Steeds meer processen in de glastuinbouw worden geautomatiseerd. Met grote voordelen in teeltbeheersing, en verbetering van efficiëntie en rendement. Maar de afhankelijkheid ervan maakt ook kwetsbaar. Een eventuele cyberaanval kan de bedrijfsvoering plat leggen.
Voor een groente- of fruitteler, gericht bezig met zijn gewas en de productie van een fysiek versproduct, lijkt cybercriminaliteit een ver-van-mijn-bedshow. Iets dat hoort bij heel grote ondernemingen, waarvan er af en toe eentje het nieuws haalt omdat de gevoelige IT-systemen gehackt zijn.
Maar wat als automatiseringssystemen binnen een glastuinbouwbedrijf volledig plat gelegd zouden worden? Als er ineens geen klimaatcomputer meer is die het klimaat en de watergift in de kas regelt, geen inzicht vanuit padregistratie-data over hoeveel het personeel gewerkt heeft of wat hun komende taken zijn, geen automatische wkk-aansturing meer van gecontracteerde netleveringen, of geen overzicht meer van wat afnemers besteld hebben. Hoeveel kost het wegvallen van zulke (operationele) systemen? En hoeveel geld zou je er als teler/ondernemer dan voor over hebben om een crimineel het versleutelde slot weer te laten verwijderen van de geblokkeerde datasystemen?
Ook tuinbouw doelwit van cybercriminaliteit
Het wordt uit de publiciteit gehouden, maar tuinbouwondernemingen blijken ook af en toe doelwit van cybercriminaliteit, zo blijkt tijdens door Greenport West-Holland georganiseerde workshops over cyberveiligheid. In het gunstigste geval kunnen systemen via de leveranciers gereset worden naar de standaardinstellingen, en gaat na het terughalen van opgeslagen back-upbestanden hooguit wat van de meest recente data verloren. In ernstige gevallen zijn er forse bedragen mee gemoeid om een systeemblokkering af te kopen. Russische hackers hebben al aangeven dat productiebedrijven en bedrijven in het agro-industrieel complex tot de voor hen interessante bedrijven behoren. Toch gaan veel bedrijven zich helaas vaak pas druk maken over cyberweerbaarheid als ze zelf getroffen worden, of een heel nabije collega.
Hacking workshop
Tijdens een hacking workshop in het World Horti Centre mochten IT-experts van glastuinbouwbedrijven zelf aan de slag om via een computer het productieproces van een kas te ontwrichten. Bij deze praktijkwaardige simulatie bleek hoe betrekkelijk eenvoudig het inbreken in computersystemen af en toe kan zijn. Soms zijn daarbij wachtwoorden te achterhalen van apparatuur die ooit op het bedrijf is geïnstalleerd, doordat de bekende oorspronkelijke standaard wachtwoorden van de fabrikant nooit zijn aangepast en er naderhand nooit meer updates zijn uitgevoerd. Of dat hetzelfde wachtwoord voor verschillende webapplicaties wordt gebruikt. Terwijl hackers een eenmaal achterhaald wachtwoord op alle plekken gaan uitproberen. Er is ook een enorme hoeveelheid software vrij op het web verkrijgbaar, onder andere om versleutelde wachtwoorden te ontcijferen.
Glastuinbouwbedrijven worden steeds afhankelijker van automatisering. Heel veel operationele apparatuur wordt tegenwoordig via programmable logic controllers (PLC’s) op afstand digitaal aangestuurd, en is verbonden via internet. Als daar eenmaal ergens een lek is gevonden, kunnen hackers steeds dieper in het digitale bedrijfsnetwerk binnendringen.
Tekst gaat door onder de foto
Ransomware
De grootste bedreiging is ransomware, waarbij bedrijfsgegevens gegijzeld worden. Pas na betaling wordt het versleutelde slot verwijderd en data weer vrijgeven. Steeds vaker wordt echter ook data gestolen, waarbij gedreigd wordt dat die op straat zal komen te liggen als er niet betaald wordt. Als derde kunnen klanten en relaties van het gehackte bedrijf afgeperst worden, op basis van verkregen gegevens over hen. Naast een direct financieel effect voor de onderneming, kan een cyberaanval dus ook effect hebben op het imago van het bedrijf. Wat vinden je klanten en toeleveranciers van jouw probleem?
