Digitalisering en robotisering zijn alomtegenwoordig bij logistiek- en transportbedrijven. Denk alleen al aan robots die orderpicken, pakketten sorteren en autonome heftrucks die in het magazijn rondrijden. Op de weg, het water en in de lucht worden door middel van slimme analyses de beste afleverroutes gekozen en worden door de data uit IoT-sensoren de optimale onderhoudscyclus van vervoersmiddelen bepaald. Toch hebben deze innovatieve toepassingen die logistieke bedrijven nu en in de toekomst inzetten, ook een keerzijde: de risico’s die deze met zich meebrengen. Niet iedereen is zich hiervan bewust, terwijl dat volgens branche-organisatie evofenedex wel zou moeten. Daarom organiseerden we samen met hen een security masterclass.
De logistieke sector is een dankbaar slachtoffer van cybercriminelen. Denk alleen al aan de NotPetya malware-aanval op Maersk, het hacken van containerterminals in de haven van Antwerpen, ransomware en de vele diefstallen van ladingen door een gehackt TMS. Een nachtmerrie voor de business continuity van iedere logistieke organisatie. Onze ethisch hacker en security-specialist Yannick Verhoeven gaf tijdens de masterclass aan waar je als organisatie op moet letten en hoe je jezelf kunt beschermen tegen dergelijke aanvallen. Want vraag je niet af of je wordt aangevallen, maar wanneer.
Er is een duidelijke verschuiving te zien van hobby hackers die systemen plat legden om vakgenoten te laten zien wat ze konden, naar kwaadwillende hackers die bewust (reputatie of financiële) schade aanrichten, geld willen verdienen, een (politiek) statement willen maken of gevoelige bedrijfsgegevens willen buitmaken. De technieken die hiervoor worden gebruikt nemen toe en worden slimmer. Denk aan een DDOS-aanval, het inzetten van malware of ransomware en social engineering. Ook zijn er zelfs online toolkits beschikbaar waarmee hackers eenvoudig gebruik kunnen maken van bekende kwetsbaarheden.
Een zeer voor de hand liggende kwetsbaarheid waardoor organisaties gecompromitteerd raken is een falend update-beleid. Van der Sluis: “Dit was ook bij Maersk de zwakke plek. Je vraagt je af waarom zo’n partij zijn systemen niet update. Dit is echter vaak een zakelijke afweging. Om updates te draaien moeten kritieke bedrijfsprocessen stilgelegd worden wat veel geld kost. Het is een afweging van het risico tegen de kosten. Al merk je dat men vaak geen reëel beeld heeft van de risico’s. Zo lang het goed gaat, gaat het goed en is er weinig bewustzijn van wat er fout kan gaan. Daarom is security-awareness binnen organisaties zo belangrijk.”
Hackers gaan doorgaans op zoek naar de zwakste plek. Een goed updatebeleid is dan ook een eerste vereiste. Dit gaat verder dan de eigen organisatie. “Kijk ook naar je toeleveranciers. Ketenafhankelijkheid zorgt immers ook voor risico’s. Jij kunt alles perfect op orde hebben, maar als je logistieke partner op securitygebied ernstige steken laat vallen, loopt jouw organisatie ook risico. Met het in werking treden van de AVG/ GDPR dit jaar, kan dit naast de bedrijfsmatige schade bovendien ook ernstige boetes of reputatieschade opleveren.”
Van der Sluis laat tijdens de masterclass zien wat de gevolgen kunnen zijn van simpelweg op een verkeerde link klikken of verbinding maken met een open WiFi-netwerk en hoe eenvoudig het is om met een USB-stick malware te installeren op een PC. Daardoor kan hij meekijken met de gebruiker of op de achtergrond opdrachten laten uitvoeren. Denk er eens aan welke schade deze zogenaamde ‘Rubber Ducky’- die iedereen voor 40 dollar kan kopen - kan aanrichten zodra de PC verbinding maakt met het bedrijfsnetwerk. Of welke gegevens allemaal buitgemaakt kunnen worden. Dan ga je toch anders kijken naar zo’n ‘handig’ relatiegeschenk.
Als laatste wordt een inkijkje gegeven in het dark web waar open en bloot de tarieven voor een huurmoord te vinden zijn. Het internet biedt legio voordelen, maar heeft ook een zwarte kant waar alles te koop is. Ook jouw bedrijfsdata. Wil je jezelf beter beschermen? Neem dan onderstaande tips in acht.
- Zorg dat je software altijd up-to-date is (99% van de sites die gehackt wordt vergeten te updaten).
- Breng je toeleveranciers in kaart: welke systemen zijn gekoppeld en welke data deel je met elkaar?
- Wat je digitaal vastlegt kan uitlekken: denk na over welke informatie je opslaat en wees hier selectief in.
- Beperk het aanvalsoppervlak: hiermee beperk je de impact.
- Gebruik unieke wachtwoorden voor verschillende websites en laat ze beheren door een password manager. Pas waar mogelijk 2 factor authentication toe.
- Zorg voor goede backups, test deze regelmatig en bewaar ze in een geïsoleerde omgeving. Zorg dat er een disaster recovery plan is voor het geval je wel slachtoffer bent.
- Creëer awareness binnen de organisatie. Zijn mensen zich bewust van de risico’s? Denk hierbij onder andere aan veilige wachtwoorden, bewustzijn van risico’s als je op een link klikt.
- Test je systemen en krijg inzicht in jouw zwakke plekken en laat je informeren over hoe je het systeem beter kan beveiligen.