Ondernemers, steek je kop niet in het zand, is de oproep van Joris den Bruinen, algemeen directeur The Hague Security Delta (HSD), partner van de Greenport. De kans dat de sector doelwit wordt van cybercriminaliteit is aannemelijk. Er is voldoende te halen voor criminelen: data, hoogwaardige kennis én – niet te vergeten – geld. “Neem maatregelen om ellende te voorkomen, en weet wat je moet doen als het toch misgaat om schade te beperken.”
Hoe staat het met de digitale veiligheid van de tuinbouw?
“Die staat steeds meer onder druk. Dat heeft drie oorzaken. Allereerst komt het doordat er steeds meer gedigitaliseerd is bij ondernemingen. Bovendien zijn steeds meer apparaten, zoals klimaatcomputers of energie-installaties gekoppeld aan internet. Dat vergroot het mogelijke aanvalsvlak voor criminelen, en dus het risico. Grote bedrijven hebben hun beveiliging steeds beter op orde, en dus nu ervaart ook het mkb steeds vaker problemen. En daarnaast zijn criminelen steeds professioneler geworden. Het gaat niet meer om een jongetje op een zolderkamer; het gaat om organisaties met een businessmodel.”
Wat hopen criminelen te vinden bij tuinbouwbedrijven?
“Hoe hoogwaardiger de kennis bij bedrijven, hoe groter de kans dat gespecialiseerde aanvallers opstaan. Het gaat namelijk bij digitale veiligheid namelijk niet alleen om criminelen, maar ook om staten die de tuinbouw economisch interessant vinden. Denk aan kennis over plantveredeling of klimaat. En wat betreft criminelen: je kunt zeggen ‘bij mij is niets te vinden, dus ik ben veilig’. Maar misschien gaat het de criminelen niet om data, maar om geld. Want stel dat je bedrijf gewoon plat ligt door versleuteling van je bestanden en systemen door zogenaamde ‘ransomware’, waarbij je tegen betaling je gegevens weer beschikbaar krijgt. Hierom is het van belang om vóór dat een incident zich voordoet je maatregelen hebt genomen waarbij het bijvoorbeeld essentieel is dat je back-ups hebt.”
Toch zijn er geen voorbeelden van cybercriminaliteit in de tuinbouw.
“Ik durf haast te zeggen: het kan niet anders dan dat er tuinbouwbedrijven al getroffen zijn. Maar vaak durven ondernemers er niet voor uit te komen. Dat zie je ook in andere mkb-sectoren. Er is een handjevol bedrijven die altijd gebruikt worden als voorbeeld: het gaat om een garage, een fotograaf enzovoorts. Maar er zijn veel meer getroffen bedrijven. Het is ASML overkomen, universiteiten, overheden, de containeroverslag in de Rotterdamse haven, en veel kleine bedrijven.”
Hoe voorkom je dat je getroffen wordt?
“Het begint met bewustzijn: weten dat de kans bestaat dat je een keer getroffen wordt. Criminelen worden namelijk steeds geraffineerder. Ze sturen mails die er bedrieglijk echt uitzien, en vaak is er sprake van enige druk. ‘Je moet nu iets regelen anders gaat het mis’. En daarna gaat het om handelingsperspectief: weten wat je moet doen als het tóch misgaat. Daarbij gaat het om techniek, processen, beleid en mensen. Welke afspraken heb je bijvoorbeeld gemaakt met je IT-leverancier?”
Maar als het misgaat, ben je toch al te laat?
“Laat ik een voorbeeld noemen. Ook HSD is een keer getroffen. Een zzp’er klikte per ongeluk op een verkeerde link. Eerlijk is eerlijk: de mail was zo echt, ik was er ook in getrapt. Ik heb die medewerker later ten overstaan van alle medewerkers gecomplimenteerd. Hij deed namelijk precies wat je moet doen als je merkt dat je iets verkeerds hebt gedaan. Hij heeft direct de IT-manager en mij gebeld. En ik heb direct de IT-leverancier gebeld. Daarmee hebben wij contractueel een 24/7-afspraak, dus ook na 5 uur helpen ze.”
Wat gebeurde er toen?
“De IT-leverancier heeft direct het netwerkaccount van die medewerker uitgeschakeld. Twee minuten later probeerde iemand uit Rihad toegang te krijgen te krijgen tot ons systeem. Dan had diegene misschien ook bij mijn account kunnen komen, en vervolgens in ons relatiebestand. Dat gebeurde dus gelukkig niet. En dat doordat die medewerker direct wist wat te doen. En dan te bedenken dat die medewerker niet op de afdeling IT werkte of een security professional is.”
Een consortium met onder meer HSD en de Greenport gaat aan de slag met digitale veiligheid. Waarom die samenwerking?
“Grote bedrijven in de sector hebben hun digitale veiligheid volgens mij goed op orde. Maar er is een hele keten, met telers, toeleveranciers, telersverenigingen. Die willen we helpen met bewustzijn en het handelingsperspectief. En er komt een Community of Practice: het Cyber Weerbaarheidscentrum Tuinbouwcluster West-Holland. Daarmee organiseren we kennissessies, kijken we of bijvoorbeeld dreigingsinformatie gedeeld kan worden, of dat we gezamenlijk beveiligingsproducten kunnen inkopen.”
Als laatste: wat is de beste tip voor het verhogen van je digitale veiligheid?
“Digitale veiligheid klinkt moeilijk en vervelend, maar het kan eenvoudig zijn. Een voorbeeld: als een app, programma of systeem vraagt om een update te installeren, klik dan op ‘ok’. In die updates zitten vaak verbeteringen op het gebied van veiligheid. Of gebruik dubbele authenticatie voor toegang tot bijvoorbeeld je laptop. Als je dat eenmaal doet, is het heel eenvoudig. En bedenk: het begint met een eerste kennismaking. Dat gold ook voor bijvoorbeeld je klimaatcomputer, daaraan ben je ook gewend. En vooral: steek je kop niet in het zand.”
Wilt u aansluiten bij het Cyber Weerbaarheidscentrum Tuinbouwcluster West-Holland? Neem dan contact op met Bert Feskens (HSD)) of Woody Maijers (Greenport West-Holland) of Joris den Bruinen.
