‘Als het niet is beveiligd, is het ook niet veilig’

‘Machineveiligheid en cybersecurity gaan hand in hand.’ Jalal Bouhdada van de Amsterdamse securityspecialist Applied Risk constateert dat de industrie dat steeds meer inziet. ‘Als het niet is beveiligd, is het ook niet veilig.’ Bij bedrijven begint dat kwartje te vallen. ‘De producten die ze leveren, moeten cyberveilig zijn. Hun klanten willen vaak niet eens zakendoen als niet kan worden aangetoond dat de beveiliging op orde is.’

Bouhdada ziet dat als een positieve verandering. ‘Vroeger moesten we praten als Brugman om bedrijven te overtuigen dat ze in cybersecurity moesten investeren. De meeste zaten nog in de ontkenningsfase. Nu luisteren ze wel, omdat het onderdeel is van hun eigen kwaliteitseisen. En omdat alle cyberaanvallen en gijzelsoftwaregevallen iedereen nerveus hebben gemaakt.’

Lang niet iedereen is echter al overtuigd. Bouhdada ziet dat het verschilt per regio. ‘We hadden pas een klant uit het Verre Oosten’, vertelt hij. ‘Hij had ons gevraagd om zijn product door te lichten op het gebied van cybersecurity. Het bleek dat er heel veel kwetsbaarheden in zaten. Dat hebben we netjes gecommuniceerd. Maar in plaats van het op te pakken en te fiksen, hebben ze simpelweg het product van hun site gehaald. Heel apart.’

Andere bedrijven zien cybersecurity niet als hun corebusiness. ‘Die partijen pakken het heel opportunistisch aan en investeren alleen als klanten er expliciet om vragen of wanneer ze worden verplicht door wetgeving. Ze verkopen hun onbeveiligde producten zonder pardon en leggen de verantwoordelijkheid voor de security bij de eindgebruiker. Dat kan natuurlijk niet’, vindt Bouhdada. ‘Dat is net zoiets als een auto verkopen en van de nieuwe eigenaar verwachten dat hij zelf een gordel inbouwt. Als koper moet je ervan uit kunnen gaan dat een product veilig en beveiligd is.’

Blijven investeren

Een belangrijke reden dat cybersecurity soms wordt genegeerd, zijn de kosten. ‘Dat is de olifant in de kamer’, weet Bouhdada. ‘Machinebouwers zeggen wel dat ze op de hoogte zijn van het belang van cybersecurity en dat ze weten wat er moet gebeuren, maar wie gaat er voor de kosten opdraaien? Want om cyberveilig te zijn, moet je nu eenmaal extra kosten maken. Uiteindelijk betaalt de eindklant, maar als fabrikant wil je jezelf natuurlijk niet uit de markt prijzen.’

Dat is een lastige discussie die bij machineveiligheid ook speelt: je steekt als fabrikant extra tijd en geld in je systeem om het veiliger te maken, maar daarmee win je zelf geen geld; je voorkomt alleen potentiële kosten bij de gebruiker. Bouhdada: ‘Het is natuurlijk een spectrum met verschillende visies, maar veel eindklanten zien inmiddels de return on investment. Als er iets fout gaat, kan het immers zo maar tien of honderd keer duurder worden, plus alle imagoschade.’

Grote bedrijven kunnen voldoende budget vrijmaken voor cybersecurity en hebben vaak een heel team opgetuigd. Natuurlijk om een kwalitatief goed product in de markt te zetten, maar ook omdat het vanuit marketingperspectief interessant is om aan de buitenwereld te laten zien dat ze cybersecurity serieus nemen. Kleinere bedrijven, met minder diepe zakken, worstelen vaak. ‘Natuurlijk zijn er mkb’ers waar het goed gaat, maar over het algemeen hebben ze het lastiger om geld vrij te maken voor cybersecurity’, ziet Bouhdada. ‘Het is ook een kwestie van cultuur en voldoende kennis in huis hebben.’

Hoeveel kost het om je systeem te beveiligen? ‘Dat begint bij een paar duizend euro en kan oplopen tot in de miljoenen voor heel grote installaties’, antwoordt Bouhdada. ‘Zeker als je gaat praten over complexe zaken als security development lifecycles, broncodereviews, threat modeling, risicoanalyses en pentest heb je een heel team nodig, of een externe partner die je voor langere tijd aan je verbindt. Cybersecurity lukt je namelijk niet in een paar dagen; het is een continu proces waarin je moet blijven investeren.’

