Sector thema update Food & Agri van ING

"Investeren in cybersecurity is cruciaal"

Cyberaanvallen nemen toe in aantallen en vernuftigheid. Uit onderzoek blijkt dat cybercriminaliteit op dit moment de belangrijkste bedreiging is voor bedrijfscontinuïteit. Hoe zit dat in de Food & Agri sector? ING publiceerde er een thema-update over.

Volgens de Digital Economy and Society Index is het Nederlandse bedrijfsleven koploper binnen Europa als het gaat om digitalisering. Dat heeft ons veel gebracht zoals verhoging van arbeidsproductiviteit, nieuwe digitale producten, afzetkanalen en betere ketensamenwerking. Er staan ook nadelen tegenover zoals de kwetsbaarheid voor cybercriminaliteit.  



Toenemende dreiging van cybercriminaliteit 
De laatste tijd komt het steeds vaker voor: bedrijven en organisaties die slachtoffer worden van een (geslaagde) cyberaanval. Naast grotere organisaties die in het nieuws komen, zijn ook vele kleinere bedrijven het doelwit van cybercriminelen. De versnelling in digitalisering heeft door Covid een enorme boost gekregen. De beweging ‘naar de cloud’ en de toename van het aantal met een netwerk verbonden apparaten voeden de cyberdreiging. Cybercriminelen hebben het ook steeds vaker gemunt op kwetsbaarheden in software. Eind vorig jaar werd de wereld nog verrast met wereldwijde beveiligingsproblemen in Log4J, waardoor veel bedrijven tijdelijk applicaties uit de lucht moesten halen. Cybercriminelen worden steeds professioneler en zetten geavanceerde automatisering en digitalisering in. De geschatte jaarlijkse schade ligt tussen de  € 8 en 12 miljard.

Ransomware en economische spionage 
In 2021 zijn er in de media 168 cyberincidenten bekend geworden. Dat is nog maar het topje van de ijsberg. Veel cyberaanvallen draaien om ransomware of gijzelsoftware. Hierbij nemen hackers de controle over van data of IT-infrastructuur van een bedrijf. Zij blokkeren de toegang met behulp van encryptie totdat losgeld is betaald. In veel gevallen wordt data ook gestolen, zogenoemde double extortion. Recent waren naast MediaMarkt ook Colonial Pipeline, JBS Foods, RTL Nederland, Mandemakers, VDL, Universiteit Maastricht en honderden andere bedrijven en instellingen slachtoffer. Naast ransomware kan er ook sprake zijn van economische spionage. Dat is gericht op het stelen van bedrijfsgeheimen zoals intellectueel eigendom. Dit bedreigt het langetermijnverdienvermogen van bedrijven. Sinds 2020 stijgt het aantal gijzelsoftware aanvallen sterk. Conclusie: 100% veilig bestaat niet. Maar je kunt wel veel doen ter voorkoming van een cyberaanval.



Cyberrisico’s in Food & Agri

Trend 1. Versnelling in digitalisering  
De versnelling van digitalisering is gevoed door de pandemie met thuiswerken en meer remote, dus digitale activiteiten en afhandelingen. Dat leidt tot een toenemend aantal aan netwerken verbonden apparaten met een groter aanvalsoppervlak tot gevolg. Denk hierbij aan VPN op afstand, gebruik van MS Teams, Zoom etc. Cyberaanvallers spelen in op deze trend en kiezen bewust voor bedrijfstakken die hun cybersecurity onvoldoende op orde hebben. Daarnaast zal door de versnelde digitalisering het aantal geautomatiseerde cyberaanvallen van buitenaf alleen maar toenemen, met een steeds hogere slagingskans. Grote en kapitaalkrachtige bedrijven zijn extra kwetsbaar omdat daar de gevolgen voor continuïteit extra fors kunnen zijn. Daarom is een tijdige voorbereiding het zo belangrijk dat je je als bedrijf tijdig voorbereidt en adequaat beschermt. Helaas gaat het er al niet meer om of je wordt gehackt, maar wanneer. 

