Sla het menu over en ga direct naar de content van deze pagina. Sla het menu over en ga direct naar zoeken.
digitale tomaat

Houd de (keuken)deur dicht tegen digitale dreigingen

Als ondernemer in de foodsector lijkt het misschien een ver-van-mijn-bedshow, maar cybercrime is voor elke ondernemer een risico om rekening mee te houden. Meer dan de helft van alle ondernemers in het MKB krijgt jaarlijks te maken met een vorm van internetcriminaliteit. Wessel Veltman van IT-beveiliger ESET stelt dat awareness het sleutelwoord is om uw bedrijfscontinuïteit veilig te stellen. ‘Ken de zwakke plekken in uw organisatie en zorg dat uw personeel zich bewust is van de risico’s.’

Dat overkomt mij niet

Cybercrime, oftewel: online diefstal, is het snelst groeiende risico voor ondernemers, óók in de voedingsmiddelenindustrie. In de praktijk blijken de meeste ondernemers niet wakker liggen van dit risico. ‘Als ondernemer in de foodsector wil je bezig zijn met je passie en producten, niet met cyberbeveiliging,’ vertelt Wessel. ‘Ik hoor vaak mkb’ers zeggen dat ze een IT-partner hebben “die dat toch gewoon regelt”. Ook hoor ik geregeld: “Maatregelen tegen cybercrime kosten alleen maar geld.” Ze staan er niet bij stil dat een datalek door een cyberaanval hen boetes maar vooral hun reputatie kan kosten.’

In de meeste gevallen is een cybercrime-aanval met een aantal maatregelen te voorkomen. Die kunt u vinden op de volgende pagina.

Dát het cyberrisico een reële bedreiging is voor uw bedrijfscontinuïteit, kunt u lezen in het artikel Failliet na een hack: ‘Mijn bedrijf is in één klap weggevaagd’.

Afhankelijkheid van IT

In de foodsector worden steeds meer processen geautomatiseerd. Bij het ene bedrijf verloopt alleen de verpakking van de producten automatisch, bij de ander is het hele productieproces geautomatiseerd: van de selectie van ingrediënten tot transport van het eindproduct naar de afnemers. Dat verhoogt de efficiëntie en lost deels het personeelstekort op, maar brengt tegelijkertijd risico’s met zich mee.

Wessel: ‘Die hoge automatiseringsgraad leidt tot een grotere afhankelijkheid van IT. We zien dat sommige machines in de voedselindustrie op verouderde software draaien. Daardoor kunnen die systemen niet zo snel geüpdatet worden, waardoor ze gevoeliger worden voor cyberaanvallen. Cybercriminelen zijn steeds slimmer in het opsporen van die kwetsbaarheden als achterdeur voor het hele IT-systeem. Ons advies is daarom: als je het oude systeem niet kunt of wilt vervangen, koppel het dan los van de rest van de IT die met internet is verbonden. Zo verlaagt u de kans op een digitale inbraak. En bovendien: zorg dat u een IT-partner heeft die uw cyberbeveiliging serieus neemt: waar u op kunt vertrouwen en die periodiek rapporteert op hoe veilig de IT-omgeving is.’

Grootste dreigingen

Tegen welke dreigingen moet u zich eigenlijk beschermen?

Geautomatiseerde dreigingen U stelt zich bij een cyberaanval (een hack) misschien een computernerd voor, die op zijn zolderkamertje probeert op uw systeem in te breken. In de praktijk zijn het vooral grootscheepse geprogrammeerde aanvallen met malware die uw systeem bedreigen. De cybercriminelen die deze massale inbraakpoging programmeren, schieten als het ware met hagel. Helaas levert hen dat altijd wel iets op. Er is in elk bedrijf wel één medewerker die niet goed oplet en zich laat verleiden om op een foute link te klikken of er staat een server met een kwetsbaarheid die direct aan het internet hangt.

robotje die cybercrimineel is

Uit een onderzoek van Akamai blijkt dat 43 procent van alle inlogpogingen geautomatiseerd zijn, oftewel: een inbraakpoging door bots (computerprogramma’s die zelfstandig proberen in te breken). De overige 57 procent zijn dus handmatige inlogpogingen. Wessel: ‘Hoeveel procent van die handmatige pogingen legaal zijn, zegt dit rapport niet, maar het totale aantal geautomatiseerde inlogpogingen is erg hoog.’

