Hackers zijn slim, dit kun je doen

Melkrobots, klimaatsystemen, precisielandbouw. De landbouw zit vol data en is kwetsbaar voor hackers. Dat besef is er wel onder boeren, maar er is meer actie nodig. Dit kun je doen.Cybercriminaliteit rukt op. Volgens het Wetenschappelijk Onderzoeks- en Documentatiecentrum (WODC) is er een stijgende tendens in de periode 2008-2019. Er zijn meer verdachten van cybercriminaliteit in beeld bij justitie en delicten worden ernstiger. Ook eindigde tot 2014 zo’n 30% van cyberstrafzaken met een onvoorwaardelijke celstraf, terwijl dit in 2015-2018 34 tot 47% was. Datalekken zijn steeds vaker in het nieuws. Recent bij de NAM en de GGD, maar in de landbouw en agribusiness gebeurt dit ook. Zo was distributeur Royal Reesink vorig jaar slachtoffer van hackers. _{Lees verder onder het kader.} Tips om hackers buiten te houden► Open geen vreemde links (phishing) of e-mails met een bekend adres, maar met vreemde inhoud (spoofing).
► Draai consequent updates voor computer, tablet of mobieltje.
► Kies voor elke dienst een apart, sterk wachtwoord.
► Wees met wachtwoorden niet te gemakzuchtig. Kies niet voor achternaam11 en dan 12/13 et cetera. Hackers lopen dit geautomatiseerd na.
► Download bijvoorbeeld de wachtwoordmanager-app en kies een moeilijk te raden volzin als wachtwoord voor de ‘kluis’ als geheel.
► Wees voorzichtig met gasten-wifi, van daaruit kunnen hackers vlot rondspeuren op andere apparatuur. Onder de ‘motorkap’ is wifi meestal niet gescheiden.
► Pas op met IP-beveiligingscamera’s, vaak een zwakke plek op het bedrijf.
► Let op wie je toegang geeft tot bedrijfsdata. Niet iedereen heeft toegang nodig tot specifieke data.Opkomst smart farmingMKB Nederland en VNO NCW hebben in januari een nieuw instrument ontwikkeld om ondernemers weerbaarder maken tegen cyberaanvallen. “Één op de vijf mkb’ers is jaarlijks slachtoffer van cybercriminaliteit en heeft daar financiële schade van”, zegt Rutger Leukfeldt, lector cybersecurity op de Haagse Hogeschool. “Dat varieert van een computer vervangen tot het plunderen van een bedrijfsrekening via phishing of spoofing. Die 20% is waanzinnig veel, het zegt alles over de effecten van digitalisering.” Onder boeren lijkt cyberciminaliteit minder vaak voor te komen, maar door de opkomst van smart farming en internet of things (alle apparaten met internetverbinding die via het web verbonden zijn) wordt ook de landbouw kwetsbaarder. Leukfeldt wijst erop dat niet alleen grote, innovatieve boerenbedrijven met veel data kwetsbaar zijn. Er is ook niet één type hacker. “Er zijn criminelen die heel gericht hacken, maar er zijn er ook die een groot net uitgooien en hopen dat ze wat vangen. En dan zijn er nog digitale vandalen en kruimeldieven. Cyberaanvallen wisselen constant. Wie zich goed wil beveiligen, redt het niet met één of twee maatregelen.”Het gaat hackers niet om jouw data, maar om jouw geldErik van der Heijden is ethisch hacker (iemand die gevraagd wordt om systemen op zwakke plekken te testen door ze aan te vallen) en is als cyber-expert verbonden aan Expertisecentrum Cyberweerbaarheid Limburg waarvoor hij in het mkb bedrijfsscans uitvoert. Van der Heijden merkt dat veel ondernemers denken dat ze veilig zijn. “De gedachte is vaak: mijn data zijn niet interessant, want mijn bedrijf is te klein. Dat kan zo zijn, maar het gaat hackers niet om jouw data, maar om jouw geld. Ze schieten vaak met hagel en als ze iemands bedrijfsdata raken gaan ze daar op af en eisen ze losgeld.” _{Lees verder onder de afbeelding.