Cybercriminaliteit blijft toenemen in Nederland. Dat blijkt uit het rapport Cybersecuritybeeld Nederland 2018, dat jaarlijks door de Nationaal Coördinator Terrorismebestrijding en Veiligheid uitgebracht wordt. In dit rapport worden de belangrijkste digitale dreigingen geschetst waar organisaties in Nederland mee te maken kunnen krijgen. Een greep uit de lijst van dreigingen zijn DDoS-aanvallen, ransomware en cyberspionage. Maar wat betekenen ze voor bedrijven die de overstap willen maken naar de smart industry?
Gevaren in de smart industry
“We zien dat eigenlijk alles steeds meer aan het digitaliseren is. In verschillende bedrijfsprocessen worden nu bijvoorbeeld sensoren gebruikt die in constante verbinding staan met het internet”, zegt Liesbeth Holterman, beleidsadviseur bij Cyberveilig Nederland. Maar volgens Holterman wordt er vaak niet goed nagedacht over de veiligheidsrisico’s die hiermee gepaard gaan: “Organisaties weten dat ze hun computers moeten beschermen en dat het geen goed idee is om bedrijfsgevoelige informatie te delen via openbare wifi -netwerken. Ze vergeten echter vaak dat cybersecurity ook belangrijk is in de productieomgeving.” Zo draaien veel machineparken nog op verouderde besturingssystemen, terwijl de cyberdreigingen steeds complexer worden. Een slechte zaak gezien de wereldwijde wedloop die nu gaande is om de overstap te maken naar de smart industry.
Dit wordt ook onderschreven in het rapport, dat vermeldt dat de stijgende complexiteit en connectiviteit de weerbaarheid van digitale infrastructuren onder druk zet. Doordat data steeds meer gedeeld worden − bijvoorbeeld via clouddiensten − is het een stuk lastiger om het overzicht te bewaren. Als niet duidelijk is waar de data precies zijn opgeslagen, kunnen organisaties ook niet weten hoe deze beveiligd moeten worden.
“Regie op het ICT-landschap blijft binnen de organisatie, terwijl de uitvoering ervan versnipperd raakt over meerdere partijen. Dit zorgt voor nieuwe afhankelijkheden en een vergroting van het aanvalsoppervlak”, meldt het rapport. Tegelijkertijd zijn veel protocollen voor gegevensuitwisselingen via het internet al decennia oud, en worden ze steeds minder geschikt om weerstand te bieden tegen de huidige dreigingen.
Implicaties voor het bedrijfsleven
Cybercriminaliteit heeft verschillende langstrekkende gevolgen voor het bedrijfsleven. In 2017 waren daar genoeg voorbeelden van. Zo werd er malware (software die computersystemen verstoort) verspreid in verschillende landen zoals Oekraïne, Frankrijk, Engeland en de Verenigde Staten.
Dit zorgde er in Oekraïne voor dat de metro niet meer reed, vliegvelden stil kwamen te liggen en elektriciteitscentrales problemen ondervonden. Enorme aanslagen op de bedrijfscontinuïteit, waar ook in Nederland sprake van was. “Een goed voorbeeld daarvan is de haven van Rotterdam, waar vorig jaar een aanval is geweest. De containerterminal van een groot internationaal bedrijf heeft daardoor weken stilgelegen”, vertelt Holterman. Deze aanval zou naar verluidt honderden miljoenen euro schade hebben opgeleverd. “Bedrijven moeten zich dus realiseren wat hun kroonjuwelen zijn: wat zijn de belangrijkste assets en hoe kunnen deze optimaal beveiligd worden?”
