Hoewel de digitalisering van ketens het concurrentievermogen van ketenpartners versterkt, maakt die onderlinge verbondenheid bedrijven ook kwetsbaar voor cybercrime. Door ervaringen met aanvallen open te delen met klanten en leveranciers kan die kwetsbaarheid weliswaar verminderen, al liggen tegelijkertijd aansprakelijkstelling, imagoschade en aantasting van de concurrentiepositie op de loer. Een nieuwe paper van TNO geeft bedrijven handvatten voor het verhogen van de cyberweerbaarheid.
– De schaduwzijde van al die connectivity is dat bedrijven voor hun ‘cyberweerbaarheid’ ook afhankelijk zijn van ketenpartners.
– Het was voor TNO de reden om het rapport ‘Als de keten zelf de zwakste schakel is’ te schrijven
– ‘Implementatie van informatiebeveiligingsbeleid is niet eenvoudig.’
– ‘Net zo min als dat het geval is voor de ceo kan de ciso het niet alleen.’
TNO rapporteert over de risico’s van digitale connectivity en hoe daarmee om te gaan
Industrie 4.0, smart industry… Het zijn veel gebezigde initiatieven voor het vergroten van connectivity, wat staat voor het digitaal verbinden van de IT aan de OT. Dit om alle bedrijfsprocessen – van inkoop en engineering tot en met productie en service – optimaal af te stemmen. Connectivity moet ervoor zorgen dat de complete onderneming, op basis van een single source of truth, heel snel en flexibel kan acteren op wijzigingen, waar die dan ook ontstaan in het proces. De flexibiliteit wordt verder vergroot door alle IT vanuit de cloud te betrekken, daar procesdata op te slaan en machineleveranciers via dat kanaal inzage te geven in de data die hun installed base genereren, om storingen voor te zijn. Ook zijn er formats ontwikkeld, zodat de uitwisseling van data tussen de verschillende ERP-systemen van klanten en leveranciers online en geautomatiseerd kan plaatsvinden. Zo worden de digitale verbindingen dus meer en meer uitgerold over de supplychain.
‘Laat weten waar een back-up staat en voor wie en wanneer die toegankelijk is’
Schaduwzijde
De schaduwzijde van al die connectivity is dat bedrijven voor hun ‘cyberweerbaarheid’ ook afhankelijk zijn van ketenpartners. Als een leverancier zijn firewalls niet op orde heeft, kan een hacker binnenkomen via de servicelijn met die machinebouwer, of via de ERP-koppeling. En, omdat uitbesteding plaatsvindt op steeds hoger, strategisch niveau is de afhankelijkheid van leveranciers vergroot. Valt er één partij weg door een hack dan raakt dat de hele keten. Het was voor TNO de reden om het rapport ‘Als de keten zelf de zwakste schakel is’ uit te brengen, gericht op het vergroten van het bewustzijn van industriële ondernemers en het duiden van mogelijke oplossingen.
Afwegen belangen
Na een hack is de communicatie erover naar buiten van groot belang, aldus Mark Buningh, senior business developer cybersecurity en medeopsteller van het rapport. Uit de Brabantse regio valt – off the record – kritiek te beluisteren op beperkte communicatie van VDL over de recente hack. ‘Ik heb de recente VDL-casus niet op de voet gevolgd. Maar als ik naar de berichten daarover in de pers kijk, zie ik – heel belangrijk – veel steunbetuigingen van klanten, leveranciers en andere stakeholders. Wat je wanneer communiceert is een afweging van uiteenlopende belangen: de afdeling communicatie wil vooral zo open mogelijk zijn, juridische zaken wil vooral niets op straat wat tot aansprakelijkstelling kan leiden. Tegelijkertijd staan de aandeelhouders erop dat alleen het hoogst noodzakelijke gecommuniceerd wordt, bang voor imagoschade. Al vertellen die steunbetuigingen vast niet het hele verhaal, ik leid eruit af dat VDL een goede afweging heeft gemaakt tussen al die belangen.’