Hoe zit het dan met de cybersecurity in de Food & Agri sector? Er zijn bijna geen voorbeelden van cybercrime in de sector naar buiten gekomen. Bedrijven in de Food & Agri keten zijn in gelijke mate slachtoffer van cyberaanvallen als die in andere sectoren. Ongeveer 10% van de voedingsbedrijven, het landelijk gemiddelde, maakt melding van een cyberaanval van buiten. CBS gegevens van 2020 laten zien dat ICT-veiligheid in de voedingsindustrie op zeven van de acht items achterblijft op de totale industrie en op die van het totale bedrijfsleven. Dat is een kwetsbaar punt. In de voedingsindustrie nemen digitalisering, automatisering en robotisering verder toe. De Nederlandse voedingsindustrie heeft volgens recent ING onderzoek de hoogste robotdichtheid per 10.000 werknemers van Europa. De kwetsbaarheid voor cyberaanvallen groeit daarin mee. De Nederlandse Food & Agri sector, die met een export van bijna € 105 miljard ‘de wereld voedt’, staat daarmee bekend als zeer innovatief en dus een mogelijk doelwit voor bedrijfsspionage. Hunt & Hackett schreef uitgebreid over deze dreiging. Voor de primaire agro zijn er geen publieke data beschikbaar, maar ook daar zijn er voorbeelden van cybercriminaliteit.  

Trend 2. Toenemende ketenrisico’s 
Digitalisering houdt niet op bij jouw bedrijf omdat het onderdeel is van de keten waarbinnen het opereert. Om ketens efficiënt te laten functioneren, is het noodzakelijk om informatie met ketenpartners te delen. Elke schakel in die keten is een ingang en een uitgang die kwetsbaar is voor cybersecurity. Zo groeien digitale bedrijfsrisico’s uit tot digitale ketenrisico’s. Kwaadwillenden gaan bewust op zoek naar de zwakste schakel in die keten. Hoe zit het met cybersecurity van je toeleveranciers en afnemers? Wie is waarvoor verantwoordelijk en hoe is data uitwisseling zo maximaal mogelijk veilig in te richten? 

Onderstaande heatmap geeft een overzicht over de sectoren heen waar de gevoeligheden liggen op het gebied van cybercrime. Voor Food & Agri liggen deze op het gebied van gebruik van Internet of Things en het ketenrisico. In mindere mate op de afhankelijkheid van ICT en M&A activiteiten. Dit laatste kan wel een risico zijn omdat bij overnames het in de regel zo is dat primair de aandacht in deze fase is gericht op de operatie. Cybersecurity komt dan pas op plaats twee en daarmee maak je je als bedrijf ongewenst kwetsbaarder. Als koploper in de wereld op het gebied van innovatie-technologie, houdt dit een extra gevoeligheid in voor cybercrime.  

Agri 
In de primaire agro zijn ook voorbeelden van cyberaanvallen. Zo waren criminelen bij enkele telers via een computerhack de systemen binnengedrongen. Daarbij bleek dat een veilig verondersteld back-up systeem toch geïnfecteerd bleek te zien. Configuratie-bestanden waar je geen toegang meer tot hebt, het ontbreken van een overzicht van je IT-infrastructuur met applicaties maken heropstarten tot een langdurige en dus kostbare klus. Daarom wordt er vanuit het veld nadrukkelijker gewezen op cybersecurity. Greenport West-Holland heeft samen met Security Delta het initiatief genomen tot oprichting van het Cyberweerbaarheidscentrum Greenport West-Holland. Dit is het regionale expertisecentrum en informatieknooppunt rond cybersecurity-vraagstukken binnen de gehele keten van het tuinbouwcluster (productie, handel, logistiek en techniek) in het Westland. Een range aan activiteiten over digitaal veilig ondernemen wordt aangeboden. Het initiatief ontvangt subsidie van het Digital Trust Centre, dat onder het ministerie van Economische Zaken valt.  

Jurjen Harskamp, CEO Hunt & Hackett: ‘Hunt & Hackett ziet een sterke toename van het aantal (geavanceerde) cyberaanvallen die specifiek gericht zijn op de Food & Agri sector. Ransomware-aanvallen krijgen momenteel - niet onterecht - veel aandacht als kortetermijndreiging, maar buitenlandse spionage en informatiediefstal zijn een zeer reële bedreiging voor de concurrentiepositie van de Nederlandse Food & Agri sector op de (middel)lange termijn.’
  