Daarnaast loopt de bedrijfsreputatie ook een enorme dreun op in het geval van cybercriminaliteit, zeker wanneer privacygevoelige data in verkeerde handen komen te vallen. De afgelopen jaren is het vertrouwen in digitale middelen in sneltreinvaart toegenomen, maar als er iets fout gaat kan dat ook weer snel veranderen. Met financieel verlies door boetes en weglopende klanten als gevolg. Holterman: “We zien dat veel bedrijven pas actie ondernemen als ze slachtoffer zijn geworden, terwijl de preventiemaatregelen een stuk goedkoper zijn dan het opruimen van de scherven.” Hele netwerken moeten dan bijvoorbeeld opnieuw worden opgebouwd of schoongeveegd, of er moeten deskundigen ingehuurd worden wanneer de kennis zelf niet in huis is. “Dat is zonde aangezien er hele eenvoudige preventiemaatregelen zijn waarmee 80 procent van de risico’s wordt geminimaliseerd.”
Juridische gevolgen
Volgens Gerrit-Jan Zwenne, hoogleraar Recht en de informatiemaatschappij aan de Universiteit Leiden, is er sprake van een ongewenst neveneffect van de toegenomen digitalisering. “Naarmate organisaties afhankelijker worden van technologie, zal het uitvallen daarvan grotere gevolgen hebben.” Naast de gevaren kleven er ook juridische gevolgen aan een falend veiligheidsbeleid in de smart industry. Wanneer organisaties van traditionele informatieverwerking naar geautomatiseerde dataprocessing overgaan, komen er nieuwe knelpunten bij. En daar is nog veel onduidelijkheid over: “Het grootste risico is misschien dat we de juridische risico’s nog niet goed overzien. We kennen de technologie nog onvoldoende om een goede inschatting te kunnen maken. En het recht is er niet voldoende op toegesneden.”
Dit is onder andere het geval met de Algemene Verordening Gegevensbescherming (AVG), die vanaf dit jaar van toepassing is. De nieuwe Europese privacywetgeving stelt een fl ink aantal nieuwe eisen aan organisaties die data verwerken.
Wanneer ze niet aan deze eisen voldoen, kunnen de boetes oplopen tot 20 miljoen euro of 4 procent van de jaaromzet. Toch is de bewustwording omtrent de AVG nog niet altijd op niveau, stelt Zwenne. “Veel bedrijven denken bij de AVG in eerste instantie aan datalek-wetgeving, maar er zijn ook andere riskante elementen zoals het inzage- en vergeetrecht.” Deze rechten zijn opnieuw gedefinieerd. Daardoor is te verwachten dat er veel meer gebruik van wordt gemaakt in de toekomst. Organisaties moeten hun werkwijze en bedrijfsprocessen hierop aanpassen. “Daarnaast moeten bedrijven hier ook op anticiperen in hun contracten met derden. Als je bedrijfsadministratie bijvoorbeeld ergens in een externe clouddienst draait, is het verstandig om met de leverancier af te spreken dat er back-upfaciliteiten zijn.”
Cyberveiligheid van vitale processen
Voor organisaties in de smart industry is het dus noodzakelijk om alle vitale bedrijfsprocessen en betrokken partijen mee te nemen in het veiligheidsbeleid tegen de toenemende digitale dreigingen. Geen enkel bedrijf levert volgens Holterman namelijk nog geheel zelfstandig een product of dienst, en “in de keten ben je zo sterk als de zwakste schakel.” Zwenne is het hiermee eens: “Je kunt de hete aardappel niet blijven doorschuiven. Alle partijen in het ecosysteem moeten hun verantwoordelijkheid nemen. De consument mag niet de dupe worden van het ontwijkgedrag.”
Gelukkig zorgen de laatste technologische ontwikkelingen er ook voor dat organisaties steeds meer in staat gesteld worden om deze verantwoordelijkheid te nemen. Een voorbeeld daarvan is de blockchain-technologie, die inzichtelijk maakt welke stappen er door wie in de keten worden genomen. “Als alle partijen samenwerken om de keten te versterken dan heb je een fantastische uitgangspositie om de overstap te maken naar de smart industry. Dan is cybersecurity geen kwetsbaarheid meer, maar een kans”, aldus Holterman.