Communicatie oefenen
Belangrijk voor het – snel – kunnen bepalen en uitvoeren van de communicatiestrategie is het oefenen daarvan. ‘En dan zul je merken dat je vaak nog heel veel niet weet’, zegt Buningh. ‘Dat je niet weet wie de hacker is, hoe en wanneer die is binnengekomen. Volledig open zijn over je onwetendheid kan tot aansprakelijkheidstelling leiden door klanten, die vinden dat je nalatig bent geweest, en tot boetes van toezichthouders. Maar toegeven dat je hebt vastgesteld dat hackers al drie jaar in je boekhouding zaten, zal hetzelfde effect hebben. Zeker voor de hightech organisaties in kennisland Nederland kunnen daar tegenwoordig ook nog eens geopolitieke belangen mee gemoeid zijn, wat het vooraf bepalen en oefenen van de communicatiestrategie van nog groter belang maakt.’
Openheid over de oorzaak en aard van een datalek en/of een hack(poging) vergt dus een zorgvuldige, goed voorbereide afweging. Ook communiceren over de praktische gevolgen is zonder meer gewenst, zegt Buningh. ‘Je moet je klanten laten weten wanneer ze dan wél beleverd worden en leveranciers hoeveel later ze alsnog kunnen toeleveren. En dat de systemen voor drie weken op zwart gaan en er bijvoorbeeld alleen nog maar telefonisch over orders gecommuniceerd wordt.’
Leren van elkaar
Het oefenen van de communicatiestrategie bij een hack moet, net als alle andere acties, niet alleen intern gebeuren, maar samen met de ketenpartners en IT-serviceproviders, aldus Buningh. Dit om van elkaar te leren, wat kan aan de hand van fictieve casussen, maar ook – en nog beter – via eigen ervaringen, de dilemma’s die zich aandienden en de gevonden concrete oplossingen. Wel duikt dan weer het probleem op dat informatiedeling al gauw tot aansprakelijkstelling, imagoschade of aantasting van de concurrentiepositie kan leiden. In zijn rapport oppert Buningh daarom het gebruik van het instrument Secure Multi-Party Computation (MPC).
Alleen analyse delen
MPC is een verzameling cryptografietechnieken, waarmee ketenpartners op een gedecentraliseerde manier analyses en berekeningen kunnen uitvoeren op gevoelige data. Hierbij worden de privacy en vertrouwelijkheid van de data beschermd. Alleen de uitkomst van de analyse wordt onthuld, de onderliggende data blijven verborgen. ‘Zo is uit die analyses niet af te leiden van wie de onderliggende data afkomstig zijn. Een ziekenhuis kan behandelresultaten beschikbaar stellen en verzekeraars de kosten per behandeling. Vervolgens is dan uit de analyse op te maken welke behandelingen het meest kosteneffectief zijn. Natuurlijk vergt dit wel dat er vooraf heel goede afspraken worden gemaakt over welke analyses gemaakt mogen worden. Die zou je dan in een blockchain kunnen vastleggen zodat daar nooit enige discussie over kan ontstaan.’ TNO heeft een MPC-proof of concept ontwikkeld voor de analyse van data van cybersecurity-incidenten uit industriële ketens. Bosch biedt de technologie aan als Security and Privacy Enhanced Computing Services (SPECS).
Circle of trust
Leren van elkaar kan ook binnen een zogeheten security circle of trust, waar een bedrijf als ASML met meer dan tweeduizend leveranciers aan werkt. ‘Natuurlijk kunnen grote, machtige oem’ers de ISO 27001-standaarden voor cybersecurity erbij pakken en die vereisten opleggen aan hun toeleveranciers. Maar daarmee is dat nog niet voor elkaar. Implementatie van informatiebeveiligingsbeleid is niet eenvoudig voor grote bedrijven, juist vanwege hun omvang met verschillende systemen, applicaties en gebruikersgroepen. Daarnaast kunnen kleinere toeleveranciers zich vaak geen securityspecialisten veroorloven, terwijl de behoefte eraan door het stijgend aantal incidenten almaar toeneemt. Beter is dan in de keten te delen wat je op dat terrein geregeld hebt. En te laten weten waar een back-up staat, voor wie en wanneer die toegankelijk is, en ook te communiceren wie wanneer gebeld kan worden. Ook toezichthouders moeten in zo’n cirkel betrokken worden. Net als IT- en cloudproviders, zodat zij ook bij incidenten hun verantwoordelijkheid nemen en niet volstaan met te betuigen dat hun product of dienst helemaal goed geregeld en veilig is.’ Het Digital Trust Center (DTC), onderdeel van het ministerie van Economische Zaken en Klimaat (EZK), stimuleert deze samenwerkingsverbanden en kan die in bepaalde gevallen ook ondersteunen met subsidies.