Bron: State of the internet security report, Akamai, 2018

Phishing

Cybercriminelen ontfutselen geheime informatie, zoals wachtwoorden of bankgegevens via valse berichten: ze gooien een online hengel uit en hopen dat er iemand hapt. Vandaar de term phishing. De schade door deze vorm van cybercriminaliteit groeit explosief: van 1 miljoen euro in 2017 tot 4 miljoen in 2018. De fraudeurs gebruiken ook steeds vaker andere kanalen dan e-mail, zoals WhatsApp en Facebook om geheime informatie te ontfutselen. Wees daarom verdacht op onbekende afzenders die zich met een gestolen profielfoto voordoen als een bekende.

Profiling

We doen het (bijna) allemaal: op sociale media laten weten wat we leuk en interessant vinden. Bijna niemand staat erbij stil dat cybercriminelen die informatie kunnen misbruiken. U bent aan de hand van wat u deelt en liket namelijk eenvoudig te profilen. Stel, u bent een groot fan van Marco Borsato. Dan zult u snel geneigd zijn te klikken op ‘Maak kans op vrijkaarten voor concert Marco Borsato’. En zelfs profiling gebeurt vaak geautomatiseerd. Dat mag officieel niet meer sinds de invoering van de AVG, maar daar zullen hackers geen boodschap aan hebben. Profiling biedt hen namelijk de kans om heel gericht te schieten, in plaats van met hagel.

Identiteitsfraude

Als cybercriminelen eenmaal uw systeem gehackt hebben, kunnen ze u op diverse manieren geld afhandig maken. Wat vaak voorkomt, is dat ze hun eigen rekeningnummer op openstaande facturen plaatsen. Nietsvermoedend gaat u ervan uit dat u een bedrag overmaakt naar een leverancier, maar in werkelijkheid gaat uw geld naar de hackers. En helaas gebeurt het ook nog dikwijls, dat criminelen de inloggegevens van een online bankaccount stelen en daarmee alle tegoeden wegsluizen.

Ransomware

Gijzelsoftware is volgens Europol op dit moment de grootste cyberdreiging voor het bedrijfsleven. U zult geneigd zijn direct geld over te maken als u uw scherm op zwart gaat en u een melding krijgt dat u pas weer in uw bestelsysteem kunt als u een x-bedrag heeft overgemaakt. Begrijpelijk, maar ons advies is: nooit op ingaan! Wat u dan wél moet doen, kunt u lezen in het blog: 3 tips: wat te doen bij een ransomware aanval.

Hoe beschermt u zich tegen een hack?

U kunt de hierboven beschreven risico’s eenvoudig verkleinen met deze maatregelen, die ook helemaal niet veel hoeven te kosten:

