Het nut en de noodzaak van Industrial cybersecurity

Het nut en de noodzaak van Industrial cybersecurity

KENNISPARTNER - Industrial cybersecurity is een hot item. Incidenten worden breed uitgemeten en de technische oplossingen zijn in veelvoud voorhanden. Moet de foodindustrie ook investeren in cybersecurity? Welke investeringen zijn dan kosteneffectief?

Dat aanvallen op computersystemen een sterk groeiend probleem zijn, valt niet te ontkennen. Volgens de KvK heeft bijna twee op de vijf mkb-ers te maken gehad met vormen van digitale fraude en het aantal kwetsbaarheden in industriële omgevingen is zelfs met 29% gestegen in 2018 ten opzichte van 2017. Vaak betreffen het aanvallen op computersystemen van banken, multinationals of openbare gebouwen die het nieuws halen. Maar ook in de industrie wordt het belang van cybersecurity steeds groter, al zullen incidenten misschien niet altijd naar buiten worden gebracht.

Een voorbeeld is het stilvallen van productielijnen door ‘ransomware’ die alleen tegen betaling van bitcoins weer vrijgegeven worden, waardoor de productiecontinuïteit in gevaar komt en mogelijk niet voldaan kan worden aan leveringsverplichtingen. Hoewel ransomware - of een afgeleide - vaak geen gerichte aanval is, zoals de aanval op Mondelez in 2017, is ook het moedwillig in gevaar brengen van de voedselveiligheid of het bewust lozen van afvalwater in het milieu een reële mogelijkheid. Een ander gevaar is de concurrent die productieprocessen kan beïnvloeden of bedrijfsgegevens bespioneert. Allemaal potentiële risico’s voor de foodindustrie.

Wat maakt procesbeveiliging lastig?

De techniek van machines en apparatuur is steeds meer gebaseerd op standaarden binnen de industrie. Hierdoor is documentatie vaak via internet beschikbaar en de software van machines bestaat steeds vaker uit standaard bouwblokken van leveranciers. Dit maakt het voor hackers een koud kunstje om ‘in te breken’ in productieprocessen. Bijkomend probleem is dat het voor de productie belangrijk is dat machines blijven draaien. Updates van software worden daarom vaak niet gedaan, uit angst dat het productieproces daardoor stil komt te liggen, omdat de impact van de updates niet goed is te overzien. Ook worden virusscanners zoals we die kennen van de kantooromgeving vaak niet ondersteund door de softwareleveranciers in de productieomgeving. Om diezelfde reden wordt het netwerk soms erg ‘plat’ gehouden om te zorgen dat alles altijd met elkaar communiceert. Echter zijn deze argumenten met de huidige techniek en mogelijkheden niet langer steekhoudend.

Veel cyberaanvallen zijn eenvoudig te voorkomen

Zijn er dus grote investeringen nodig om de cybersecurity op orde te brengen? Als het aan de verkopers van de technische oplossingen ligt wel. Een investering is meestal wel nodig, echter het hoeft niet altijd direct in dure oplossingen. Het is goed om te beseffen dat de grootste veiligheidsrisico’s in de meeste gevallen voorkomen kunnen worden door relatief eenvoudige oplossingen en vooral ook door mensen zelf. De oud-directeur van het GCHQ (Britse inlichtingendienst) stelt dat tachtig tot negentig procent van de cyberaanvallen te voorkomen is door regelmatige software-updates, een degelijke netwerkconfiguratie en goed wachtwoordbeheer. Vaak zijn wachtwoorden te simpel, wordt in de hele fabriek hetzelfde wachtwoord gebruikt, hangen de wachtwoorden op briefjes aan de muur of zijn ze leesbaar in de broncode van de software en in documentatie (bijvoorbeeld in handleidingen). Daar is dus veel winst te behalen.

Een betere beveiliging begint bij het volgen van een stappenplan

Om een inschatting te kunnen maken wat nodig is in de eigen productie-omgeving is het goed een eenvoudig stappenplan te volgen. Gestart kan worden met het maken van een businesscase en een probleemdefinitie (business rationale).

Stap 1. Waarom is cybersecurity in het productieproces belangrijk? De eerste vraag moet dan ook zijn wat men wil dat bereikt wordt met cybersecurity. Is dat het voorkomen van ongeplande stilstanden? Het voorkomen dat gegevens (bijvoorbeeld recepturen) gestolen worden? Of het voorkomen dat eindproducten de fabriek verlaten die niet aan de specificaties voldoen?

