Stel u voor dat u midden in een landelijke uitbraak van voedselvergiftiging zit waar steeds meer informatie over vrij komt.
U controleert de verwerkingsgegevens en controleert alles nog eens; alle porties gekookte kip lijken in orde dus wat gaat er mis?
Een onbekende hacker, mogelijk een ontevreden ex-medewerker, is via een onveilig IoT-toestel doorgedrongen tot cruciale operationele processen en verandert deze op afstand, waardoor een partij kip niet gaar, en dus gevaarlijk, is. Maar u weet niet welke batches het probleem vormen, dus moet er een nationale terugroepactie worden gepland.
Uw productvoordeel wordt geneutraliseerd omdat een concurrent net een copycat-product heeft gelanceerd met gestolen intellectueel eigendom dat door hackers is verkregen. Een hacker heeft gevoelige commerciële en toeleveringsketeninformatie gestolen die behoort tot een van uw grote retailklanten en vraagt om een enorme som losgeld. Wat moet u doen?
Vergezocht? Denk nog eens na.
Historisch gezien zijn het de financiële en retailsectoren die de meeste aandacht hebben gekregen van cybercriminelen, waarbij meestal sprake is van datalekken. Recenter zijn de gezondheidszorg en de overheidssystemen blootgesteld aan cyberaanvallen en nu deze sectoren hun verdediging verbeteren, gaan cybercriminelen verder met zachtere, eenvoudigere doelen en de voedselsector valt wel heel erg op.
Een deel van het probleem is dat de sector gelooft dat ze immuun zijn. Waarom zou iemand een voedselbedrijf aanvallen? Nationale en internationale misdaadorganisaties richten zich vaak op de voedselketen voor grootschalige vervalsing, namaak, fraude, diefstal en smokkel; ze hacken zelfs in systemen van opslagbedrijven en distributiebedrijven om namaakproducten te uploaden en ze in de legale toeleveringsketen te plaatsen. Het gevaar is reëel en voedselbedrijven, ongeacht de grootte, moeten stappen ondernemen om de weerstand van informatie te versterken. Dit is de reden waarom:
- IT en cyberbeveiliging zijn niet hetzelfde. In de meeste bedrijven is IT ook verantwoordelijk voor cyberbeveiliging. Dit is een fundamentele fout. De twee disciplines zijn duidelijk verschillend en vereisen verschillende benaderingen, denkwijzen en vaardigheden.
- „We zijn een KMO, waarom zouden we ons zorgen moeten maken?” Uit rapporten blijkt dat kleine en middelgrote bedrijven net zo vaak worden aangevallen als grote bedrijven, meestal per e-mail.
- „Al onze IT- en cyberbeveiliging wordt uitbesteed, het is hun probleem.” IT-serviceproviders vormen voor hackers een grote buit en krijgen daarom speciale aandacht. Hun probleem kan snel van uw probleem worden.
- Cybercriminaliteit wordt steeds makkelijker en toegankelijker. Hoewel cybercriminaliteit ooit het exclusieve domein was van ‘masters of code’, is het uitgegroeid tot een bedrijfstak op zich. Tegenwoordig vinden makers van malware het winstgevender, en zeker veiliger, om hun diensten aan te bieden en hun producten te verkopen zodat anderen de aanvallen kunnen uitvoeren.
- Oudere systemen. De huidige systemen voor voedselverwerking zijn doorgaans afhankelijk van verouderde softwareplatforms zoals Linux of Windows 98; systemen die meer dan 20 jaar geleden zijn geïnstalleerd. Bovendien kan de oude code niet worden bijgewerkt of gepatcht.
- Krachtige verbindingen. Door interne productieprocessen via internet intern te koppelen aan externe datasystemen en netwerken, kunnen productiviteit en efficiëntie van processen verbeterd worden. Het nadeel is dat veiligheid vaak wordt opgeofferd om moderne systemen te laten samenwerken met verouderde systemen. Dit betekent ook dat een inbreuk op de beveiliging op één punt zich snel kan verspreiden.
- Als het niet kapot is, repareer het dan niet. Het management is begrijpelijkerwijs terughoudend om te investeren in betere, veiligere systemen wanneer een oud systeem prima werkt en men denkt dat het risico maar is ingebeeld. Dit is een valse economie.
- Gebrek aan bewustzijn. Operators zijn getraind om bestaande systemen draaiende te houden en zijn geen cyberexperts.
- De 'slimme' stormloop. Zogenaamde 'dumb devices' zoals bait boxes worden vervangen door IoT-apparaten. Deze bevatten vaak 'kant-en-klare' sensoren met ingebouwde onzekerheden die draaien op slecht ontworpen en ondersteunde software. Deze essentiële vragen worden tijdens het inkoopproces vaak over het hoofd gezien.
Een voedselbedrijf kan lijden onder verschillende soorten cyberaanvallen. Misschien wordt uw productvoordeel geneutraliseerd omdat een concurrent net een copycat-product heeft gelanceerd met gestolen intellectueel eigendom dat door hackers is verkregen. Of misschien heeft een hacker gevoelige commerciële en toeleveringsketeninformatie gestolen die behoort tot een van uw grote klanten in de detailhandel en wordt er om een enorme som losgeld gevraagd. In ieder geval is het van essentieel belang dat risicobeheer top prioriteit heeft.
Wat kan er worden gedaan?
- Hier begint CHACCP; Cyber Hazard Analysis Critical Contro Point (kritisch controlepunt voor analayse van cyberrisico's). Kwaliteitsborging en technische functies maken met HACCP al 30 jaar onderdeel uit van de voedselsector. Zie CHACCP als een extensie van dezelfde risicogebaseerde benadering voor het beschouwen van cyberkwetsbaarheden en -verbanden in een productieomgeving en toegepast als een uitbreiding op het geïntegreerde voedselveiligheidsbeheersysteem.
- Implementeren van standaard voor cyberbeveiliging. De meeste bedrijven zouden er niet aan denken om een penetratietest te gebruiken en te ontdekken hoe veilig ze zijn, of om BitSight te gebruiken voor het bepalen van het cyberrisico dat hun leveranciers voor hun vormen en dit op te nemen bij het selecteren, controleren en evalueren van leveranciers. Een verstandige verbetering is het implementeren van ISO 27001 informatiebeheersystemen en het verplicht stellen ervan aan belangrijke leveranciers, vooral aan de IT-platforms die in uw organisatiesystemen zijn geïntegreerd.
- Werk aan de cultuur. Al het personeel moet meer cyberkennis opdoen door middel van training in cyberbewustzijn als onderdeel van hun inwerkproces en ze moeten worden aangemoedigd om mogelijke cybergerelateerde problemen aan te geven voordat ze uit te hand lopen.
Het goede nieuws is dat bedrijven die deze verstandige stappen implementeren niet alleen de risico’s voor hun bedrijf verminderen, maar mettertijd zich ook realiseren dat ze een aanzienlijke bijdrage leveren aan een sterke, gedegen defensie, en zo misschien zelfs hun concurrenten een stap voor zijn.
Auteur: Richard Werran
Director of Food ─ EMEA