Een cyberaanval op je fabriek kost naast losgeld vooral productie
Door Koen Timmermans, manager sales E-Storage
Op een vrijdagavond zat ik wat na te praten op de tennisclub. Even de week doornemen, altijd gezellig. Kees, producent van stalen halffabricaten en een belangrijke werkgever in de stad, was erbij. Hoe gaat het in jouw business, vroeg hij me. Druk, zei ik, vooral door de belangrijkste ICT-trend van nu: cybercrime. Krijgen we daar in mijn sector ook mee te maken, vroeg Kees.
Besef van cyberdreiging
Cyberaanvallen, in allerlei vormen, op organisaties in alle sectoren, zijn al jaren gaande. Toch waren er jarenlang weinig cijfers over bekend. Dat hing samen met de terughoudendheid van de slachtoffers, vooraanstaande organisaties vaak, die uit angst voor reputatieschade liever stilzwijgend het losgeld betaalden. Daar komt nu verandering in, onder meer door de wettelijke plicht in landen zoals Duitsland om als bedrijf een cyberaanval te melden. Maar bijvoorbeeld in Nederland geldt die plicht (nog) niet, waardoor hierover heel 2023 het onwaarschijnlijk lage aantal van 150 cyberaanvallen werd geteld. Ja, dan wordt het lastig om voldoende besef van de cyberdreigingen te ontwikkelen, zoals bij Kees. Maar elke expert weet inmiddels dat Nederland in werkelijkheid net zo vaak getroffen is als andere landen in het geïndustrialiseerde westen. De laatste tijd verschijnen er rapporten die beter in beeld brengen hoe massaal, hoe ingrijpend en hoe breed die cyberaanvallen zijn.
Nieuwe wetgeving
Waarom zijn industriële bedrijven zo’n geliefd doelwit? Als 70 procent van de sector wordt aangevallen, dan zegt dat nogal wat. Helaas zien we als E-Storage dat de cybersecurity in de industriële sector vaak niet op orde is. We komen nogal wat verouderde legacy-systemen tegen, die nog steeds dezelfde veiligheidsprotocollen gebruiken als bij hun implementatie. Dit heeft alles te maken met het gebrek aan awareness in de sector, zoals ik net aanstipte. Bij Kees begon het echter te dagen en inmiddels ook in de rest van de industriële sector. Dit besef neemt de laatste tijd ook toe door de naderende compliance-deadline – medio oktober – van NIS2 (Network and Information Security). Deze Europese richtlijn heeft als doel om de weerbaarheid van ’essentiële diensten’ tegen cyberaanvallen in de EU-landen te verbeteren. Op niet-naleving staan serieuze sancties, tot en met persoonlijke aansprakelijkheidsstelling van de bestuurder.
Het schaderisico is gewoon te groot
Geldt NIS2 ook in mijn sector, vroeg Kees. Zeker, zei ik, maar of jouw specifieke bedrijf eraan moet voldoen, hangt ervan af. Dat moet je uitzoeken, of door ons laten doen. Maar met of zonder wettelijke dwang, zei ik, het is hoe dan ook verstandig om je bedrijf te wapenen tegen cyberaanvallen. Het risico is gewoon te groot; de potentiële impact. Maar we helpen je graag. De maandag erop zat ik bij Kees aan tafel. Inmiddels hebben we z’n systemen gemoderniseerd, een modern cyber recovery beleid ingevoerd en z’n mensen getraind. Iedereen weet nu wat je moet doen, maar belangrijker nog: wat je moet doen als er toch een aanval plaatsvindt om daarna je systemen snel te herstellen met integere data. Zodat ook de productie weer snel op gang komt. Daarmee voldoet Kees bovendien aan NIS2.
Wil jij ook met ons hierover praten? Graag helpen we je met onze beproefde oplossingen voor cyberrecovery, gebaseerd op de robuuste technologieën van IBM (o.a. IBM FlashSystem) en andere toonaangevende leveranciers. Je hoeft me alleen maar even te bellen.
De genoemde cijfers in dit blog zijn onder meer gebaseerd op de volgende bronnen:
Recordaantal cyberdreigingen in industriële sector in Q2 2023, Industry Talk, 25 september 2023
Belgische bierbrouwer Duvel Moortgat staakt brouwen na hack, Tweakers, 6 maart 2024