In ieder geval moet gezorgd worden voor een niet ‘te technische’ businesscase, die ook goed leesbaar is voor bijvoorbeeld het minder technische managementteam. Op deze manier worden problemen en voorstellen tot oplossingen breder gedragen in de organisatie, zijn ze eenvoudiger bespreekbaar.

Bereken wat beveiliging gaat opleveren

Stap 2. Stel vervolgens de vraag en ga uitrekenen wat cybersecurity (indirect) gaat opleveren. Natuurlijk is dit niet eenvoudig uit te drukken in geld. Toch zijn er tegenwoordig berekeningen beschikbaar door onderzoek onder bedrijven, die bijvoorbeeld aangeven dat een (langdurige) productiestilstand door een cyberincident gemiddeld een bedrijf $400.000 kost.

Maak een risico-analyse

Stap 3. Het is nu van belang om niet meteen te denken in dure technische oplossingen. Eerst zal een risico-analyse gemaakt moeten worden. Wat zijn de belangrijkste productieprocessen, welke moeten het best beveiligd worden en welke minder? Welk risico lopen die processen en wat is de kans dat daar iets mee gebeurt? Een bekende en veelgebruikte risico-analyse is een Failure Mode & Effect Analyses (FMEA), waarbij systematisch mogelijke storingen in kaart worden gebracht en wat de gevolgen daarvan zijn. Ook de CORAS-methode kan gebruikt worden, die het op een andere (minder technische) wijze aanpakt. Het is van belang dat het hele bedrijf meewerkt aan de risico-analyse. Neem ook andere deelnemers in de supplychain mee, kwaadwillenden proberen soms binnen te komen via de achterdeur van de toeleverancier. Het is goed om in de contracten afspraken te maken over ieders verantwoordelijkheid.

Een OT of IT-afdeling kan dit niet alleen doen. Technici kunnen nooit bepalen wat acceptabele risico’s zijn of wat de gevolgen zijn voor de processen, dit is een afweging die door het management gemaakt moet worden.

Reserveer een budget, maar focus niet alleen op techniek

Stap 4. Na deze fase zal er een budget voor cybersecurity gereserveerd moeten worden. Cybersecurity is nu eenmaal niet gratis. Aan de hand van de businesscase en de risico-analyse kan nu wel gerichter aan een passend budget gedacht worden. Het is belangrijk dat niet op techniek alleen gefocust wordt. Juist ook de mens is een belangrijk onderdeel bij cybersecurity, dus denk ook aan richtlijnen en procedures, maar met name ook aan awareness en begrip bij werknemers.

Beveilig in meerdere lagen

Stap 5. Kies voor defence in depth, ofwel een beveiliging bestaande uit meerdere lagen, net als bij de kastelen vroeger, die naast dikke muren, ook een slotgracht en een ophaalbrug hadden. Voor beveiliging is vaak niet één oplossing, de oplossing bestaat uit meerdere onderdelen en aspecten.

Actief beheer en permanente monitoring

Stap 6. Nadat gekozen is voor oplossingen is het beheer hiervan van groot belang. Technische oplossingen vergen namelijk een actief beheer en een permanente monitoring. Updates zullen moeten worden ingepland en gedraaid. Een firewall zal periodiek moeten worden geanalyseerd (welk verkeer is tegengehouden?), wat waren de bedreigingen en is de organisatie nog steeds voldoende beveiligd? Meldingen van een Intrusion Detection System (IDS) moeten worden opgevolgd.

De menselijke factor blijft de zwakste schakel in de beveiliging. Procedures en bewustwording zijn cruciaal. Het bewust zijn wat de technische oplossing biedt, maar vooral ook wat hij niet biedt is essentieel voor de werking ervan. Tot slot zal het beveiligingssysteem periodiek (bijvoorbeeld jaarlijks of tweejaarlijks) geëvalueerd moeten worden en moet de risico-analyse opnieuw uitgevoerd worden.

Actemium Cybersecurity icoon

Cybersecurity managementsysteem (CSMS)

Bovenstaande stappen staan ook beschreven in de standaard ISA/IEC-62443, vergelijkbaar met ISO-27001 en 27002 voor de IT-omgeving. Het is een standaard voor cybersecurity, die veel in de industrie gebruikt wordt. Het is aan te bevelen deze standaard eens door te lezen voor meer bewustwording over industrial cybersecurity en de mogelijkheden die er zijn om het beheersbaar te maken.

