas weer in uw bestelsysteem kunt wanneer u een x-bedrag heeft overgemaakt. Begrijpelijk, maar ons advies is: nooit op ingaan! Wat u dan wél moet doen, kunt u lezen in het blog: 3 tips: wat te doen bij een ransomware aanval.

Hoe beschermt u zich tegen een hackers?

U kunt de hierboven beschreven risico’s eenvoudig verkleinen met de onderstaande maatregelen. Zo kunt u zich beschermen tegen hackers met middelen, die ook helemaal niet veel hoeven te kosten:

• Zorg voor phishing-awareness. Voorkom dat u of een van uw medewerkers op een onbetrouwbare link klikt en daarmee de digitale deur openzet voor inbrekers. 
• Voer een sterk wachtwoordbeleid in. U zult ervan schrikken hoe vaak het wachtwoord 1234567 nog wordt gebruikt. Ons advies: hoe langer een wachtwoord hoe beter. Een hele zin is moeilijker te kraken dan een woord (en eenvoudiger te onthouden). Gebruik daarin in ieder geval een hoofdletter, een cijfer en een teken, bijvoorbeeld ? of *. Gebruik een wachtwoord maximaal 3 maanden en recycle nooit oude wachtwoorden.
• Maak regelmatig back-ups. Daardoor kunt u na een ransomware-aanval snel weer verder (zonder te betalen!).
• Weet waar uw kwetsbaarheden zitten. Voor welke bedrijfsprocessen gebruikt u privacygevoelige informatie? En hoe heeft u die afgeschermd? Zijn die beschermd door een goede firewall? Heeft u op elke computer goede antivirussoftware geïnstalleerd, eventueel met een Intrusion Detection Prevention System (IDPS)? Allemaal vragen die u uzelf kunt stellen om u goed te beschermen tegen cybercrime. 
• Laat uw beveiliging testen door een cyber-inbreker. Wilt u weten of uw beveiliging zwakke plekken heeft? Laat dan een zogenoemde ‘ethische hacker’ proberen in te breken. Daarna weet u precies waar u extra beveiligingsmaatregelen moet nemen.
• Beveilig de fysieke toegang tot pc’s en servers. Een hack gebeurt niet alleen op afstand. Zorg daarom dat iedere pc en laptop automatisch vergrendelt wanneer deze even niet gebruikt wordt. Druk uw personeel op het hart dat ze nooit hun inloggegevens ‘uitlenen’ en dat ze extra voorzichtig zijn wanneer ze in openbare ruimtes inloggen.
• Stel tweestaps authenticatie bij grote bedragen in. Om te voorkomen dat cybercriminelen zich voordoen als crediteuren, kunt u het betaalsysteem zo (laten) instellen, dat bij transacties boven een bepaald bedrag een extra stap noodzakelijk is om een betaling te kunnen uitvoeren. Zo weet u zeker dat het bedrag naar de juiste persoon gaat.
• Stel tweestaps authenticatie bij orderbevestiging via e-mail in. Veel voedselproducenten doen zaken met leveranciers aan de andere kant van de wereld. Dat gaat het eenvoudigst via e-mail. Maar hoe weet u zeker dat de ontvanger wel de persoon is als wie hij zich voordoet? Ook dit risico kunt u verkleinen door een extra stap noodzakelijk te maken, bijvoorbeeld om een order te kunnen bevestigen.

Privacy in de foodsector

Als de privacygegevens van uw afnemers of leveranciers op straat komen te liggen, kan dat ernstige gevolgen hebben voor uw reputatie. Om over torenhoge AVG-boetes nog maar te zwijgen. Sinds 25 mei 2018 moet u, net als alle andere Nederlandse bedrijven, voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Ieder bedrijf dat privacygevoelige gegevens verwerkt, moet kunnen laten zien dat het maatregelen heeft getroffen om de veiligheid van die gegevens te kunnen waarborgen. Heeft u dat niet gedaan en worden privacygevoelige gegevens gestolen? Dan riskeert u een boete tot wel 4 procent van uw (wereldwijde) jaaromzet.

AVG eisen: gebruik van privacygevoelige gegevens

Een belangrijke eis van de AVG is dat u altijd kunt verantwoorden voor welk doel u gegevens van klanten en leveranciers gebruikt (volgens welke grondslagen) en bewaart en voor welke periode. Uw relaties en bezoekers van uw website hebben bovendien het recht om te weten wat u ermee doet. U bent daarom verplicht bij te houden hoe u de gegevens verwerkt. Nog belangrijker is dat u weet wat het risicoprofiel is van die gegevens. Met andere woorden: wat is het risico wanneer deze openbaar worden gemaakt? Hoe hoger het risico, hoe beter uw beveiliging moet zijn.

Wilt u snel antwoord op uw vragen over de beveiliging van privacygevoelige gegevens? Een goed naslagwerk is het Handbook on Security of Personal Data Processing dat u gratis kunt downloaden via de website van ENISA (European Union Agency for Network and Information Security). In deze (Engelstalige) gids vindt praktische informatie over de aanpak van gegevensbescherming.