Bas Wevers en André van der Linden (Royal FloraHolland)
Zo ongeveer 24/7 worden de computers en netwerken van Royal FloraHolland aangevallen door hackers. “Er wordt voortdurend op onze deur geklopt”, vertellen André van der Linden (Chief Information Officer, CIO) en Bas Wevers (Chief Information Security Officer, CISO) bij Royal FloraHolland. Daarom stelt Royal FloraHolland hoge security-eisen aan haar digitale diensten. Ook telers en handelaren lopen een reële kans gehackt te worden of het slachtoffer te worden van cybercrimininaliteit. Dat is zeer vervelend voor zo’n bedrijf. Maar een hack is óók een gevaar voor de hele keten.
Bas en André, hoe vaak worden de netwerken van Royal FloraHolland aangevallen?
Bas: “Je zou kunnen zeggen: er wordt voortdurend op onze deur geklopt. Dat gaat eigenlijk de hele dag door. Bovendien zijn de frequentie en de intensiteit van digitale aanvallen de afgelopen jaren alleen maar toegenomen. We moeten duizend deuren gesloten houden, een hacker hoeft er maar één te openen.”
André: “Er zijn twee soorten aanvallen. De eerste soort zijn ‘opportunistische’ aanvallen: hackers struinen het internet af en sturen in het wild mailtjes of Whatsapps in de hoop dat iemand op een foute link klikt en ze data kunnen gijzelen. Dat is een soort massaproductie. Daarnaast zijn er gerichte aanvallen. De CEO-fraude is daarvan een berucht voorbeeld. Een medewerker krijgt dan een mail uit naam van de CEO met het dringende verzoek iets te doen.”
Bas: “Dat soort campagnes is heel goed gepland. Zo waren er onlangs acht nieuwe medewerkers gestart. Ze kregen kort na hun start een mail van “onze CEO”. Als je net ergens gestart bent, dan wil je natuurlijk je baas niet tegenspreken. Gelukkig is het goed gegaan. Maar daaruit blijkt dat zulke hackers zich zeer goed voorbereiden, onder meer via social media. We zijn hier de afgelopen periode al een aantal malen mee geconfronteerd, maar zonder schade doordat de maatregelen, zoals het vergroten van de awareness bij medewerkers, effectief bleken.”
Slimme jongens dus, die hackers.
Bas: “Hackers ontwikkelen zich ook. Zo is er tegenwoordig vaak sprake van double extortion: hackers versleutelen je data, en dreigen al die data openbaar te maken als je niet betaalt. En digitale criminaliteit is bijna een soort van dienstverlening geworden. Je kunt online softwarekits kopen om te hacken. Onlangs werd daarmee een ziekenhuis gehackt: de data werd versleuteld. Die ontwikkelaars van de software hebben kort daarna hun excuus aangeboden en de sleutel gratis gegeven. De software was namelijk niet bedoeld om zorginstellingen mee te hacken. Het is nu dus zelfs een bedrijfstak met ethische regels.”
Hoe wapent Royal FloraHolland zich tegen digitale aanvallen?
André: “We stellen hoge security-eisen aan onze digitale diensten en zijn voortdurend paraat. We onderzoeken continu welke ontwikkelingen er zijn op het gebied van hacken, welke gevolgen die voor ons kunnen hebben, en of we aanvullende maatregelen moeten nemen. Zo was er vorig jaar een lek in de programmeertaal Java: Log4j2. Dat lek hebben we snel weten te dichten. Gelukkig maar, want kort daarna werden er duizenden pogingen gedaan om toegang tot onze netwerken te krijgen.”
Bas: “We laten daarnaast met enige regelmaat ‘pen-tests’ uitvoeren: we vragen dan ethische hackers eenmalig om onze systemen aan te vallen. En we werken met ‘bug bounty’: de ethische hackers krijgen dan een beloning als ze een lek in ons systeem vinden.”
Leiden jullie medewerkers op in het herkennen van foute mails?
André: “We besteden veel aandacht aan bewustwording bij medewerkers. Zo sturen we af en toe een testmail die van een hacker zou kunnen zijn. Als je op de link in die mail klikt, dan word je doorgestuurd naar de e-learning-omgeving om te leren hoe je foute e-mails herkent.”
