“Cybersecurity is Chefsache”
Samenwerking Tech2B en CWB om toeleverketens minder kwetsbaar te maken voor cybercriminaliteit
De digitalisering maakt de maakindustrie een alsmaar aantrekkelijker doelwit voor cybercriminelen. Het Cyber Weerbaarheidscentrum Brainport (CWB) vertaalt de expertise die grote bedrijven op dit vlak opbouwen naar het mkb-maakbedrijf. En het brengt bedrijven bijeen, zodat ze van elkaar kunnen leren. De mens blijft echter de zwakste schakel als het om cybersecurity gaat, constateert Paul van Nunen, directeur Brainport Development. Daarom hoort cybersecurity Chefsache te zijn. De realiteit is echter anders. Kan een platform zoals Tech2B hierin een rol spelen?
De digitalisering van complete toeleverketens zorgt ervoor dat cybersecurity hoog op de agenda van elk maakbedrijf zou moeten staan. Hiervoor maakt het niks uit of alle machines in de werkplaats aan het internet gekoppeld zijn of niet. Via de kantoorautomatisering kunnen cybercriminelen binnendringen en een onderneming volledig plat leggen. “Een digitale gijzelactie legt je operationele kant van het bedrijf stil; ze bevriezen data en eisen losgeld”, zegt Paul van Nunen. En als het ze niet direct om geld te doen is, kijken ze mee naar wat er in je bedrijf gebeurt: orders, processen, onderdelen die je produceert. “Want naast geldelijk gewin is de tweede reden waarom hackers binnendringen dat ze op zoek zijn naar informatie over technologie en bedrijfsprocessen.” Pure spionage. En een derde reden heeft meer met de geopolitieke ontwikkelingen te maken. Sommige landen zoeken naar manieren om belangrijke sectoren in Europa plat te leggen, om daarmee de samenleving en de economie te ontwrichten.
Eén incident kan de hele keten platleggen
Redenen genoeg dus waarom cybercriminelen het gemunt hebben op de IT-systemen van onder andere productiebedrijven. Nu de partners in de lange toeleveringsketens in de maakindustrie digitaal steeds verder verstrengeld raken, neemt het risico toe dat zo’n keten geraakt wordt. De hightech maakindustrie in Nederland is daarbij extra interessant omdat het platleggen van bedrijven in deze sector meer schade veroorzaakt dan wanneer de bakker om de hoek niet meer kan bakken omdat zijn IT-systeem gegijzeld is. Dat geldt zeker nu de halfgeleider toeleveringsindustrie als een belangrijke sector voor de Nederlandse economie wordt gezien.
Paul van Nunen: “Elk bedrijf is een schakel in die keten. Digitaal binnendringen bij één van deze schakels kan de hele keten platleggen.“ Dat hoeft niet eens te gebeuren doordat men via de achterdeur van een kleinere toeleverancier doordringt tot de IT-systemen van een OEM. “Er zit veel compartimentering tussen de schakels. Maar als een klein bedrijf dat belangrijke onderdelen maakt voor een hightech machine niet kan produceren, kan de OEM de machine niet afbouwen. Dat hebben we tijdens corona gezien en vorig jaar na de inval in Oekraïne. Als één belangrijk onderdeel ontbreekt, werkt het hele systeem niet.”
Helft zet cybersecurity niet op de agenda
Daarom heeft de Brainport regio het thema hoog op de agenda gezet. Niet onterecht, als je naar recente cijfers kijkt. Het Cyberweerbaarheidsonderzoek MKB Brabant 2022 wees verleden jaar uit dat 51,5% van de deelnemers - het Brabantse MKB - al eens te maken heeft gehad met een cybersecurity incident. Paul van Nunen denkt dat dit cijfer in werkelijkheid hoger ligt, omdat bedrijven het vaak lastig vinden toe te geven dat cybercriminelen tot in hun systemen zijn doorgedrongen. “Ze willen een betrouwbare partner zijn.” Deze terughoudendheid is onterecht, vindt de directeur van Brainport Development. De stappen die het bedrijf in de eerste uren zet, zijn cruciaal. “Daar ondersteunen wij bedrijven bij, zodat ze snel toegang krijgen tot experts die ze kunnen helpen.” Hij schat dat in de maakindustrie zeker twee op de vijf bedrijven al eens te maken heeft gehad met cyber criminaliteit. “Maakbedrijven zijn bovengemiddeld interessant.” Daarom is een tweede cijfer uit het eerdergenoemde onderzoek eigenlijk alarmerender: bij amper de helft van de bedrijven staat cybersecurity op de agenda. Cybersecurity is voor veel bedrijven iets abstracts; ze denken het probleem opgelost te hebben door hun IT-beheer uit te besteden.
