Tholen - Hoge bomen vangen veel wind en succesvolle bedrijven zijn een doelwit van hackers. Als je flink wat omzet draait en digitaal actief bent, weten ze je vroeg of laat wel te vinden, ziet Ronald Prins. Hij maakte furore met cybersecuritybedrijf Fox-IT en helpt nu met Hunt & Hackett onder andere de AGF-handel en de tuinbouw zich te beschermen hiertegen. Ransomware is een risico op korte termijn, bedrijfs- en economische spionage kunnen op lange termijn grote schade toebrengen aan individuele bedrijven en de sector als geheel.
Ronald Prins (rechts) met Jurjen Harskamp, mede co-founder van Hunt & Hackett
Unieke kennis en geld
Ronald merkt dat de tuinbouw en de veredeling op bijzonder veel interesse kan rekenen van APTs, een afkorting voor Advanced Persistent Threat Groups, oftewel hackers. “Sectoren waar Nederland unieke kennis over heeft en geld mee verdient zijn interessant voor ze: de tuinbouw en de veredeling, maar ook de biotech en maritieme sector bijvoorbeeld,” vertelt hij.
De afgelopen jaren is de bekendheid hiervan wel aan het groeien. Zo zoeken bestuurders van bedrijven regelmatig contact met Hunt & Hackett vanwege mogelijke ransomware aanvallen. “Ze lezen in de krant wat de gevolgen van zo’n aanval kunnen zijn. Die staan haaks op wat managers willen: groeien en hun doelen halen. Als je netwerk plat ligt, kunnen ze niets. Het zijn directe risico’s waar je als bedrijf mee te maken krijgt.”
De reden dat de tuinbouw hier een doelwit van is, is het succes van de sector en het hoge digitale niveau. “De ransomware-aanvallers scannen niet het internet af, maar lezen de Financial Times en het FD: wat zijn de succesvolle bedrijven waar technologie een grote rol speelt? Waar zijn de gevolgen groot als we binnendringen?” Bovendien speelt in de AGF-handel de timing een grote rol. “Simpelweg omdat het gaat om versproduct met een beperkte houdbaarheid. Daar zoeken ze uit welk bedrijf over de kop gaat als-ie een week plat ligt, en welke week het belangrijkste is. Rond de Kerst, bijvoorbeeld.”
Met name uit Rusland ziet Hunt & Hackett dit soort aanvallen komen. Het doel is simpelweg geld verdienen: pas als je betaalt, krijg je weer toegang tot je systeem en je back-ups. “En ze weten veel. Als ze eenmaal in je netwerk aanwezig zijn, zoeken ze de pijnpunten op.” Hij vertelt dat ze in de boekhouding zien hoeveel je kunt betalen, welke week omzet technisch het belangrijkste voor je is en welke back-ups ze kapot kunnen maken. “Maar ook hoe ze rond een overnametraject de interne onderzoeken kunnen verstoren. En het zijn serieuze partijen: ze communiceren op managementniveau, bijvoorbeeld met de CFO. En als je pech hebt, kijken ze eerst nog een tijdje mee op zijn computer: wat voor sites bezoekt-ie en met welke vriendinnetjes wordt er op WhatsApp gecommuniceerd? Ook dat wil je niet gepubliceerd hebben. Allemaal manieren om te zorgen dat je betaalt.”
Bedreigingen van onafhankelijke voedselproductie
Ronald beschrijft zo’n ransomware aanval als een kortetermijnrisico. Op lange termijn zijn de risico’s van een slecht beveiligde digitale omgeving anders. Dan speelt het kwijtraken van je intellectueel eigendom een grotere rol, bijvoorbeeld door bedrijfsspionage. “Ze kunnen bij je gegevens, je kennis en je uitvindingen. Bij Nederlandse tuinbouwtoeleveranciers zit er zo zestig jaar tuinbouwkennis of teeltdata in een computer en wordt er flink geïnvesteerd in R&D. Het is kennis over de teelten met daar bovenop alles wat tuinders nog niet wisten. Dat wil je niet kwijt en je wilt ook niet dat je concurrent het in handen krijgt. Je merkt het niet direct, maar dit ondermijnt je business model.”
Als het gaat om bedrijfsspionage, ziet Hunt & Hackett veel activiteit vanuit China. “China heeft de strategie uitgesproken om qua voedselproductie onafhankelijk te worden. Er wordt nu nog veel geïmporteerd. Dat willen ze anders doen. Daarbij gaat het niet eens zozeer om de kosten, maar vooral om de onafhankelijkheid in hun eigen voedselproductie – ze willen die kennis hebben.”
Met name investeerders zijn bezig met het beveiligen van hun intellectuele eigendom en kennis, ziet Ronald. “En dat is niet gek: ze stoppen miljoenen in een bedrijf en willen dat er revenu uitkomt. Bedrijfsspionage kan hier een bedreiging voor zijn, want het is je kapitaal op de lange termijn.”
Tegelijkertijd ziet hij dat de sector er voor een groot deel nog blind voor is – iets waar ook onze academische wereld een rol in speelt. “Het verbaast me soms hoe er samengewerkt wordt binnen universiteiten. Wageningen heeft een enorm belangrijke rol in deze wereld. Dankzij de goede samenwerkingen met de Universiteit kunnen we binnen dit vakgebied als sector vooruit komen. Tegelijkertijd werken ze in de Autonomous Greenhouse Challenge ook samen met partijen als Tencent, een van de grootste bedrijven van China.”
