Contact

Toename cybercrime en digitalisering vraagt om verbeteren informatiebeveiliging in industriesector

Cybercrime en digitalisering: twee trends in de industriesector. Maar hoe is het met de informatiebeveiliging gesteld? Tijd voor actie, als je het ons vraagt!

Industrie informatiebeveiliging
Portretfoto Rico van den Beemt
Rico van den Beemt
Salesmanager

Rico van den Beemt is Salesmanager bij CertificeringsAdvies Nederland. Met een combinatie van luisteren, meedenken en meeveren probeert Rico bestaande en nieuwe klanten de juiste kant in te begeleiden.

rico@certificeringsadvies.nl

Binnen de industriebranche hebben veel organisaties digitalisering hoog op de agenda staan. Daarnaast is er in de sector een flinke toename te zien van cybercrime. De sector wordt voor kwaadwillenden natuurlijk steeds interessanter. Zeker wanneer de sector, door de digitaliseringsslag, steeds afhankelijker wordt van haar digitale infrastructuur. Het is dan opmerkelijk te noemen dat er binnen de industrie nog zeer weinig aandacht is voor informatiebeveiliging. Veel organisaties hebben dit niet op orde, terwijl de risico’s op stilvallen van productie en op schade voor belanghebbenden met de dag groter worden. Tijd voor actie dus. Maar waar moet je mee aan de slag? En waar start je? Dat zetten we in dit artikel voor je uiteen.

Cybercrime aan orde van de dag in de industriesector

De industriesector is afgelopen jaar veelvuldig slachtoffer geweest van cybercrime (bron: Sophos):

  • In 2021 werd de schade door ransomware op 20 miljard euro geschat;
  • Ongeveer 2/3e van alle bedrijven is in 2021 getroffen door ransomware.

De industriesector stijgt hard op het lijstje van meest aangevallen sectoren en is daarop inmiddels opgeklommen naar de tweede plek. Binnen de sector worden relatief veel aanvallen van buitenaf gemeld, waar ook (flinke) kosten mee gemoeid zijn. Om een beeld te geven: dagelijks worden er ruim 30.000 websites gehackt en is de kans op een cyberhack 8! keer zo groot als de kans op brand. Binnen de industriesector is er vooral sprake van phishing, ransomware en DDos-aanvallen (bron: Rabobank).

Het risico op cyberincidenten wordt de laatste jaren almaar groter. Dat wordt bovendien nog eens extra in de hand gewerkt, doordat bedrijven in de industriesector druk bezig zijn met het maken van een digitaliseringsslag en dus steeds afhankelijker worden van de digitale infrastructuur.

Bekijk ook het artikel: Opstaptraject informatiebeveiliging: een eerste stap naar certificering

Informatiebeveiliging: het ondergeschoven kindje

Wanneer je bovengenoemde trends in ogenschouw neemt, dan is het erg opvallend dat (aandacht voor) informatiebeveiliging binnen de industriesector achterblijft. Cybersecurity maakt geen/onvoldoende onderdeel uit van het bedrijfsbeleid, terwijl juist de digitalisering en toenemend belang van informatietechnologie bedrijfsresultaten steeds afhankelijker maken van beschikbaarheid, integriteit en vertrouwelijkheid (BIV) van informatie.

Betrouwbare, veilige en efficiënte IT-middelen zijn een must. Bewustzijn binnen de organisatie van de waarde van informatie en het vertonen van het daarbij passende gedrag eveneens. IT- en primaire processen raken doordoor steeds meer met elkaar verweven. In onze visie is (aantoonbare) beheersing van informatiebeveiliging daarom ook geen onderscheidende factor meer. Om informatiebeveiligingsmanagement kan namelijk geen enkele organisatie meer heen, ook niet binnen de industriesector. Er niet mee aan de slag gaan is geen optie: de risico’s op stilvallen van de productie en op schade voor belanghebbenden is te groot. Informatiebeveiliging moet daarom structureel onder de aandacht zijn en continu geborgd en verbeterd worden.

