Als het om cyberveiligheid gaat, kun je niemand vertrouwen

door: Bart Banning

Met de digitalisering van diensten, producten en processen komt een grote verantwoordelijkheid: de beveiliging van systemen en data. Een interview met Bart Banning, sector banker Transport & Logistiek. Welke tips nemen we mee van logistieke bedrijven als het gaat over cybersecurity?

 

 

 

  1. Onvoldoende bewustzijn is onvoldoende beveiliging

Vorig jaar publiceerde ABN AMRO een sectorrapport over cybersecurity in de logistiek. Twee belangrijke conclusies van dit onderzoek: informatie werd onvoldoende beveiligd, en bij zowel directies en medewerkers was te weinig bewustzijn over dit thema. Is er ondertussen iets veranderd? Banning: “Ik denk deels. Ons rapport was mede bedoeld om de awareness in deze sector te vergroten. Dat is gelukt. De mensen die ik spreek, hebben er allemaal aandacht voor en security events worden goed bezocht. Het bewustzijn is gegroeid, alleen weten directies nog onvoldoende hoe te handelen na een aanval. En medewerkers hebben te weinig knowhow om cybercriminelen buiten de deur te houden. Elke dag vinden er cyberaanvallen plaats; pak de kranten van de afgelopen maanden er maar eens bij. Een vervelende ontwikkeling, die ons als maatschappij dwingt snel te leren.”

  1. IT is sturend in het proces

Waar we ook kijken, overal neemt digitalisering een vlucht. Van robotisering in de industrie en dataoverdracht in de zorg tot slimme risicomodellen bij hypotheekverstrekkers. Stuk voor stuk nuttige ontwikkelingen voor de (eind)gebruiker, maar ze zorgen ook voor kopzorgen. Data ondersteunen niet langer de processen, ze zijn de processen. Daardoor krijgen uw gegevens waarde, en dus zijn ze interessant voor de georganiseerde cybermisdaad. Banning: “Vroeger hadden criminelen het gemunt op goederen, tegenwoordig vinden ze data minstens zo aantrekkelijk. Want met een goed uitgevoerde hack verandert een crimineel in een handomdraai een digitale vrachtbrief en laat hij een vracht ongemerkt op een alternatieve locatie bezorgen.”

Banning: “Specifiek in onze sector: we zitten midden in een transformatie van goederenstromen naar informatiestromen. Vroeger was IT ondersteunend aan het proces. IT ís nu feitelijk veel meer sturend in het proces. Een spannende verandering, die risico’s van een niet-tastbare aard met zich meebrengt. En dat is wennen. Elke professionele organisatie heeft een draaiboek klaarliggen voor als er brand uitbreekt. Cybercrime vergt ook zo’n zorgvuldige houding. Afgelopen maand was ik op een seminar over cyberveiligheid. Daar vroeg een van onze sprekers de aanwezige bestuurders wie er weleens een nep-mail naar de eigen organisatie stuurt. Wat denk je? Niemand stak z’n hand op. Terwijl dit zo’n eenvoudige en doeltreffende methode is om de beveiliging van je eigen organisatie te testen.”

  1. Gevaar komt van binnenuit

Afgelopen zomer heeft een cyberaanval de containerterminal van APM in Rotterdam negen dagen platgelegd. “Dat soort incidenten schudt de sector behoorlijk wakker”, aldus Banning. “Ik hoop alleen dat mensen na de eerste schrik ook daadwerkelijk iets veranderen. Laten we niet vergeten dat veel ellende wordt veroorzaakt door onwetendheid en nalatigheid van eigen medewerkers. Denk aan niet-uitgevoerde software-updates, gebruik van privésmartphones en klikken op malafide e-mails. Je kunt als organisatie je volledige budget uitgeven aan de harde kant van beveiliging, IT dus, maar ik raad iedereen aan om medewerkers goed voor te lichten over hoe je cyberrisico’s buiten de deur houdt én wat er moet gebeuren direct na een cyberaanval.”

  1. Vertrouw niemand!

“Ga ook het gesprek aan met leveranciers. Steeds vaker zie je dat bedrijven data uitwisselen met logistieke partijen, bijvoorbeeld in het kader van voorraadbeheer. Zonder dat er sprake is van kwade wil, kunnen er zo data weglekken of kunnen systemen elkaar besmetten met een virus. Ook al heb je nog zo’n sterke relatie met een leverancier: als het om cyberveiligheid gaat, kun je niemand vertrouwen. Daarom is het belangrijk dat je van elkaar weet hoe je omgaat met cyberbeveiliging. Sowieso juichen wij bij ABN AMRO kennisuitwisseling op dit vlak van harte toe. Het onderwerp is té complex om die kar in je eentje te trekken.”

  1. Schakel een risk management-adviseur in

Een eerste stap om tot goed cybersecurity-beleid te komen, is vast te stellen welke risico’s je loopt. Een gespecialiseerde risk management-adviseur kan daar prima mee helpen. Je ziet dat veel bedrijven een verzekering voor cybersecurity afsluiten. Prima, maar dat is slechts een onderdeel van goed beleid. Met een degelijke brandverzekering hang je ook nog steeds rookmelders op, toch? Banning: “Honderd procent garantie op veiligheid heb je niet, maar er zijn wel geschikte maatregelen. Kijk naar de zwakke schakels en verken de scenario’s, zodat je precies weet wat je moet doen.”

Inmiddels zijn bedrijven wettelijk verplicht om datalekken te melden. Die druk én het toenemende risicobesef hebben de awareness van cyberveiligheid vergroot. Banning: “Als samenleving moeten we het hoofd koel houden en alert blijven. Door transparant te zijn over incidenten en maatregelen, kunnen we elkaar helpen cybercriminelen de pas af te snijden. We hebben te maken met een relatief nieuw fenomeen, dus concludeer vooral niet te snel dat anderen het wél goed hebben geregeld. Mijn advies is om cyber security op één plek te beleggen in de organisatie, het liefste binnen het managementteam. Inmiddels weten we dat cyberincidenten een heel bedrijf lam kunnen leggen. De preventie ervan is een strategisch vraagstuk dat bestuurlijke aandacht verdient.”

 

Meld u aan voor Cyber Security Live 2017

https://www.abnamro.nl/nl/grootzakelijk/blogs/cybersecurity_publiek_domein.html