Kroonjuwelen bewaken
Gerben Klein Baltink van MKB Cyber Advies adviseert telers om al hun bedrijfsprocessen goed in kaart te brengen en per onderdeel aan te geven om welk deel van de omzet dit gaat. Dan kan concreet achterhaald worden wat de echte ‘kroonjuwelen’ van het bedrijf zijn, de processen waar het meeste geld mee te verliezen is, en die dus de meest grondige digitale bescherming vereisen. Waar mogelijk moeten deze gecompartimenteerd worden, dus gescheiden van andere digitale bedrijfssystemen waar makkelijker binnen te dringen is.
Het is zinvol om operationele technologie te scheiden van de internettechnologie, zodat productieprocessen altijd kunnen doorgaan, ook als hackers binnendringen in andere onderdelen. “Dus niet zoals sommige telers, die uit gemak hun e-mail ook op de klimaatcomputer hebben staan. De besparing op een extra benodigde computer voor de e-mail staat in geen verhouding tot de verliezen bij een geslaagde cyberaanval.”
Een IT-bedrijfsmiddel heeft op zichzelf vaak een relatief kleine waarde, maar er wordt vaak niet beseft welke bedrijfswaarde eraan toevertrouwd wordt. Daarbij is een goede communicatie tussen het bedrijfsmanagement en IT‘ers belangrijk, om de juiste afwegingen te maken tussen gebruiksgemak en veiligheid. Want alles wat goed IT-beveiligd is, maakt het werken lastiger. Denk aan wachtwoorden en extra te volgen procedures.
Als het bij jou net iets moeilijker lukt, gaan hackers liever naar de buren met een zwakkere beveiliging
Peter Zinn van MKB Cyber Advies: “Cyberbeveiliging is niets anders dan risicobeheersing. Niet dat hackers door extra maatregelen nooit meer in het systeem kunnen dringen. Maar als dat bij jou net iets moeilijker lukt, gaan ze liever naar de buren met een zwakkere beveiliging. Zo maakt ook het regelmatig installeren van updates het systeem niet volledig veilig, maar de foutjes die erin zitten zijn nog niet ontdekt.” De toename van via het internet verbonden draadloze sensoren in de kas vormt een nieuwe potentiële toegangspoort. Bedrijven met productievestigingen in Afrikaanse landen lopen extra risico, omdat algehele internetbeveiliging daar vaak op een lager niveau ligt.
Tekst gaat door onder het kader
Leveranciers
Contacten met externe partijen vragen eveneens aandacht. Klein Baltink: “Hebben zij alles op orde? Draait jouw data op een server van een ander? Wat betekent het voor jouw bedrijfsprocessen als die data niet meer bereikbaar is vanwege cyberproblemen bij hen?”
Glastuinbouwbedrijven hebben steeds meer koppelingen via internet met andere bedrijven. Zoals externe leveranciers die kunnen inloggen om op afstand hun installaties en apparatuur te kunnen monitoren, aansturen en problemen te verhelpen. Dat kan gaan van wkk’s, klimaatcomputers en sorteerinstallaties tot kopieerapparaten en de koffieautomaat. “Wat betekent het voor de veiligheid en de bedrijfscontinuïteit van het glastuinbouwbedrijf als zo’n externe partij gehackt wordt? Weet je of je toeleverancier in staat is om dingen op te lossen als er iets misgaat? En is het contractueel helder vastgelegd in welke mate zo’n toeleverancier verantwoordelijk gehouden kan worden als je bedrijf er toch schade door lijdt? Zeker bij een hechte persoonlijke relatie met toeleveranciers is het extra belangrijk om concreet en zakelijk dingen vast te leggen, zodat het niet extra lastig wordt als er iets fout gaat.”
“Denk ook eens aan dataportabiliteit. Als een contract met een bepaalde toeleverancier afloopt, of je wilt het opzeggen, kan alle informatie dan zonder problemen overgezet worden naar een andere toeleverancier?”
