Recent onderzoek onder 245 maakbedrijven toont aan dat eenderde nog altijd onvoldoende beveiligd is - een risico dat de hele sector raakt. Remco Geerts, Business Unit Manager Cyber Security & Networking IT-dienstverlener Cegeka, ziet dagelijks hoe urgent het probleem is geworden. “Zo’n 60 procent van de Nederlandse innovatie komt voort uit de maakindustrie, waar één op de negen mensen werkt”, stelt Jac-Rice van Brunschot, Industry Director Manufacturing, eveneens werkzaam bij Cegeka. “We hebben daar als IT-sector ook een morele verplichting.”
Het onderzoek van Cegeka, onlangs gepubliceerd, onthult tekortkomingen. Van de 245 onderzochte bedrijven scoort 68 procent nog redelijk tot goed op cybersecurity. Maar 82 bedrijven - ruim een derde – scoren gemiddeld een 4,3 op een schaal van tien.
Bij goed beveiligde bedrijven worden de scores geleidelijk beter, terwijl slecht beveiligde bedrijven in 90 dagen tijd 50 procent achteruitgaan. “Dat betekent dat ze alleen ad-hoc maatregelen nemen en geen continu proces hebben ingericht om de veiligheid te waarborgen”, aldus Van Brunschot.
De problemen beginnen bij de basis. Open poorten zonder businessfunctie, verouderde protocollen en content management systemen met simpele username-wachtwoord combinaties. “Aanvallers hebben maar één kleine opening nodig om binnen te komen”, waarschuwt Geerts. “Met basis security maatregelen zoals multifactor authenticatie kun je al veel voorkomen.”
Digitalisering in de maakindustrie betekent ook toenemende verwevenheid. IT-omgevingen koppelen aan operationele technologie (OT), bedrijven integreren supply chains digitaal. Van Brunschot: "Realiseer je dat je niet op jezelf bent, maar in een keten werkt. Als één van je partners eruit ligt, dan kan bij jou ook de productie of uitlevering stilstaan."
De impact reikt veel verder dan één bedrijf. In september dit jaar werd Jaguar Land Rover zwaar getroffen door een cyberaanval, waardoor fabrieken zijn stilgelegd en er sprake was van een datalek. Ook andere producenten werden recent geraakt: een Amerikaanse leverancier van automotive software in juni vorig jaar als ook een Duitse batterijfabrikant in februari vorig jaar).
Ransomware blijft de grootste bedreiging. “De eerste stap is binnenkomen en de tweede stap is malware uitrollen en data stelen. AI is een techniek die je kunt gebruiken om makkelijker toegang te krijgen of aanvallen uit te voeren”, legt Geerts uit. Eenmaal binnen kunnen ze van IT- naar OT-omgevingen overstappen en complete productielijnen stilleggen.
“Cybersecurity is geen IT-vraagstuk maar gaat over bedrijfscontinuïteit”, benadrukt Geerts. De nieuwe NIS2-wetgeving maakt dit nog explicieter door bestuursaansprakelijkheid in te voeren. CEO's en bestuurders kunnen persoonlijk aansprakelijk gesteld worden voor cyberincidenten.
Geerts: “Het hoort bovenaan de agenda van de board te staan. Zodra dat gebeurt en de governance goed is ingericht, kun je het ook aansturen via periodieke rapportages over voortgang en risico's.”
De parallel met fysieke veiligheid ligt voor de hand. Net zoals bedrijven veiligheidshelmen en nooduitgangen als vanzelfsprekend beschouwen, moet cybersecurity geïntegreerd worden in alle bedrijfsprocessen. “Wat zijn mijn digitale kroonjuwelen? Hoe ga ik die beschermen? Dat moet je ook uitdragen”, stelt Van Brunschot.
Voor bedrijven die nu moeten beginnen, adviseert Cegeka een gefaseerde aanpak. “Begin met inzicht krijgen in je risico's en impact”, raadt Geerts aan. “Bepaal welk security-niveau je ambieert, maak een strategie en roadmap. Begin met maatregelen die het meeste impact hebben op je grootste risico’s en de minste impact op kosten en je medewerkers, de quick wins.”
Fundamentele zaken zoals backup, endpoint detection en netwerksegmentatie kunnen al veel voorkomen. “En heel vaak wordt multifactor authenticatie vergeten - dat kan al ervoor zorgen dat een aanvaller die je wachtwoord raadt, nog steeds geen toegang krijgt.”
Als full service technology partner biedt Cegeka verschillende samenwerkingsmodellen: van volledige uitbesteding tot team extension en projectmatige ondersteuning. “We bedienen zowel de oude als nieuwe wereld”, legt Van Brunschot uit. “In maakbedrijven blijft veel on-premise, maar er gaat ook veel naar de cloud. Wij begrijpen beide.”
De urgentie neemt alleen maar toe. Met kunstmatige intelligentie worden zowel aanvallen als verdedigingsmaatregelen steeds geavanceerder. “Het is een wapenwedloop”, constateert Geerts. “We moeten steeds harder automatiseren en innoveren om alle alerts bij te houden.”
Voor de Nederlandse maakindustrie - goed voor 60 procent van de innovatie - staat veel op het spel. Digitalisering is onvermijdelijk, maar veiligheid mag geen bijgedachte zijn. Zoals Van Brunschot samenvat: “Cybersecurity en digitale weerbaarheid moet net zo vanzelfsprekend worden als kwaliteit en veiligheid. Anders gaat je bedrijf op zwart.”