Dat overkomt mij niet
Cybercrime, oftewel: online diefstal, is het snelst groeiende risico voor ondernemers, óók in de voedingsmiddelenindustrie. In de praktijk blijken de meeste ondernemers niet wakker liggen van dit risico. ‘Als ondernemer in de foodsector wil je bezig zijn met je passie en producten, niet met cyberbeveiliging,’ vertelt Saranda. ‘Ik hoor vaak mkb’ers zeggen dat ze een IT-partner hebben “die dat toch gewoon regelt”. Ook hoor ik geregeld: “Maatregelen tegen cybercrime kosten alleen maar geld.” Ze staan er niet bij stil dat een datalek door een cyberaanval hen boetes, maar vooral hun reputatie kan kosten.’ Dát het cyberrisico een reële bedreiging is voor je bedrijfscontinuïteit, lees je in het artikel Failliet na een hack: ‘Mijn bedrijf is in één klap weggevaagd’.
Afhankelijkheid van IT
In de foodsector worden steeds meer processen geautomatiseerd. Bij het ene bedrijf verloopt alleen de verpakking van de producten automatisch, bij de ander is het hele productieproces geautomatiseerd. Van de selectie van ingrediënten tot transport van het eindproduct naar de afnemers. Dat verhoogt de efficiëntie en lost deels het personeelstekort op, maar brengt tegelijkertijd risico’s met zich mee.
Saranda: ‘Die hoge automatiseringsgraad leidt tot een grotere afhankelijkheid van IT. We zien dat sommige machines in de voedselindustrie op verouderde software draaien. Daardoor kunnen die systemen niet zo snel geüpdatet worden, waardoor ze gevoeliger worden voor cyberaanvallen. Cybercriminelen zijn steeds slimmer in het opsporen van die kwetsbaarheden als achterdeur voor het hele IT-systeem. Ons advies is daarom: wanneer je het oude systeem niet kunt of wilt vervangen, koppel het dan los van de rest van de IT die met internet is verbonden. Zo verlaag je de kans op een digitale inbraak. En bovendien: zorg dat je een IT-partner hebt die je cyberbeveiliging serieus neemt. Waar je op kunt vertrouwen en die periodiek rapporteert op hoe veilig de IT-omgeving is.’
Grootste dreigingen cybercrime
Om welke dreigingen gaat het eigenlijk? Hieronder een aantal dreigingen en tips hoe je jezelf tegen cybercrime kunt beschermen.
Geautomatiseerde dreigingen
Je stelt je bij een cyberaanval (een hack) misschien een computernerd voor, die op zijn zolderkamertje probeert op je systeem in te breken. In de praktijk zijn het vooral grootscheepse geprogrammeerde aanvallen met malware die je systeem bedreigen. De cybercriminelen die deze massale inbraakpoging programmeren, schieten als het ware met hagel. Helaas levert hen dat altijd wel iets op. Er is in elk bedrijf wel één medewerker die niet goed oplet en zich laat verleiden om op een foute link te klikken of er staat een server met een kwetsbaarheid die direct aan het internet hangt.
Uit een onderzoek van Akamai blijkt dat 43 procent van alle inlogpogingen geautomatiseerd zijn, oftewel: een inbraakpoging door bots (computerprogramma’s die zelfstandig proberen in te breken). De overige 57 procent zijn dus handmatige inlogpogingen. Saranda: ‘Hoeveel procent van die handmatige pogingen legaal zijn, zegt dit rapport niet, maar het totale aantal geautomatiseerde inlogpogingen is erg hoog.’
Bron: State of the internet security report, Akamai, 2018
Phishing
Cybercriminelen ontfutselen geheime informatie, zoals wachtwoorden of bankgegevens via valse berichten: ze gooien een online hengel uit en hopen dat er iemand hapt. Vandaar de term phishing. De schade door deze vorm van cybercriminaliteit groeit explosief: van 1 miljoen euro in 2017 tot 4 miljoen in 2018. De fraudeurs gebruiken ook steeds vaker andere kanalen dan e-mail, zoals WhatsApp en Facebook, om geheime informatie te ontfutselen. Wees daarom bedacht op onbekende afzenders die zich met een gestolen profielfoto voordoen als een bekende.
Profiling
We doen het (bijna) allemaal: op sociale media laten weten wat we leuk en interessant vinden. Bijna niemand staat erbij stil dat cybercriminelen die informatie kunnen misbruiken. Je bent aan de hand van wat je deelt en liket namelijk eenvoudig te profilen. Stel, je bent een groot fan van Adele. Dan zul je snel geneigd zijn te klikken op ‘Maak kans op vrijkaarten voor concert Adele’. En zelfs profiling gebeurt vaak geautomatiseerd. Dat mag officieel niet meer sinds de invoering van de AVG, maar daar zullen hackers geen boodschap aan hebben. Profiling biedt hen namelijk de kans om heel gericht te schieten, in plaats van met hagel.
Identiteitsfraude
Als cybercriminelen eenmaal je systeem gehackt hebben, kunnen ze je op diverse manieren geld afhandig maken. Wat vaak voorkomt, is dat ze hun eigen rekeningnummer op openstaande facturen plaatsen. Nietsvermoedend ga je ervan uit dat je een bedrag overmaakt naar een leverancier, maar in werkelijkheid gaat je geld naar de hackers. En helaas gebeurt het ook nog regelmatig dat criminelen de inloggegevens van een online bankaccount stelen en daarmee alle tegoeden wegsluizen.
