Ondanks alle waarschuwingen blijven veel transportbedrijven de risico’s van cybercriminaliteit onderschatten. Dat blijkt tijdens het jaarlijkse ITT-event van telematicaspecialist Trimble. Menig transportbedrijf is voor cybercriminelen een stuk interessanter dan de bakker op de hoek, stelt Elisabeth Post van TLN. “Ook omdat dat bedrijf deel uitmaakt van een keten. Via die keten kunnen cybercriminelen overal binnekomen.”
Ronduit angstaanjagend is het bericht dat een bedrijf te horen kreeg na een geslaagde cyberaanval. “We zullen uw bedrijf grote schade toebrengen. We zullen uw medewerkers, partners en overheden vertellen over dit datalek. We zullen media informeren over deze succesvolle cyberaanval. De achterdeur met toegang tot uw bedrijfsdata zal verkocht worden aan andere hackers. En dat zal dan de laatste dag van uw bedrijf zijn. Denk aan uw toekomst en aan uw gezin.”
Het bericht wordt tijdens het ITT-event afgespeeld door Clayton Inge van cybersecuritybedrijf ESET. “De impact van zo’n cyberaanval is gigantisch. Uit onderzoek blijkt dat een op de zeven medewerkers twee jaar na zo’n aanval nog steeds professionele hulp nodig heeft. Dat betreft niet alleen de IT-medewerkers, maar ook andere medewerkers tot aan de mensen die koffie rondbrengen.”
3,5 miljoen euro schade
Een cyberaanval heeft niet alleen grote impact op de gemoedstoestand van medewerkers, maar ook op de financiële continuïteit van het bedrijf. Inge herinnert het publiek aan de ‘kaashack’ bij Bakker Logistiek drie jaar geleden. Na een aanval met gijzelsoftware zaten de servers van deze logistiek dienstverlener volledig op slot, waardoor de winkels van Albert Heijn dagenlang verstoken bleven van kaas. “De financiële schade bedroeg uiteindelijk 3,5 miljoen euro. Bedenk eens wat je met dat geld had kunnen doen”, zegt Inge.
Wat het voorbeeld van Bakker Logistiek duidelijk maakt, is dat de impact niet beperkt blijft tot het bedrijf zelf. De hele keten ondervindt schade – niet alleen Albert Heijn, maar ook de kaasproducent. “Als bedrijf lever je producten of diensten die van waarde zijn. Die waarde kan er alleen zijn als je klanten erop kunnen vertrouwen dat die waarde beschermd wordt. Als je waarde levert die van het ene op het andere moment weg kan zijn, zullen klanten maar weinig daarvoor willen betalen”, weet Inge. “Als je van waarde bent voor je klant, zul je die waarde moeten beschermen.”
Kostbare lading
Voorzitter Elisabeth Post geeft aan dat Bakker Logistiek zeker niet de enige logistieke slachtoffer van cybercriminialiteit is. “Ik kan de voorbeelden niet meer op de vingers van één hand tellen”, stelt de voorzitter van Transport & Logistiek Nederland (TLN). “Meerdere TLN-leden hebben te maken gehad met gijzelsoftware. Maar de dreiging doet zich ook voor op andere vlakken. Stel dat je kostbare lading vervoert en cybercriminelen in je systeem kunnen zien waar en wanneer die vrachtwagen stilstaat. Dan breng je niet alleen die lading, maar ook die chauffeur in gevaar.”
De opvatting binnen veel transportbedrijven dat het wel meevalt met de risico’s, bestrijdt Post. “Daar vergissen we ons in. Misschien horen we er niet zoveel over vanwege de schaamte van bedrijven om open en eerlijk over cyberaanvallen te praten. Maar laten we eerlijk zijn. Als je kostbare lading vervoert, ben je voor cybercriminelen veel interessanter dan de bakker op de hoek.”
Nieuwe richtlijn
Op 17 oktober wordt in de EU een nieuwe richtlijn voor cyberbeveiliging van kracht: NIS2. Alle essentiële bedrijven met meer dan tien miljoen euro omzet of meer dan vijftig medewerkers op de loonlijst moeten aan deze richtlijn voldoen. Die bedrijven zullen ook eisen gaan stellen aan hun partners in de keten, benadrukt Post. “Daar zit een ketenwerking aan. Niet alleen grote, maar ook kleine bedrijven zullen uiteindelijk aan NIS2 moeten voldoen.”
Sommige kleine en middelgrote transportbedrijven zullen die richtlijn als extra regeldruk ervaren. En de perceptie hebben dat NIS2 vooral gedoe oplevert en geld kost. Dat hoeft niet, denkt Post. “We hebben een samenwerking opgezet met MKB Nederland. Bedrijven kunnen meedoen aan een project met de naam Samen Digitaal Veilig. Ze kunnen een toolkit ophalen met onder meer tips en trainingen. Wie te klein is voor een eigen IT-afdeling, kan zijn mensen zo toch bewust maken van de risico’s.”
Bewustwording
Het creëren van bewustwording is belangrijk, vindt Post. “Dat is tachtig procent van de oplossing. Nog te vaak denken transporteurs dat cybercriminelen als eerste bij een bank of juwelier proberen binnen te komen, maar hun bedrijf is interessanter dan ze denken. Ook omdat ze deel uitmaken van een keten. Via die keten kunnen cybercriminelen overal binnenkomen. Laten we dus met elkaar de sector veiliger maken.”
Niet alleen transportbedrijven, maar ook hun IT-leveranciers hebben een verantwoordelijkheid op het gebied van cybersecurity. Trimble investeert daarom tien procent van het innovatiebudget in cyberbeveiliging. “Daarnaast hebben we vijftig specialisten in dienst die 24 uur per dag en 7 dagen per week de veiligheid op onze platformen bewaken. Wij huren doorlopend externe partijen in om ons uit te dagen en te testen of onze platformen tegen hun aanvallen bestand zijn”, vertelt Chris Boogaard, country manager van Trimble Transportation in Nederland.
Meervoudige authenticatie
Daarnaast maakt Trimble gebruik van de Single Sign On-functie van Microsoft en Google, waardoor medewerkers maar één keer hoeven in te loggen om toegang te krijgen tot meerdere applicaties, waaronder die van Trimble. Dat biedt ook de mogelijkheid om gebruik te maken van meervoudige authenticatie met hulp van bijvoorbeeld de smartphone. Boogaard: “Als iemand uit dienst gaat, hoeft hij alleen maar uit de Microsoft- of Google-omgeving te worden gezet om toegang tot al die applicaties te verhinderen. Dat geeft een enorme grip op de bedrijfsvoering. Bedrijven als AB Texel, Jan de Rijk en Cornelissen maken al gebruik daarvan.”
Volgens Inge zijn IT-maatregelen alleen niet voldoende. Als transportbedrijven werk willen maken van cyberbeveiliging, is daarvoor steun van de directie nodig. “Als de directie de risico’s niet juist weet in te schatten, niet de juiste middelen beschikbaar stelt en niet zelf het juiste voorbeeld geeft, gaat er geen verandering plaatsvinden. Er moet een cyberbeveiligingscultuur worden gecreëerd. En daarbij is de directie leidend.”
