De transport- en logistieksector digitaliseert steeds verder en is derhalve een interessant doelwit voor cybercriminelen. Volgens ondernemersorganisatie Transport en Logistiek Nederland (TLN) heeft meer dan veertig procent van de logistiekbedrijven al eens te maken gehad met cybercriminaliteit. Santosh Sharman, cybersecurity-expert bij certificeringsspecialist Kiwa, gaat dieper in op de digitale veiligheidsrisico’s voor de logistieke sector en vertelt wat ondernemers hiertegen kunnen doen.
De transport- en logistieksector knoopt onze maatschappij bijna letterlijk aan elkaar. Vervoer is een belangrijk onderdeel van vrijwel elke supply chain en is cruciaal voor ons dagelijks leven. Van kaas in de supermarkt en smartphones in een elektronicazaak tot vakantiereisjes en businessmeetings, de transportsector maakt het mogelijk. Het is dus niet lastig om je de impact voor te stellen van een succesvolle cyberaanval in de logistieke sector:
- Verstoring van supply chains waardoor er een (tijdelijke) schaarste ontstaat van essentiële producten als voedsel en medicatie. Ook het vliegverkeer en andere belangrijke diensten zouden tijdelijk niet beschikbaar kunnen zijn.
- Lekken van gevoelige informatie zoals persoonsgegevens van werknemers of financiële gegevens van klanten. Ook zou strategische bedrijfsinformatie in verkeerde handen kunnen vallen.
- Verlies van cruciale bedrijfsinformatie door bijvoorbeeld een ransomwareaanval die belangrijke data versleutelt en hierdoor ‘gijzelt’.
- Grote financiële schade omdat operaties stil komen te liggen door een cyberaanval of doordat er een groot bedrag aan losgeld betaald moet worden.
De gevolgen van een cyberaanval kunnen dus sterk uiteenlopen, maar vast staat dat ze grote schade kunnen veroorzaken, zowel op zakelijk en organisatorisch als op persoonlijk niveau. Het is dan ook belangrijk cyberveiligheid ook in de transport- en logistieksector serieus te nemen.
“Veiligheidsketen is immers zo sterk als de zwakste schakel”
Cyberveiligheid moet worden gezien als een keten. Deze schakels van deze veiligheidsketen bestaan uit processen, mensen en technologieën. Om cyberveiligheid optimaal in te richten, moet gekeken worden naar de gehele keten. Ook bij cyberveiligheid is een keten immers zo sterk als de zwakste schakel. In transport- en logistiekketens is er steeds meer vermenging van digitale techniek met processen en mensen. Dit betekent dat er tussen deze schakels ook steeds meer informatie wordt gedeeld en dat er steeds meer data worden verwerkt en opgeslagen.
Praktijkvoorbeeld
Door deze ontwikkeling zijn cyberrisico’s ook in de vervoersector levensecht. Om die veiligheidsketen in de transport- en logistieksector praktisch handen en voeten te geven, gebruiken we het praktijkvoorbeeld van een pakketje dat moet worden bezorgd. In grote lijnen zou de, vereenvoudigde, veiligheidsketen er dan als volgt uit kunnen zien:
- Ophalen pakketje bij afzender: Hierbij is een belangrijk onderdeel de communicatie tussen de vervoerder en de afzender via bijvoorbeeld een webportaal. Mens, techniek, en proces komen hier samen. Het webportaal zou bijvoorbeeld ‘lek’ kunnen zijn, waardoor bank- en NAW-gegevens informatie over de inhoud van pakketjes in verkeerde handen zouden kunnen vallen.
- Het afleveren van het pakketje bij het sorteercentrum: Ook hier vinden we mensen, processen en techniek terug. Sorteercentra gebruiken geavanceerde processen (die op hun beurt afhankelijk zijn van digitale infrastructuur) om het sorteren zo efficiënt mogelijk te maken. Als hackers via een achterdeurtje in de IT-systemen van het sorteercentrum binnendringen, kunnen processen worden verstoord. Dit leidt uiteraard tot gefrustreerde klanten, extra kosten etc.
- Het ophalen van het pakketje bij het sorteercentrum en de aflevering bij de ontvanger: De vervoerder/bezorger krijgt doorgegeven waar en naar wie het pakketje moet. Een bezorger heeft beschikking over namen en adressen. Dit zou op zich kunnen uitlekken. Dat lijkt misschien niet zo erg, maar deze informatie kan worden misbruikt als onderdeel van een grotere cyberaanval, zoals identiteitsfraude.
Schakel sterker maken
In cybersecurityketens is de zwakste schakel vaak de mens. In de transport- en logistieksector is dat niet anders. Op de volgende manieren kunnen bedrijven de menselijke schakel sterker maken:
- Zorg ervoor dat medewerkers beschikken over de kennis die nodig is om zowel opzettelijke als onopzettelijke cybergevaren te herkennen. Trainingen, challenges, en incentives zijn hierbij handige tools.
- Je kunt ook het ‘zero trust‘-principe hanteren. Dus: vertrouw niets, verifieer alles. Het kost wellicht wat extra moeite om bijvoorbeeld de afzender van mails of de legitimiteit van een document te checken, maar het kan veel ellende voorkomen.
- Houd rekening met insider threats. Dit zijn cyberdreigingen binnen de organisatie zelf, bijvoorbeeld (ex-)werknemers, aannemers of zakenpartners die voorkennis hebben over de beveiligingspraktijken, gegevens en computersystemen van de organisatie.
- Zorg voor regelmatige controle op menselijke handelingen door de gehele keten heen. Dit kan bijvoorbeeld door een security audit uit te laten voeren. Toegang tot informatie, interacties tussen partijen, plekken waar mensen inloggen, de manier waarop informatie wordt opgeslagen: het zijn allemaal acties waarbij mensen betrokken zijn en waar het dus regelmatig fout gaat.
Cybergevaren bevinden zich in de kleinste hoekjes. Om ze, op tijd, te kunnen ontdekken moeten mensen kunnen beschikken over de juiste tools, kennis, houvast en verificatiemiddelen.
Voor meer info: cybersecurity.certification@kiwa.com;
Volg Security Management op LinkedIn