Auteur: Rick Booij, Industrial Cybersecurity Expert bij Actemium, kennispartner van VMT

Lees meer over

  1. Vacatures

  2. FreshRecruitment

    Manager Kwaliteit Peridot Food

    FreshRecruitment logo

  3. FreshRecruitment

    Kwaliteitsmanager Peridot Food

    FreshRecruitment logo

  4. FreshRecruitment

    International Account Manager

    FreshRecruitment logo

  5. Hoogesteger

    Junior Productontwikkelaar

    Hoogesteger logo

  6. Asia Express Food

    QA Manager

    Asia Express Food logo

Bekijk vacatures

"In 2025 wordt AI concreter toegepast"

"In 2025 wordt AI concreter toegepast"

Ieder jaar brengt Aptean een F&B/IT Trendrapport uit voor de voedings- en drankensector. In 2025 is er sprake van nieuwe trends, maar ook een verdieping van die van 2024, zo zegt Arjen Verburg van Aptean. "Artificial Intelligence zal nog groter worden en concretere toepassingen vinden."

Webinar/eBook: 'Inefficiëntie in voedings- en drankenbedrijven te lijf met machine learning en AI'

Webinar/eBook: 'Inefficiëntie in voedings- en drankenbedrijven te...

Wil je weten welke opkomende automatiseringsmethoden aan populariteit winnen en welke technologieën meer automatisering mogelijk zullen maken? Volgens het nieuwe Expert eBook van Aptean staan we mogelijk aan het begin van een nieuw tijdperk met machine learning en artificial intelligence als sleuteltechnologieën.

Stefan Buijsman, Associate Professor Responsible AI aan de TU Delft op de FNLI Jaarbijeenkomst 2024.

Veel valkuilen bij gebruik van AI in bedrijf: 'je kunt er niet blind...

De inzet van kunstmatige intelligentie (AI) kan bijdragen aan optimalisatie en efficiëntie in de voedingsindustrie, maar kent ook grote valkuilen. Daarvoor waarschuwde Stefan Buijsman, Associate Professor Responsible AI aan de TU Delft, tijdens de FNLI-Jaarbijeenkomst in Expo Greater Amsterdam dinsdag. Blind vertrouwen in AI-technologie leidt tot problemen, zeg Buijsman.

Maaike Stoops, general manager van de vestiging van LINKIT in Zuid-Afrika: 'Deze middag is juist een moment om te connecten met mensen uit andere organisaties die voor dezelfde uitdagingen in verandering staan.'

'We hebben een applicatie gebouwd voor het proces bij terugroepactie...

Hoe bepaal je als IT-leider je koers in een wereld van razendsnelle technologische ontwikkelingen die wendbaarheid vereisen? Op 3 oktober organiseert LINKIT in Herwijnen het evenement Navigate the Change. Het is een middag met verdieping op verandering en wendbaarheid, met topsprekers als Volkert Paap (VP Tech & Innovatie KLM), Anneke Keller (CTO PostNL), Bart Leemans (Algemeen directeur Service2fruit) en Rik de Weerd (Consultant in E.A. & Executive Leadership).

Illustratie: Larissa Sas

Tip van jouw advocaat: Influencermarketing, hoe zit het precies?

KENNISPARTNER - COLUMN - Zet je als adverteerder wel eens influencers in voor je marketing? Dit is een effectieve manier om bepaalde doelgroepen te bereiken. Maar er gelden ook regels. Jouw advocaat bespreekt de belangrijkste aandachtspunten en geeft tips.

Beeld: Shutterstock

'Boeren houden van koeien': imagocampagne voor jonge boeren of...

In een recente beslissing legt het College van Beroep (CvB) van de Stichting Reclame Code uit waarom transparantie rondom sponsoring van een ideële campagne door een commerciële organisatie noodzakelijk is. Ook verduidelijkt zij wanneer een partij wordt beschouwd als mede-adverteerder, die de aanbevelingen van de Reclame Code Commissie (RCC) of het CvB ter harte mag nemen. In dit artikel wordt deze recente uitspraak verder toegelicht.

Foto: Pixabay

Bacteriofagen maken snelle detectie van bacteriën in vloeistoffen...