“Cybersecurity begint echter bij awareness. Alle medewerkers moeten zich bewust zijn van het risico. Alert zijn dat passwords regelmatig vernieuwd worden. Je laptop dichtklappen als je je werkplek verlaat. Niet zomaar bijlagen openen. De grootste kwetsbaarheid is de menselijke factor”, merkt Paul van Nunen op.
Het Cyberweerbaarheidscentrum Brainport heeft daarom kenniskaarten ontwikkeld die medewerkers in de maakindustrie heel praktische tips geven hoe ze risico’s kunnen indammen.
Selectie argument voor inkopers
Het woord is al gevallen: betrouwbaarheid. Maakbedrijven, waar ook in de keten, willen naar hun klanten als een betrouwbare partner overkomen. Dat zul je als maakbedrijf over een aantal jaren moeten aantonen. Er komt wetgeving die dit afdwingt. Het CWB heeft samen met partners een certificeringsschema ontwikkeld. Dit is afgeleid van ISO27001 en bedoeld voor bedrijven voor wie ISO-certificering niet noodzakelijk is. Het CWB heeft drie maturityniveaus gedefinieerd: basic, intermediate en advanced. Een maakbedrijf dat deze drie niveaus doorloopt, krijgt een certificaat waarmee ze naar anderen kunnen aantonen veilig te werken. Awareness creëren is onderdeel van de stappen die gezet moeten worden om voor certificering in aanmerking te komen.
Ook Tech2B, het platform dat de bedrijven in de hightech ketens verbindt, gaat zowel inkopers als kleinere maakbedrijven ondersteunen op weg naar deze toekomst. In hun profiel kunnen maakbedrijven aangeven welke Cyra security ranking ze hebben en of ze eventueel al gecertificeerd zijn. “Als inkopers bedrijven willen uitnodigen voor een RFQ (Request for Quote), kunnen ze in de toekomst security aanvinken als voorwaarde. Cybersecurity wordt onderdeel van het businessmodel. Certificering kan dan doorslaggevend worden om een order te krijgen”, zegt Sjors Hooijen, CEO van Tech2B. Daarnaast gaat het platform de kenniskaarten die het Cyberweerbaarheidscentrum heeft ontwikkeld om bedrijven te helpen met de eerste stappen op het vlak van cybersecurity, aanbieden op het kennisdeling gedeelte van het Tech2B platform. “Door samen te werken, maken we meer bedrijven bewust van de gevaren.” Het team dat op de achtergrond dagelijks aan de ontwikkeling van het platform werkt, besteedt daarbij continu aandacht aan de veiligheid ervan. Het platform laat elk kwartaal een externe partij een security check uitvoeren, de nieuwste standaarden uit de IT worden toegepast.
Paul van Nunen vindt dat elk maakbedrijf het onderwerp hoog op de agenda moet zetten. Directeur-eigenaren moeten zich er actief mee gaan bemoeien.
“De directeur moet het willen. Het is Chefsache. Want cybersecurity raakt direct aan je primaire proces. Het idee dat je een actie onderneemt en dan alles geregeld hebt, is een illusie. Dat komt enerzijds doordat cybercriminelen razendsnel nieuwe methoden en technieken ontwikkelen en anderzijds doordat de menselijke factor de zwakste schakel blijft. Daar moet je continu aandacht aan blijven geven.”