Uit gesprekken met ondernemers in de sector blijkt dat door vooral de voorbeelden van de laatste twee jaar het bewustzijn op dit vlak aanzienlijk is toegenomen. Belangrijk daarbij is dat het onderwerp steeds vaker op de agenda van de board staat. Bewustwording bij de hele organisatie krijgt meer aandacht, alsook de inrichting van netwerken en segmentatie (van ei- naar ui-structuur, met dus een gelaagde bescherming), checks & balances door IT-leveranciers (vaste en bewust ook nieuwe), data-uitwisselingen met toeleveranciers en afnemers en daaruit voortvloeiende kwetsbaarheden. Een centralere plek krijgt ook de rol van de bestuurder. De vertaalslag naar Business Continuïteits Plannen en concrete actieplannen voor een nog betere bedrijfsbeveiliging hebben daarbij prioriteit.   

Preventie en voorbereiding
Bedrijven moeten ervan uitgaan dat zij op enig moment in aanraking komen met een cyberaanval. Dat houdt in dat je voorbereid moet zijn en plannen hebt klaarliggen voor een mogelijke hack. In die voorbereiding spelen de volgende afwegingen een belangrijke rol en zijn bepalend voor de invulling van het cybersecurity beleid.  

In Nederland is het aantal incident response cybersecurity bedrijven beperkt. Bedrijven zullen hiermee rekening moeten houden bij het opstellen van hun actieplannen. Verzeker je dit vooraf? Of wacht je het hackmoment af en onderneem je daarna actie tot incident response? Hierbij loop je het risico achterin de rij te staan wanneer het je overkomt.

Op wetgevend gebied speelt een belangrijke ontwikkeling. Binnen de EU is de NIS 2 in voorbereiding, een richtlijn voor netwerk en informatie security. De nieuwe NIS 2 zal bedrijven met een jaaromzet meer dan € 10 miljoen en/ of > 50 werknemers gaan raken in veel meer sectoren, waaronder de voedselvoorziening. In de aangepaste richtlijn is de vrijblijvendheid ervan af. Om managers bewust te maken voorziet de nieuwe richtlijn niet alleen in sancties voor organisaties maar ook voor directieleden persoonlijk. Hiermee komt de verantwoordelijkheid voor digitale veiligheid echt bij het management zelf te liggen. De richtlijn moet in 2022 ingaan en behoeft nog vertaling in nationale wetgeving. Iedereen beseft dat haast geboden is.   

Tips voor ondernemers

  • Wees voorbereid op een cyberaanval en zorg dat je een actieplan hebt en deze hebt gedeeld in je organisatie. Houd het heel praktisch. Maak daarbij gebruik van de kracht van je eigen organisatie, waar veel kennis en creativiteit beschikbaar is.  
  • Hoe scherp staat het onderwerp Cybersecurity op het netvlies van jouw MT? Organiseer een boardmeeting daarover en maak een inventarisatie van waar je staat en welke vervolgstappen nodig zijn. 
  • Heeft jouw bedrijf een Business Continuïteits Plan en is cybersecurity daar een onderdeel van? Wat komt er uit de testen van noodscenario’s? Waar zitten je afhankelijkheden, in je bedrijf zelf, maar ook in de keten? Hoe vaak oefen je dit, zie het als een soort BHV-plicht. Geef zelf het goede voorbeeld met twee staps verificatie, wachtwoord management etc.
  • Neem je hele organisatie mee, in mindset, met trainingen en e-learnings. Wees open, dan bereik je het meest. Vergeet ook niet je bank te informeren als je gehackt wordt.

    Bekijk het ING webinar over dit onderwerp. 

Voor meer informatie:
Ceel Elemans
ING
Ceel.Elemans@ing.com 
www.ing.nl/zakelijk


Publicatiedatum:



Ook onze nieuwsbrief ontvangen? | Klik hier


Ander nieuws uit deze sector:


Schrijf je in voor onze dagelijkse nieuwsbrief om al het laatste nieuws direct per e-mail te ontvangen!

Inschrijven Ik ben al ingeschreven