Onderzoekers hebben een baanbrekende test ontwikkeld die bacteriën in vloeistoffen zoals water, urine en melk detecteert door gebruik te maken van bacteriofagen. Biogel verandert van kleur bij aanwezigheid van schadelijke bacteriën, wat snelle en eenvoudige controles mogelijk maakt voor onder meer voedselveiligheid zonder tussenkomst van een laboratorium.

Beeld: Shutterstock

Misleidende reclame op voeding voorkomen? 8 opvallende uitspraken van...

Hoe ver mag je gaan met het aanprijzen van voedingsmiddelen? In 2024 boog de Reclame Code Commissie (RCC) zich opnieuw over reclames en voedselclaims die consumenten op het verkeerde been zouden kunnen zetten. Van fastfood tot snoep, van eieren tot bier. Dit artikel geeft een beknopt overzicht van de meest opvallende kwesties in 2024.

Innovaties voor vlees- en proteïneverwerking op IFFA 2025, met als hoofdthema ‘Increasing Performance’. Bron: Messe Frankfurt

IFFA 2025 wil de toekomst van vlees en plantaardige eiwitten laten...

De grootste internationale vakbeurs voor vlees- en eiwittechnologie, de IFFA, opent van 3 tot en met 8 mei 2025 de deuren in Frankfurt am Main. Onder het motto 'Rethinking Meat and Proteins' presenteert de beurs innovatieve oplossingen en de nieuwste trends voor de complete productieketen, van grondstof tot eindproduct​.

tegengaan milieuschade

Europees Hof over EU-biologo op producten uit derde landen:...

De Europese Unie beschouwt de Amerikaanse biologische wetgeving als gelijkwaardig aan de Europese. Op sommige punten wijkt deze Amerikaanse bio-wetgeving echter iets af van Europese. Mag in dat geval het EU-biologo op het Amerikaanse product worden gebruikt? In dit artikel meer over de uitspraak van de Europese rechter.

Maakt een medische claim iets een geneesmiddel? Uitspraak geeft duidelijkheid

Maakt een medische claim iets een geneesmiddel? Uitspraak geeft...

Consumentenreviews met het woord 'pijn' of een verwijzing naar ziekte bij een levensmiddel: dit zijn verboden medische claims. Maar hoe beoordeel je deze claims? Is het daardoor een geneesmiddel geworden? Na jarenlange discussie is er eindelijk uitsluitsel. Is een product zelf duidelijk een levensmiddel? Dan is het levensmiddelenrecht van toepassing, en niet de geneesmiddelenwet.

Tip van jouw advocaat: Wat is 'nieuw' en hoe lang is iets 'nieuw'?

Tip van jouw advocaat: Wat is 'nieuw' en hoe lang is iets 'nieuw'?

KENNISPARTNER - COLUMN - 'Nieuw' is een veelgebruikte term op verpakkingen; het trekt extra de aandacht van de consument. Maar wanneer mag je die claim gebruiken? En hoe lang blijft iets 'nieuw'?

Onderwerpen beheren

Mijn artikeloverzicht kan alleen gebruikt worden als je bent ingelogd.

  1. Food Future Event 2019: unieke kans om met eigen input te komen
  2. Belgapom: Recordgroei aardappelsector in 2018
  3. Dierenwelzijn en gebalanceerde ketens zijn belangrijk voor Vion
  4. Vanaf 2021 is wegwerpplastic verboden in de EU
  5. Mogelijk Listeria in verse traiteurmaaltijd andijviestamppot Hoogvliet
  6. Jan Linders roept Onze Trots Rundergehaktballen met jus terug vanwege Listeria
  7. Gebruikte machines makkelijk te verkopen in buitenland
  8. Cursus MVO Academy: Food & Feed Safety of Oils & Fats
  9. AH komt als beste en als slechtste uit de Chocolademelkwijzer
  10. Acht SIAL-beurzen in 2019
  1. Waarom worden innovaties niet altijd direct omarmd?
  2. Stef Blok keurt sponsorschap Coca-Cola van EU-voorzitterschap niet af
  3. Breydel garandeert transparantie en duurzaamheid
  4. Swinkels is nu Koninklijk
  5. Videocolumn voedselveiligheid met IJsbrand: de glazen pot
  6. Van der Heiden Kaas neemt Fromagerie Brigitte over
  7. Food Future Event: borging productintegriteit en praktijkervaringen
  8. Sunny Jain nieuwe Unileverdirecteur Beauty & Personal Care
  9. Accepteer dat verpakking bij product hoort
  10. Johma zocht eivervanger voor veganistische salade