  • Zorg voor phishing-awareness Voorkom dat u of een van uw medewerkers op een onbetrouwbare link klikt en daarmee de digitale deur openzet voor inbrekers. Meer informatie hierover leest u in deze blogs op risicosinbeeld.nl: Hoe herken je phishing? en: 6 tips om het risico op phishing te verkleinen
  • Voer een sterk wachtwoordbeleid in U zult ervan schrikken hoe vaak het wachtwoord 1234567 nog wordt gebruikt. Ons advies: hoe langer een wachtwoord hoe beter. Een hele zin is moeilijker te kraker dan een woord (en eenvoudiger te onthouden). Gebruik daarin in ieder geval een hoofdletter, een cijfer en een teken. Gebruik een wachtwoord maximaal 3 maanden en recycle nooit oude wachtwoorden.
  • Maak regelmatig back-ups Daardoor kunt u na een ransomware-aanval snel weer verder (zonder te betalen!).
  • Weet waar uw kwetsbaarheden zitten Voor welke bedrijfsprocessen gebruikt u privacygevoelige informatie? En hoe heeft u die afgeschermd? Zijn die beschermd door een goede firewall? Heeft u op elke computer goede antivirussoftware geïnstalleerd, eventueel met een Intrusion Detection Prevention System (IDPS)?
  • Laat uw beveiliging testen door een cyber-inbreker Wilt u weten of uw beveiliging zwakke plekken heeft? Laat dan een zogenoemde ‘ethische hacker’ proberen in te breken. Daarna weet u precies waar u extra beveiligingsmaatregelen moet nemen.
  • Beveilig de fysieke toegang tot pc’s en servers Een hack gebeurt niet alleen op afstand. Zorg daarom dat iedere pc en laptop automatisch vergrendelen als ze even niet gebruikt worden. Druk uw personeel op het hart dat ze nooit hun inloggegevens ‘uitlenen’ en dat ze extra voorzichtig zijn als ze in openbare ruimtes inloggen.
  • Stel tweestaps authenticatie bij grote bedragen in Om te voorkomen dat cybercriminelen zich voordoen als crediteuren, kunt u het betaalsysteem zo (laten) instellen, dat bij transacties boven een bepaald bedrag een extra stap noodzakelijk is om een betaling te kunnen uitvoeren. Zo weet u zeker dat het bedrag naar de juiste persoon gaat.
  • Stel tweestaps authenticatie bij orderbevestiging via e-mail in Veel voedselproducenten doen zaken met leveranciers aan de andere kant van de wereld. Dat gaat het eenvoudigst via e-mail. Maar hoe weet u zeker dat de ontvanger wel de persoon is als wie hij zich voordoet? Ook dit risico kunt u verkleinen door een extra stap noodzakelijk te maken, bijvoorbeeld om een order te kunnen bevestigen.

Meer tips vindt u bij Cybercrime.

Privacy in de foodsector

Als de privacygegevens van uw afnemers of leveranciers op straat komen te liggen, kan dat ernstige gevolgen hebben voor uw reputatie. Om over torenhoge AVG-boetes nog maar te zwijgen. Sinds 25 mei 2018 moet u, net als alle andere Nederlandse bedrijven, voldoen aan de Algemene Verordening Gegevensbescherming (AVG) Ieder bedrijf dat privacygevoelige gegevens verwerkt, moet kunnen laten zien dat het maatregelen heeft getroffen om de veiligheid van die gegevens te kunnen waarborgen. Hebt u dat niet gedaan en worden privacygevoelige gegevens gestolen? Dan riskeert u een boete tot wel 4 procent van uw (wereldwijde) jaaromzet.

Het gebruik van privacygevoelige gegevens

Een belangrijke vereiste van de AVG is, dat u altijd kunt verantwoorden voor welk doel u gegevens van klanten en leveranciers gebruikt (volgens welke grondslagen) en bewaart en voor welke periode. Uw relaties en bezoekers van uw website hebben bovendien het recht om te weten wat u met hun gegevens doet. U bent daarom verplicht bij te houden hoe u die gegevens verwerkt. Nog belangrijker is, dat u weet wat het risicoprofiel is van die gegevens. Met andere woorden: wat is het risico als deze gegevens openbaar worden gemaakt? Hoe hoger het risico, hoe beter uw beveiliging moet zijn.

Is uw bedrijf al volledig AVG-proof? Check dat aan de hand van dit blog: Is uw bedrijf klaar voor de AVG? Daarin vindt u onder meer een link naar de handige compliance checker van ESET.

Wilt u snel antwoord op uw vragen over de beveiliging van privacygevoelige gegevens? Een goed naslagwerk is het Handbook on Security of Personal Data Processing dat u gratis kunt downloaden via de website van ENISA (European Union Agency for Network and Information Security). In deze (Engelstalige) gids vindt praktische informatie over de aanpak van gegevensbescherming.