Mogelijk ook interessant: Wet- en regelgeving informatiebeveiliging en ISO 27001

Industriesector moet aan de slag met informatiebeveiliging

Door allerlei ontwikkelingen, zoals digitalisering en toenemende cybercrime, maar zeker ook proces- en productinnovatie, verduurzaming, automatisering, nieuwe verdienmodellen etc. worden organisaties in de industriesector gedwongen om bewust(er) na te denken over hun businessmodel. Een heldere visie en positionering zijn een vereiste om toekomstbestendig te kunnen blijven. Dat betekent dus ook dat de industriesector haar ogen niet kan blijven sluiten voor informatiebeveiliging. Het thema moet geïntegreerd worden in het strategisch beleid van organisaties en geborgd worden in alle daaraan onderliggende bedrijfsprocessen en in samenwerkingen over disciplines heen.

Lees ook

Dat de nood hoog is en de sector achterloopt op gebied van informatiebeveiliging, wordt ook nog eens bevestigd door het CBS. Volgens cijfers van het CBS scoort de industriesector laag op:

Naast IT-systemen wordt er in de industriesector ook veelvuldig gebruik gemaakt van OT-systemen. De nood voor het goed inregelen van informatiebeveiliging wordt daardoor nog hoger:

“In operationele omgevingen gebruikt men zogenaamde OT-systemen, wat staat voor Operationele Techniek. Die sturen machines aan en daarbij gaat het om maatwerk. Door de ontwikkeling van IoT (Internet of Things) en andere ‘smart industry’ toepassingen worden OT-systemen nog meer afhankelijk van IT. Dit alles vergroot de kans op cyberincidenten. OT-systemen zijn regelmatig al 10, soms wel 15 jaar oud. Bekend is dat dat deze systemen veel kwetsbaarder zijn, zeker als updates niet beschikbaar zijn of niet worden uitgevoerd. Deze kwetsbaarheden zijn bekend bij cybercriminelen. Ze spelen hierop in door aanvallen op deze OT-systemen te richten.” (Bron: Rabobank.nl)

Duurzaam en effectief informatiebeveiligingsmanagement

Dat informatiebeveiliging hoog op de agenda moet, moge wel duidelijk zijn. Maar hoe ga je informatiebeveiliging implementeren? Ons advies: wil je dat op een duurzame en effectieve manier doen, doe het dan gefaseerd, in behapbare stappen en start bij de basis. Op basis van input van verschillende experts uit het werkveld van IT en security, waaronder de aanbevolen basismaatregelen van het Ministerie van Justitie en Veiligheid, komen wij tot de volgende onderdelen die je in de basis geregeld moet hebben:

Systeemtoegang

  • Is multifactor authenticatie in gebruik voor toegang tot (kritieke) systemen?
  • Is toegang tot systemen geregeld op basis van rollen en functies (en niet op personen)?
  • Is de on- en offboarding procedure beschreven en ingeregeld, waarbij de rechten worden toegekend conform de autorisatiematrix?
  • Wordt regelmatig gecontroleerd of de bestaande toegangsrechten nog kloppen?
  • Is er een password management systeem in gebruik?
  • Wordt van alle (kritieke) systemen loginformatie gegenereerd?

Beheer van hard- en software

  • Is alle in de organisatie in gebruik zijnde hardware en software in kaart?
  • Is device management ingeregeld en is er controle op geïnstalleerde software op laptops en telefoons?
  • Is er een werkwijze/procedure waarmee alle systemen regelmatig worden gepatched en bijgewerkt naar laatste versie i.v.m. security updates?
  • Is encryptie toegepast op informatiedragers met belangrijke bedrijfsinformatie?
  • Is in kaart gebracht welke IT-apparatuur benaderbaar is via het internet, is de toegang van deze apparaten beperkt tot het noodzakelijke en is de apparatuur in een separaat segment van het netwerk geplaatst?

Informatiebeveilingsbewustzijn

  • Wordt er gewerkt aan bewustzijn bij medewerkers met betrekking tot securityrisico’s (bijv. malware, ransomware, phishing, CEO fraude)

Backup

  • Is vastgesteld van welke data een back-up noodzakelijk is, met welke frequentie en welke bewaartermijn?
  • Worden met de juiste frequentie back-ups gemaakt?
  • Wordt hierbij het principe gehanteerd van 3 back-up versies van de data, op 2 verschillende media, waarvan 1 op een andere locatie)?
  • Wordt met regelmaat een restore-test uitgevoerd?

