De transportsector is kwetsbaar als het gaat om cybercrime, weet Martijn van Lom, algemeen directeur Noord-Europa bij IT-security­specialist Kaspersky Lab. ‘In de sector transport en logistiek is vaak sprake van een lange en grensoverschrijdende supply chain. Producenten, havens, schepen, terminals, logistieke dienstverleners: een groot aantal partijen werkt samen. De verschillende fases in het proces zijn aan elkaar gekoppeld.’

Ondanks het feit dat de digitalisering van de keten zeker op gang is gekomen, gaat het proces verder nog vaak gepaard met een hoop papierwerk. ‘Dat maakt de kwetsbaarheid nog groter. Er is meer handwerk, er moeten regelmatig gegevens meerdere keren ingegeven worden in een computer. Dat vergroot niet alleen de kans op fouten, maar kan ook leiden tot bijvoorbeeld dataverlies of het lekken van privacygevoelige informatie.’

Als derde reden waarom de sector gevoelig is voor cybercrime of dataverlies noemt Van Lom het feit dat er continu druk staat op de leveringstijden. ‘Vandaag besteld, vandaag geleverd, is in sommige gevallen bijna de norm. En als het vandaag echt niet kan, dan wil de besteller de goederen uiterlijk morgen in huis hebben.’ Deze tijdsdruk kan leiden tot fouten.

Als laatste element dat kan zorgen voor een verhoogde kwetsbaarheid in de sector noemt de directeur Noord-Europa de lage marges en het feit dat veel onderaannemers in de keten tegen stukloon werken. ‘Het is maar zeer de vraag of al die partijen hun IT-beveiliging op orde hebben.’

Forse schade

Iedereen herinnert zich de problemen bij Maersk/APMT, dat door een security-lek in boekhoudsoftware dagenlang platlag. Van Lom: ‘Helaas realiseren verantwoordelijken bij kleinere partijen zich onvoldoende dat een dergelijk probleem niet alleen de hele grote ondernemingen treft. Het kan overal gebeuren.’

Uit onderzoek blijkt dat 40% van de logistieke ondernemingen te maken krijgt met een vorm van cybercrime. De schade daarvan kan fors oplopen. Producten kunnen zoekraken of bederven, klanten kunnen schade claimen en van reputatieschade kan beslist sprake zijn als de media een incident oppikken. ‘CEO’s van partijen in de Supply Chain zien een cyberaanval als het belangrijkste risico. 59% van de bedrijven zegt dat cyber-incidenten bijna altijd voortvloeien uit onzorgvuldig handelen van werknemers.’

Hoewel Kaspersky Lab specialist is in het ontwikkelen van security-software, noemt Van Lom als belangrijkste wapen in de strijd tegen cyber-incidenten de awareness bij het personeel van een onderneming. ‘Medewerkers blijken uiteindelijk vaak het grootste gevaar. Je moet in nauw overleg met het management en de HR-afdeling de mensen trainen. En dat niet één keer, maar met enige regelmaat.’ In dat soort trainingen worden de mensen gewezen op de impact van incidenten, wordt uitgelegd hoe bepaalde digitale gevaren te herkennen zijn en worden tips gegeven om te kunnen voldoen aan
privacy-regelgeving.

Phishing

Dat je niet zomaar een USB-stick in een computer moet steken, weten de meeste mensen inmiddels wel, vertelt Van Lom, maar het herkennen van phishing-mailtjes is vaak lastig. ‘Het gaat allang niet meer alleen om een prins uit Nigeria die 20.000 euro bij jou wil onderbrengen. De berichten, in correct Nederlands of Engels, lijken in veel gevallen daadwerkelijk van een collega of de directeur te komen.’

Van Lom raadt partijen aan gericht ‘namaak-spam’ te sturen, en daarbij niet in een keer alle medewerkers te adresseren, maar slechts een selectie. ‘Als ze niet op het bericht klikken, beloon ze dan. Bijvoorbeeld met een bos bloemen of bonbons.’ Wat de directeur wil zeggen, is dat straffen niet functioneel is. ‘Gedragsverandering bereik je het best door te versterken wat goed gaat – het Pavlov-effect.’

Daarnaast heeft het management van de onderneming de taak continu te monitoren waar de data staan en wie erbij kan. ‘Ook dat is vooral een kwestie van awareness. Bij medewerkers die uit dienst gaan of een andere functie krijgen, moeten meteen de toegangsrechten worden aangepast.’

Penetratietesten

Bij het digitaliseren van processen moet het (IT-)management goed kijken naar de implementatie. Van Lom: ‘Er ontstaat toch al gauw een omgeving met hardware- en software van verschillende leveranciers. Dat moet je echt goed regelen en afstemmen, anders kan de schade in de miljoenen lopen.’

Regelmatig penetratietesten houden om te kijken of er ‘gaten’ zitten in de beveiliging is essentieel. ‘Het gaat vaak mis bij derde partijen die speciaal voor jou of voor jouw branche software ontwikkelen naast bijvoorbeeld standaard office-producten. Als die leverancier zijn producten niet up-to-date houdt is de kans op problemen groot.’ Van Lom kent situaties waarbij ondernemingen de complete IT-systemen moesten vervangen omdat de aangerichte schade onherstelbaar was. ‘Dat kost een vermogen – ook omdat je bedrijf stil ligt.’

Een afsluitend advies van Van Lom: ‘Beheers de risico’s: beveilig hardware, maak een back-up van gegevens en versleutel die en investeer vooral in het personeel.’