Deze wedstrijd draait om het ontwikkelen van een autonome kas, waar uiteraard internationaal veel vraag naar is, aangezien het mogelijk een weg biedt naar zelfsturende kasprojecten. De wedstrijd trekt ook veel jong talent en veel start-ups presenteren hoe hun oplossing hieraan bij kan dragen. “Voor een kans op 50.000 euro prijzengeld presenteren ze prachtige powerpoints en pitches, inclusief gevoelige informatie die normaal alleen aan potentiële investeerders wordt gedeeld. Op korte termijn lijkt die 50.000 euro misschien veel geld, op lange termijn is het delen van je vitale informatie.”
Bescherming
Genoeg bedreigingen, maar wat te doen? Je bewustzijn is een eerste stap, maar dat is niet genoeg als het om digitale veiligheid gaat. “Dat je niet op phishing linkjes moet klikken is bewustzijn, maar als je daar 99% van je personeel van overtuigt, ben je misschien behoorlijk succesvol en zijn ze nog steeds binnen,” schetst Ronald. Bovendien ziet hij dat veel standaard softwarepakketten ook razendsnel verouderen. “Daarmee zie je vast wat, maar je weet nooit wat je niet ziet. Hackers ontwikkelen zich elke dag. Het blijft een kat-en-muis-spel en daarvoor is een standaard menukaart geen oplossing.” Controleren dus: detecteren of er afwijkend gedrag vastgesteld kan worden in je systemen.
“Zolang je niet controleert en opvolgt, gaat het ze een keer lukken, want hackers hebben oneindig de tijd en ook de capaciteit. Wanneer ze een keer binnen zijn, is het verder makkelijk, maar ook dan zijn ze er nog niet direct. Ze nemen de tijd om je te onderzoeken. Dan ben je zo drie weken verder. Als we ze ergens in die drie weken oppikken, kunnen we de klant helpen.”
Dat doen ze dus door achter de voordeur mee te kijken: security monitoring en anomalie-analyses. “We onderzoeken afwijkend gedrag: verbindingen vanuit je netwerk naar plaatsen die eerder nooit plaatsvonden. Een laptop die opeens verbinding maakt met je R&D afdeling. Dan weet je hopelijk al in een vroeg stadium dat ze proberen in te breken of binnen zijn.”
Op je hoede
Dit soort protocollen en handelingen helpen misschien tegen ransomware en digitale spionage, maar natuurlijk niet tegen het vrijwillig openzetten van deuren. “Dat is ook moeilijk. Commercieel gedreven wil je graag samenwerken. Er zitten veel klanten en veel potentie in landen als Rusland en China. Bij grote projecten daar, moet je ook kennis die kant op brengen. Nederland heeft bovendien een goede positie te danken aan de samenwerkingen en investeringen. Maar kijk eens kritisch: welke technologie halen we op het gebied van tuinbouw uit China? Autonomous Intelligentie is voor China geen exportproduct. Voor ons is het dat wel. Op korte termijn snap ik de wens, maar bedenk wat het betekent voor je lange termijn waarde creatie.”
Overheidsrol
Naast bedrijven hier bewust van te maken, kijkt Ronald voor het gehele pakket digitale veiligheid ook naar de overheid. “Het is enorm jammer dat de BV Nederland aan de ene kant heel trots is op de tuinbouwsector en tegelijkertijd er nauwelijks wat aan doet om ze goed te beschermen. Landen om ons heen leggen een digitaal muurtje om de kroonjuwelen. De Franse inlichtingendienst bijvoorbeeld helpt voorkomen dat alles wat geheim is, gepikt wordt. Wij kunnen bedrijven helpen beschermen en tegelijkertijd is het ook de verantwoordelijkheid van de maatschappij om de AIVD hier het mandaat voor te geven om daar aandacht aan te laten schenken.”
Een overheid kan de drempel voor hackers om zich te richten op Nederlandse bedrijven verhogen. Na de aanval op het Amerikaanse bedrijf Colonial Pipeline Attack, actief in de Amerikaanse brandstofvoorziening, is Biden in gesprek gegaan met Poetin, om vitale Amerikaanse organisaties te beschermen. “Kortgezegd heeft Biden laten zien de hackers terug te pakken en hun installaties kapot te maken als ze vitale organisaties aanvallen. Voor de hackers gaan de risico’s en de kosten omhoog en richten ze zich op andere doelen: in Europa.”
Hij vergelijkt het met het aanpakken van het inbrekersgilde. “Natuurlijk moet je sloten op je huis zetten, maar als inbrekers niet worden aangepakt, blijven ze ook bezig.” De AIVD is hier natuurlijk al deels in actief en de sleepwet speelt er ook een grote rol in. “Als privaat bedrijf kunnen wij dat niet en mogen wij dat niet, de overheid heeft altijd meer mogelijkheden. Alleen de overheid kan op dat niveau zien wat er op internet gebeurt en kan eerder zien dat er aanvallen plaatsvinden. Vergelijk het met de radarsystemen die non-stop detecteren of er raketten naar Europa komen, alleen dan is dit een digitale vorm van terrorisme.”
Voor meer informatie:
Hunt & Hackett
[email protected]
www.huntandhackett.com
24/7 incident response nummer:
+ 31 (0)70 222 0000