Dataclassificatie

  • Is vertrouwelijke data als zodanig geclassificeerd en zijn er bewaar- en verwijderingsprocedures?

Netwerkbeveiliging

  • Wordt het netwerk (en de verschillende zones daarbinnen) beveiligd door een firewall?
  • Is de toegang tot de verschillende Wifi netwerken gescheiden met verschillende wachtwoorden?
  • Is het wifi-netwerk ingesteld met de juiste encryptie?

Fysieke toegang

  • Is er een clean desk en clear screen beleid binnen de organisatie?

Leveranciersbeheersing

  • Zijn de leveranciers geïdentificeerd die invloed hebben op beschikbaarheid, integriteit en vertrouwelijkheid van relevante gegevens? Zijn hier sluitende overeenkomsten (SLA, NDA, verwerkersovereenkomst) mee afgesloten? Zijn deze leveranciers ISO 27001 gecertificeerd?
Lees ook

Gedrag van mensen is cruciaal!

Met informatiebeveiliging starten is één ding, maar de grootste uitdaging zit hem in het meekrijgen van mensen binnen de organisatie. Alles valt of staat met het gedrag van mensen: zij moeten de risico’s kennen en ernaar handelen. Het is daarom essentieel om medewerkers continu te trainen. Zij moeten meldingen maken van fouten, van verdachte zaken en andere incidenten. Er moet als het ware een cultuurverandering teweeg worden gebracht.

Lees ook

Om medewerkers de nut en noodzaak van informatiebeveiliging in te laten zien, moeten ze vertrouwen hebben in de gekozen aanpak en gemotiveerd worden om hierin te participeren. Dat betekent dat er draagvlak gecreëerd moet worden binnen alle geledingen van de organisatie. Om dat voor elkaar te krijgen is het zaak dat de directie en het management een leidende rol innemen. Daarnaast is er vanalles mogelijk om dat draagvlak te creëren en mensen bewuster te maken van de omgang met informatie. Denk aan:

  • Mensen actief coachen, stimuleren en motiveren (ook via directie/MT);
  • Voorbeeldgedrag laten zien
  • Bewustzijnprogramma’s ontwikkelen (e-learnings, workshops, sessies)
  • Trainingsprogramma’s opzetten (e-learnings, korte kennismomenten)
  • Medewerkers inzicht geven in de resultaten, zowel positief als negatief
  • Incidentenmanagement
  • Opnemen in persoonlijke doelstellingen
  • Op een laagdrempelige manier integreren in dagelijkse werk
  • Etc.

Er is vanalles mogelijk om medewerkers bewust te maken en mee te krijgen. Het is voor iedere organisatie verschillend wat wel en niet werkt.

Starten met informatiebeveiliging?

Cybersecurity is geen kwestie van een afvinklijstje nalopen. Het is een onderwerp dat strategisch verwerven moet worden, nu en in de toekomst. Organisaties die daarin achterblijven, lopen (steeds) grote(re) risico’s. Uiteraard zijn er meerdere wegen die naar Rome leiden. Hieronder een aantal zaken waar je aan kunt denken als je wilt starten met de implementatie van informatiebeveiliging:

Wil je weten wat voor jouw organisatie een goede eerste stap is? Neem dan gerust contact met ons op! Wij helpen je graag op weg.

New call-to-action

Portretfoto Rico van den Beemt
Rico van den Beemt
Salesmanager

Rico van den Beemt is Salesmanager bij CertificeringsAdvies Nederland. Met een combinatie van luisteren, meedenken en meeveren probeert Rico bestaande en nieuwe klanten de juiste kant in te begeleiden.

rico@certificeringsadvies.nl

Meer over ISO 27001?

Download de handige gids!

  • Alles over ISO 27001
  • Stap voor stap inzicht
  • Praktische tips
Download gidsContact

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

  • Handige kennisartikelen en praktische tips voor jouw organisatie
  • Actuele updates rondom normen en certificeringen
  • Ontwikkelingen in wet- en regelgeving
  • Interessante acties & events
  • Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields

Nieuwsbrief

Informatiebeveiliging

Nut of noodzaak?

Informatie is van grote waarde voor bedrijven. Een digitale strategie met belangrijke plaats voor informatiebeveiliging is pure noodzaak.

Lees meer

Gerelateerde artikelen