Behalve het prijskaartje is ook de beschikbaarheid van de benodigde kennis en expertise een uitdaging. ‘Het is op dit moment heel lastig om goede specialisten te vinden. Ze zijn er gewoon niet en dat wordt de komende jaren ook niet beter, vrees ik’, aldus Bouhdada, die het in zijn eigen bedrijf Applied Risk aan den lijve ondervindt. ‘We zijn zelf ook gedwongen om mensen uit het buitenland te halen. Maar grotere bedrijven lopen daar net zo goed tegenaan. Ook al hebben ze een eigen cybersecurityafdeling, toch komen ze heel regelmatig capaciteit tekort.’

Maak een rampenplan

Silver bullets zijn er niet in de strijd tegen cybercriminelen. Dat betekent zeker niet dat bedrijven overgeleverd zijn aan het toeval en moeten hopen dat hackers ze niet interessant genoeg vinden. ‘Bovendien hoef je geen target te zijn om toch slachtoffer te worden’, waarschuwt Bouhdada. ‘De code wordt willekeurig rondgestuurd en degene die toevallig op de link klikt, zit met de gebakken peren.’

Als je wordt getroffen, is het vooral zaak om snel te reageren en de impact beperkt te houden. ‘Uit ons rapport ‘Architecting the next generation for OT security’ blijkt dat 52 procent van de organisaties een vorm van incidentrespons heeft uitgewerkt’, vertelt Bouhdada. Dat klinkt heel redelijk, maar het betekent natuurlijk ook dat bijna de helft van de bedrijven helemaal niks op papier hebben staan. ‘En een plan is ook maar een plan. Onder druk, in het heetst van de strijd, moet je rustig blijven. Er komen allerlei emoties naar boven, paniek, woede, maar het dat helpt geen zier. Je moet de juiste mensen hebben die de juiste beslissingen nemen.’

Een eerste vereiste is dat je als bedrijf moet weten welke systemen je eigenlijk in huis hebt. Dat lijkt triviaal, maar Bouhdada heeft het in de praktijk al vaak zien misgaan. ‘Je kunt niet beschermen wat je niet kent. Soms weten de hackers beter hoe de systemen in elkaar zitten dan hun slachtoffer. Helaas is dat de realiteit. Applied Risk kan dan wel helpen om een nieuw en beter systeem op te tuigen, maar daarmee heb je je gegijzelde data en bestanden niet terug. Daarvoor moet je waarschijnlijk in de buidel tasten.’

Bouhdada adviseert om te focussen op de basis. ‘Zorg dat je geen makkelijk slachtoffer bent. Ik heb genoeg gevallen voorbij zien komen die te voorkomen waren geweest; dat is zonde. Richt je eerst op zaken als fysieke en softwarematige toegangscontrole, netwerkscheiding, monitoring van je omgeving, en natuurlijk, maak backups en stel een rampenplan op. En blijf voortdurend toetsen, verifiëren en testen.’

Omdat bedrijven in een toeleverketen steeds nauwer verbonden zijn, is het ook zaak om verder te kijken dan de muren van je eigen bedrijf. Als cybercriminelen je willen aanvallen, komen ze regelmatig via een toeleverancier naar binnen. Bouhdada: ‘Dat vraagt dus om samenwerking en open communicatie, hoe moeilijk dat misschien ook is.’

Hoe ver moet je daarin gaan? ‘Niet voor alle industrieën is het nodig om de keten volledig door te lichten. Maar als het gaat om bijvoorbeeld vitale infrastructuur of andere kritische applicaties, is het cruciaal om ver in te zoomen en alles te traceren. Bij elk stukje code moet je je afvragen waar het vandaan komt. Bedrijven en toeleveranciers in die sectoren zijn daar helemaal op ingericht en weten niet beter.’

Met cybersecurity is het net als met inbraakbeveiliging: maak het ze niet te makkelijk. Als ze willen binnenkomen, lukt dat altijd, maar je hoeft de deur niet open te zetten. Hoe hoger je de drempel maakt, hoe moeilijker het wordt en hoe groter de kans dat een hacker zijn geluk elders gaat beproeven. ‘Dus er is werk aan de winkel. Maak het ze zo moeilijk mogelijk en zorg dat je snel kunt herstellen’, is Bouhdada’s boodschap. ‘Cybersecurity heb je niet op korte termijn geregeld. Het is een lange reis, dus begin vooral snel.’