Royal FloraHolland heeft niet alleen medewerkers, maar ook telers en afnemers. Wat is hun rol in de digitale veiligheid van de sierteeltketen?
André: “Een handelsplatform moet veilig én betrouwbaar zijn. Daarom hebben we veel veiligheidsmaatregelen getrokken en kan via Floriday – ons digitale sierteeltplatform – alleen data worden gedeeld met wie daar vanuit zijn rol toegang toe moet hebben. Strikt vertrouwelijke data is bijvoorbeeld alleen toegankelijk voor wie dit nodig heeft. Dat is dus de veiligheid. De betrouwbaarheid is een ander verhaal: kun je de data die wordt aangeleverd door bijvoorbeeld een teler vertrouwen? Klopt dat met de werkelijkheid?”
Bas: “Veel aanvallen hebben als doel het niet beschikbaar maken van dienstverlening. Maar de schade is veel groter en directer als de hacker moedwillig wijzigingen doorvoert. Denk aan: betalingen, een ander bankrekeningnummer enzovoorts. Dat zag je onlangs ook toen de betaal-app van een bank een dag niet werkte. Dat het betalen niet lukte begrepen gebruikers wel. Maar ze werden zenuwachtig omdat ze niet wisten of de saldo-informatie klopte.”
André: “Het gaat dus om de betrouwbaarheid van de hele sierteeltketen. Bewustzijn bij de ondernemers is daarbij essentieel. Daarom waren we blij met het initiatief voor het Cyberweerbaarheidscentrum Greenport. Samen met andere partijen kunnen we werken aan het verhogen van het bewustzijn en de kennis, onder meer door het organiseren van cybercafés.”
Bas: “Mijn boodschap: op het onderwerp Digitale veiligheid moet je niet concurreren, maar elkaar versterken. We moeten ons verenigen, want dat doen hackers ook: de ene groep scant waar zwakheden zitten, de andere valt aan. De samenwerking binnen het Cyberweerbaarheidscentrum Greenport is dus in het belang van de hele sector.”
Wat is jullie oproep aan ondernemers in de keten?
Bas: “Als je een huis koopt, dan neem je maatregelen tegen inbrekers: een hek om je tuin, camera’s enzovoorts. Kijk op eenzelfde manier naar digitale veiligheid. Net als bij inbreken geldt: er is altijd een kans dat iemand binnenkomt, maar zorg ervoor dat je dan weet wat je moet doen om schade te voorkomen of te herstellen. Zorg bijvoorbeeld voor goede back-ups, in de Cloud en offline.“
André: “Iedereen denkt bij digitale veiligheid aan IT-systemen. Maar die zijn vaak moeilijker binnen te dringen dan de OT, de Operational Technology. Apparaten als klimaatcomputers dus. Een hacker die vervelend wil doen bij een teler, zal zich op dat soort apparaten richten, en bijvoorbeeld de data ongemerkt veranderen of de temperatuur in koelcellen verhogen.”
Bas: “Het maakt niet uit welke stap je zet, áls je maar een stap zet. Alles wat het een hacker moelijker maakt om binnen te komen, helpt. Vergeet bijvoorbeeld niet je software te updaten. Gebruik Multi Factor Authenticatie waar het kan. En denk na voordat je klikt.”
Tips van Royal FloraHolland voor digitaal veilig werken
- Houd software up-to-date en installeer versies zodra die beschikbaar zijn
- Gebruik een virusscanner op alle computers en zorg ervoor dat die altijd up-to-date is
- Gebruik een firewall tussen de internetaansluiting en het bedrijfsnetwerk
- Maak regelmatig een kopie (back-up) van je data en zorg ervoor dat die back-up niet is aangesloten op je netwerk en je servers (anders raakt je back-up ook besmet bij een ransomware-besmetting)
- Open nooit een attachment en klik nooit op een link in een e-mail als je de afzender niet kent of niet vertrouwt.
Ook meedoen? Schrijf je in op de website! Eerst nog even kennismaken met het onderwerp? Laat je dan inspireren bij één van de cybercafés.