Ransomware
Gijzelsoftware is volgens Europol op dit moment de grootste cyberdreiging voor het bedrijfsleven. Je zult geneigd zijn direct geld over te maken wanneer je scherm op zwart gaat en je een melding krijgt dat je pas weer in je bestelsysteem kunt wanneer je een x-bedrag hebtovergemaakt. Begrijpelijk, maar ons advies is: nooit op ingaan! Wat je dan wél moet doen, kun je lezen in het blog: 3 tips: wat te doen bij een ransomware aanval.
Hoe bescherm je je tegen een hackers?
Je kunt de hierboven beschreven risico’s eenvoudig verkleinen met de onderstaande maatregelen. Zo kun je je beschermen tegen hackers met middelen, die ook helemaal niet veel hoeven te kosten:
- Zorg voor phishing-awareness. Voorkom dat jij of een van je medewerkers op een onbetrouwbare link klikt en daarmee de digitale deur openzet voor inbrekers.
- Voer een sterk wachtwoordbeleid in. Je zult ervan schrikken hoe vaak het wachtwoord 1234567 nog wordt gebruikt. Ons advies: hoe langer een wachtwoord hoe beter. Een hele zin is moeilijker te kraken dan een woord (en eenvoudiger te onthouden). Gebruik daarin in ieder geval een hoofdletter, een cijfer en een teken, bijvoorbeeld ? of *. Gebruik een wachtwoord maximaal 3 maanden en recycle nooit oude wachtwoorden.
- Maak regelmatig back-ups. Daardoor kun je na een ransomware-aanval snel weer verder (zonder te betalen!).
- Weet waar je kwetsbaarheden zitten. Voor welke bedrijfsprocessen gebruik je privacygevoelige informatie? En hoe heb je die afgeschermd? Zijn die beschermd door een goede firewall? Heb je op elke computer goede antivirussoftware geïnstalleerd, eventueel met een Intrusion Detection Prevention System (IDPS)? Allemaal vragen die je jezelf kunt stellen om je goed te beschermen tegen cybercrime.
- Laat je beveiliging testen door een cyber-inbreker. Wil je weten of je beveiliging zwakke plekken heeft? Laat dan een zogenoemde ‘ethische hacker’ proberen in te breken. Daarna weet je precies waar je extra beveiligingsmaatregelen moet nemen.
- Beveilig de fysieke toegang tot pc’s en servers. Een hack gebeurt niet alleen op afstand. Zorg daarom dat iedere pc en laptop automatisch vergrendelt wanneer deze even niet gebruikt wordt. Druk je personeel op het hart dat ze nooit hun inloggegevens ‘uitlenen’ en dat ze extra voorzichtig zijn wanneer ze in openbare ruimtes inloggen.
- Stel tweestaps authenticatie bij grote bedragen in. Om te voorkomen dat cybercriminelen zich voordoen als crediteuren, kun je het betaalsysteem zo (laten) instellen, dat bij transacties boven een bepaald bedrag een extra stap noodzakelijk is om een betaling te kunnen uitvoeren. Zo weet je zeker dat het bedrag naar de juiste persoon gaat.
- Stel tweestaps authenticatie bij orderbevestiging via e-mail in. Veel voedselproducenten doen zaken met leveranciers aan de andere kant van de wereld. Dat gaat het eenvoudigst via e-mail. Maar hoe weet je zeker dat de ontvanger wel de persoon is als wie hij zich voordoet? Ook dit risico kun je verkleinen door een extra stap noodzakelijk te maken, bijvoorbeeld om een order te kunnen bevestigen.
Privacy in de foodsector
Als de privacygegevens van je afnemers of leveranciers op straat komen te liggen, kan dat ernstige gevolgen hebben voor je reputatie. Om over torenhoge AVG-boetes nog maar te zwijgen. Sinds 25 mei 2018 moet je, net als alle andere Nederlandse bedrijven, voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Ieder bedrijf dat privacygevoelige gegevens verwerkt, moet kunnen laten zien dat het maatregelen heeft getroffen om de veiligheid van die gegevens te kunnen waarborgen. Heb je dat niet gedaan en worden privacygevoelige gegevens gestolen? Dan riskeer je een boete tot wel 4 procent van je (wereldwijde) jaaromzet.
AVG eisen: gebruik van privacygevoelige gegevens
Een belangrijke eis van de AVG is dat je altijd kunt verantwoorden voor welk doel je gegevens van klanten en leveranciers gebruikt (volgens welke grondslagen) en bewaart en voor welke periode. Je relaties en bezoekers van je website hebben bovendien het recht om te weten wat je ermee doet. Je bent daarom verplicht bij te houden hoe je de gegevens verwerkt. Nog belangrijker is dat je weet wat het risicoprofiel is van die gegevens. Met andere woorden: wat is het risico wanneer deze openbaar worden gemaakt? Hoe hoger het risico, hoe beter je beveiliging moet zijn.
Wil je snel antwoord op je vragen over de beveiliging van privacygevoelige gegevens? Een goed naslagwerk is het Handbook on Security of Personal Data Processing dat je gratis kunt downloaden via de website van ENISA (European Union Agency for Network and Information Security). In deze (Engelstalige) gids vind je praktische informatie over de aanpak van gegevensbescherming.