} Zodra systemen smart zijn, moeten ze ook goed afgesloten worden. - Illustratie: Herman RoozenImpact groter dan schadeHackers kunnen in theorie veel schade aanrichten. Een hack in een melkrobot of klimaatcomputer kan een bedrijf compleet stilleggen. De basis moet daarom op orde zijn. Dat begint met up-to-date software. Zo blijven in ieder geval digitale vandalen buiten de deur. Apparaten die met het web verbonden zijn, moeten sterke en vooral gevarieerde wachtwoorden hebben. “Dat lijkt vanzelfsprekend, maar het gaat vaak fout”, zegt van der Heijden. “Ik zie nog steeds smart devices die bijna open en bloot aan internet hangen. Maar een hacker speurt daar automatisch naar en vaak zijn dit ook weer toegangspoortjes tot andere plekken op het bedrijf of data van leveranciers en verwerkers.” Andere kwetsbare plekken zijn IP-camera’s, gasten-wifi (vaak niet goed afgeschermd) en robots. Alles wat digitaal is, kan gestopt worden. Zodra systemen smart zijn, moeten ze ook goed afgesloten worden. Impact cybercriminaliteit vaak groter dan de schade zelfWie geef je toegang tot bedrijfsdata?Een ander aandachtspunt is toegang tot data. Kijk eerst of personeel per se bij alle bedrijfsdata moet kunnen. Als dit niet nodig is, geef die rechten dan ook niet. Het lek bij de GGD was hier een voorbeeld van. Trek ook altijd rechten in als een werknemer vertrekt. Zelf regie houden, is sowieso belangrijk, stelt Leukfeldt. “Denk na waar in je bedrijfsproces IT een rol speelt. Breng risico’s in kaart en wees er bewust van waar mogelijke lekken kunnen zitten. Dan weet je ook wat je moet doen áls hackers iets platleggen, want in de praktijk is de impact van cybercriminaliteit vaak groter dan de schade zelf. Het is daarom essentieel dat je bedrijfsprocessen snel weer kunt opstarten.”Geen animo voor cyberverzekeringVolgens Leukfeldt is de grootste winst bij de bestrijding van cybercriminaliteit de sterk toegenomen aandacht vanuit lokale overheden, brancheorganisaties en verzekeraars. Vooral die laatste groep is op het onderwerp cybersecurity gesprongen. Interpolis werkt in verschillende sectoren bijvoorbeeld al met een zogenoemde cyberverzekering. In de agrarische sector lijkt er op dat vlak echter nog een wereld te winnen. Verzekeraars geven aan dat boeren op dit moment (nog) geen behoefte hebben aan zo’n verzekering. Interpolis biedt zo’n verzekering dan ook niet aan. “Uit onderzoek onder onze agrarische relaties blijkt dat de prioriteit van boeren niet bij eventuele financiële schade ligt, maar bij het voorkomen ervan. Ze maken zich wel zorgen, maar ze willen vooral inzicht en praktische oplossingen.”Boer staat vaker alleenOpvallend is dat de agrarische sector qua cybersecurity veel minder ‘coöperatief’ is dan andere sectoren. Uit een grootschalige mkb-enquête blijkt dat als een bedrijf slachtoffer is van cybercriminaliteit 83% van de ondernemers weet met wie ze contact op moeten nemen om dit op te lossen. De branche, niet de grootte van het bedrijf, lijkt de bepalende factor te zijn of mkb’ers weten wie ze benaderen. De landbouw blijft hier als branche bij achter.Leukfeldt herkent dit beeld. “Veel boeren zitten in een keten, maar daarbinnen zijn vaak geen afspraken over cybersecurity gemaakt.” In dat opzicht staat de boer meer alleen. Zeker de kleine tot middelgrote bedrijven zijn kwetsbaar, aldus Leukfeldt. “Die groep heeft vaak weinig kennis van cybersecurity en geen opties om dit uit te besteden. Meer afgedwongen regulering van de overheid zou wenselijk zijn om die kennis breder uit te rollen, want vanuit de markt zelf gebeurt dit niet.” _{Lees verder onder de foto.} Corné Kempenaar (58) is senior onderzoeker bij Wageningen University & Research. Precisielandbouw is één van zijn aandachtsgebieden. - Foto: Koos Groenewold‘Grootste risico daar waar het meeste geld zit, zoals een bewaarloods’Er is weinig niet gedigitaliseerd in precisielandbouw. Of het nou om bodem, klimaat, gewasgroei of biodiversiteit gaat. Telers hebben alle informatie op hun mobieltje en/of tablet en dat maakt kwetsbaar. “Er is een wolk aan data”, aldus Corné Kempenaar.