Leiderschap cruciaal
Cruciaal voor het goed samenwerken aan het beveiligen van de keten is leiderschap. De TNO-paper schenkt dan ook veel aandacht aan de rol van de chief information security officer (ciso). Die is verantwoordelijk voor de cyberweerbaarheid van het eigen bedrijf. De ciso moet een evenwicht zien te vinden tussen wat daarvoor nodig is en de risico’s die nu eenmaal genomen moeten worden om het bedrijf vooruit te helpen. Tegelijk moet de ciso bedacht zijn op aanvallen of verstoringen vanuit ketenpartijen die ze vertrouwen, maar waar ze geen formele bevoegdheden hebben. Buningh: ‘Net zo min als dat het geval is voor de ceo kan de ciso het niet alleen. Digitale veiligheid is steeds vaker chefsache en daarmee ook van direct belang voor de cto, HR-manager en coo.’
Trumpf hielp VDL, het stappenplan in de hand
Toen afgelopen najaar bij de VDL Groep door een hack bijna een maand lang ‘de boel platlag’, kon al snel de productie weer opgestart worden, al was het met het nodige kunst- en vliegwerk. Zo konden binnen diverse VDL-bedrijven de metaalbewerkingsmachines van Trumpf wel draaien, maar dan offline, los van de servers en het internet. ‘Als in Nederland klanten van ons getroffen worden – en dat komt vaker voor – dan volgen wij ons stappenplan’, schetst managing director Menko Eisma van Trumpf Nederland. ‘Allereerst kijken we of onze machines geïnfecteerd zijn. Zo voorkom je dat, wanneer de klant denkt alles weer virusvrij te hebben en weer online gaat, de systemen opnieuw besmet raken vanuit een machine. Onze machines zijn goed beveiligd. Trumpf investeert veel in cybersecurity. Vervolgens hebben we VDL ondersteuning geboden zodat zij snel weer konden produceren, al was het dan offline. Ook hebben we, samen met VDL en haar klanten, kunnen achterhalen welke productieorders er liepen zodat daaraan gewerkt kon worden, al voordat alles weer hersteld was.’
Trumpf biedt getroffen klanten de ondersteuning in antwoord op een vraag die het bedrijf zich eerder zelf gesteld heeft: welke ondersteuning zouden wíj van leveranciers willen als het óns zou overkomen? ‘Het is natuurlijk ook in ons belang dat de klant zo snel mogelijk weer aan de slag kan. Elk bedrijf heeft te maken met hack-aanvallen, daarom zet Trumpf vol in op het vergaren van expertise in cybersecurity.’
Ook maakindustrie verplicht tot beveiligen en melden
Het aantal sectoren dat verplicht wordt om passende maatregelen te nemen om hun netwerk- en informatiesystemen te beveiligen en dat ernstige cyberaanvallen moet melden, wordt uitgebreid. Het gaat om grotere partijen die actief zijn in de voedselproductie en -distributie, maakindustrie en post- en koeriersdiensten. De verantwoordelijke EU-bewindspersonen, onder wie op dat moment nog EZK-minister Stef Blok, hebben begin december 2021 in Brussel tijdens de Telecomraad een akkoord bereikt over dit voorstel. De noodzaak hiervoor werd eind vorig jaar eens te meer duidelijk toen een kritiek beveiligingslek in opensource-bibliotheek Log4j aan het licht kwam. De kwetsbare software wordt in talloze applicaties gebruikt, waardoor een golf aan aanvallen met gijzelsoftware dreigde. Het Nationaal Cyber Security Center (NCSC) heeft toen op een zondag direct 275 cyberbeveiligers bijeengeroepen voor overleg.
www.europa-nu.nl/id/vlgnpd2hz1ur/herziening_richtlijn_netwerk_en
www.github.com/NCSC-NL/log4shell