Mens en procedures
Naast technische systeemmiddelenbescherming spelen ook personeel en het hanteren van duidelijke veiligheidsprocedures een rol bij de weerbaarheid tegen cyberaanvallen. “Er hoeft maar één medewerker te zijn met een zwak wachtwoord, en hackers kunnen steeds verder gaan binnendringen in het digitale bedrijfsnetwerk. En als personeel in de pauze even een bestelling doet bij een postorderbedrijf, is dat dan dezelfde pc waar ook de boekhouding op staat?”
Tijdens een bezoek bij een teler bleken alle sensoren in de kas aangesloten te zijn op een computer die niet met een wachtwoord beveiligd was. Klein Baltink: “En hier en daar kom je zelfs nog voor het gemak post-its op de computer tegen, met daarop als geheugensteuntje de wachtwoorden. Of er zit geen slot op de serverruimte. En als je dat wel netjes doet, neem dan geen digitaal slot, want dat doet het ook niet meer als je systemen toch platgelegd zouden worden.”
Tekst gaat door onder de foto
Phishing mails
Phishing mails proberen te verleiden tot het aanklikken van een linkje, waarmee hackers code op de computer kunnen installeren, waardoor criminelen bij alles kunnen meekijken en volgen of er interessante data beschikbaar komt. Deze phishing mails worden steeds persoonlijker. “Let daarbij ook zelf op wat je op LinkedIn of Twitter zet over waar je mee bezig bent binnen het bedrijf, of wat een tijdelijk gedetacheerde daar met trots meldt over het specifieke project waar hij bij jou mee bezig is. Dit kan waardevolle informatie zijn voor criminelen om heel gedetailleerde bedrijfsinformatie te verzamelen, waarmee extra vertrouwen gewonnen kan worden bij een personeelslid om effect te scoren met phishing mail.”
Een aanverwante vorm van fraude is het binnendringen in de mail en meelezen. En dan een ontvangen betalingsopdracht net ietsje veranderen, waardoor het bedrag overgemaakt wordt naar de rekening van de crimineel.
Criminelen gaan pas iets met de verkregen informatie doen op het moment dat dit als lucratief wordt beschouwd. “Als een computersysteem daadwerkelijk wordt gehackt, zou het best kunnen zijn dat er een jaar daarvoor al ingebroken is via een lek.”
Helderheid over procedures helpt problemen te voorkomen. “Wat als iemand op straat voor het bedrijf een heel mooie USB-stick vindt, met enorm veel gigabytes geheugen? Zijn medewerkers er dan op getraind om die nooit in hun computer te steken, vanuit de verleiding om te kijken of ze de inhoud kunnen wissen om de USB-stick voortaan privé te gebruiken. Want als iemand hem met kwade bedoelingen heeft neergelegd, kan het systeem binnen een paar seconden geïnfiltreerd zijn of overgenomen.”
Zinn: “Een goede bedrijfscultuur is de beste maatregel tegen cybercriminaliteit. Straf medewerkers dus niet af als ze iets fout doen, bijvoorbeeld door het openen van phishing mail, maar stimuleer juist dat ze het direct open kunnen delen, zodat je snel maatregelen kunt treffen. Dat geldt ook voor als ze hun laptop of smartphone met waardevolle informatie kwijt zijn.”
‘Security by design’
Veiligheid moet tegenwoordig aan de basis liggen van alles wat met IT en automatisering te maken heeft. Dat zegt Ronald Hoek van tuinbouwautomatiseringsbedrijf en AI-expert Blue Radix. “Privacy en security by design, noemen we dat. Bij alle producten en diensten moet je al vanaf het allereerste ontwerp nadenken over hoe veilig het moet zijn en hoe het kan voldoen aan de eisen en standaarden in de markt. Wat je ook moet doen, is regelmatig door een extern bedrijf laten testen of je softwareomgeving veilig is. Dat noem je ‘ethical hacking’, oftewel ethisch hacken. We huren een bedrijf in dat heel gericht in onze opdracht gaat proberen om onze systemen te kraken. Dat helpt ons om eventuele zwakheden op tijd bij te stellen. We nemen dat heel serieus en het is zeker niet iets om te onderschatten! Ook de energieprocessen, die we dagelijks optimaliseren en sturen, vereisen de hoogste niveaus van veiligheid.”
Lees het interview met Ronald Hoek in de digitale uitgave van Groenten & Fruit.