Hoe veilig zijn die data?
“Het kan altijd beter, maar die data zijn met de juiste softwarepakketten relatief veilig. Als je sterke, niet te voor de hand liggende wachtwoorden gebruikt en die regelmatig wijzigt, ben je een heel eind. Het is ook belangrijk om niet te veel verschillende verbindingen te hebben en altijd back-ups te maken. Want als hackers eenmaal in een systeem zitten, kunnen ze ook van afstand je gegevens wijzigen.”

Wat zijn de grootste risico’s?
“Bedrijfsprocessen waar het meeste geld in omgaat. In de akkerbouw zijn dat bewaarloodsen. Als een hacker daar inbreekt en het proces stil kan leggen, zijn de gevolgen groot. Ook kwetsbaar is de teeltregistratie; rapportages met bedrijfsdata. Als je die kwijtraakt, raak je je product niet meer kwijt. Op verwerkende bedrijven zijn daar al voorbeelden van. Die moesten na een hack veel investeren in back-ups van rapportages of losgeld betalen.”

En robotisering?
“Dat is een aandachtspunt. Er komen steeds meer veldrobots en voor hackers is dat heel interessant. De besturing overnemen kan grote problemen geven.”

Zien boeren dit risico?
“Er is bewustwording, maar het mag meer. Dat komt ook doordat boeren relatief weinig gehackt worden. Het is de ver-van-mijn-bedshow. Hackers richten hun vizier meer op de grote vissen in de agroketen, maar dat ontslaat je niet van de plicht om er mee bezig te zijn.”

Zijn er andere risico’s met data?
“Ja, als boer sta je altijd het zwakst in de data-discussie. Je krijgt moeilijk datavoordeel. Een voorbeeld: grote verwerkers die investeren in satellietbeelden waarmee ze opbrengstschattingen kunnen doen als de boer nog moet verkopen. De koper heeft dan voorkennis. Daarnaast moet je als sector en teler scherp zijn op je data. Zo werden data van teeltregistratie voorheen bijvoorbeeld soms doorgeleverd voor marketingdoeleinden. De Gedragscode Datagebruik Akkerbouw maakte daar een einde aan.” _{Lees verder onder de foto.} Lely is als fabrikant van voer-, melk- en mestrobots kwetsbaar als hackers willen inbreken. Er zijn immers veel data beschikbaar. Het bedrijf laat zijn systemen daarom jaarlijks bewust aanvallen en testen op zwakke plekken door ethische hackers. - Foto: Hans PrinsenZo beveiligen grote agrobedrijven als Lely en Fancom hun dataLely levert melk-, voer- en mestrobots en data daarvan zijn kwetsbaar. Daarom installeert het bedrijf zelf managementsystemen bij boeren en voert het ook automatisch updates uit. Lely maakt gebruik van een lokaal netwerk en schermt alle apparaten af van een directe internetverbinding. Externe partijen waarmee data gedeeld kunnen worden, worden standaard geaudit door Lely. Ook laat het bedrijf zichzelf jaarlijks ‘aanvallen’ door ethische hackers om eventuele zwakke plekken te ontdekken en up-to-date te blijven. Zelf heeft het bedrijf acht beveiligingsspecialisten in dienst. Lely merkt wel dat het bewustzijn bij boeren beter kan. Een bedrijfscomputer of -tablet is vaak onvoldoende geïsoleerd.

Meekijken in bedrijfscomputers
Fancom – actief in smart farming – koopt extra kennis in om de beveiliging op orde te houden. Via een bedrijf dat gespecialiseerd is in cybersecurity. Zelf kan Fancom bij boeren meekijken in bedrijfscomputers in stallen. Met sterke wachtwoordbeveiliging en een boer moet telkens toestemming geven. Binnen Fancom zijn er maximaal tien medewerkers die rechten hebben om dit te doen. Die toegang is bewust beperkt. Bewustwording onder eigen personeel speelt een grote rol. Medewerkers krijgen jaarlijks een online training cybersecurity. Tot slot heeft Fancom elke maand een securitycall met zusterbedrijven om up-to-date te blijven en van elkaar te leren.