Heb jij een IT- en OT-beleid? Proficiat! Dan behoor je tot de lucky few: slechts 34% van de Belgische industriële maakbedrijven zet hierop in. Zonde, want veel bedrijven zijn niet voldoende beveiligd en lopen zo het risico slachtoffer te worden van een cyberaanval. Ook voedingsbedrijven kunnen hier helaas over meespreken. Ontdek hoe een OT-beleid jouw bedrijf kan beschermen tegen ongewenste digitale manipulatie.
MANIPULATIE VANOP AFSTAND
'Food defense' en voedselveiligheid zijn niet langer een kwestie van fysieke beveiligingsmaatregelen. Op afstand kan een cybercrimineel toegang krijgen tot jullie productiemachines en recepturen manipuleren. Jouw productie is mogelijks een doelwit voor criminelen, enerzijds doordat jouw machines mogelijk verouderd zijn en verbonden zijn met het internet, en anderzijds omdat een OT-beleid zelden aanwezig is in een voedingsbedrijf.
WAT IS HET VERSCHIL TUSSEN IT EN OT?
IT staat voor Information Technology – ofwel informatietechnologie. Denk hierbij aan alles wat je gebruikt op een kantoor: computers, printers, netwerken, e-mail, softwareprogramma’s enzovoort. IT zorgt ervoor dat je administratie, communicatie en gegevensverwerking vlot verlopen.
OT betekent Operational Technology, oftewel operationele technologie. Dit heeft te maken met machines, installaties en apparatuur die je productie draaiende houden. Denk aan transportbanden, verpakkingsmachines, ovens of robots in een fabriek.
Vroeger werkten deze productiemachines op zichzelf, los van het internet. Ze waren dus minder kwetsbaar voor digitale aanvallen. Tegenwoordig zijn veel van deze machines verbonden met het bedrijfsnetwerk, zodat ze efficiënter en slimmer kunnen werken. Hierdoor komen IT en OT steeds meer met elkaar in contact.
Maar dat betekent ook dat een zwakke plek in de IT – zoals een slecht beveiligd wachtwoord of een phishingmail – ineens gevolgen kan hebben voor de productie zelf. En dat maakt een goed OT-beleid noodzakelijk.
Slechts in 34% van de voedingsbedrijven is een OT-beleid aanwezig, terwijl een IT-beleid in de meeste bedrijven wel aanwezig is (zoals een incident response plan en business continuity plan). Hoog tijd dus om van een OT-beleid een prioriteit te maken!
VERDEDIGINGSSTRATEGIE MET TWEE LINIES
Gelukkig hoef je het warm water niet opnieuw uit te vinden. Veel principes uit crisismanagement bieden al een sterke eerste houvast. Om je beter te beschermen als bedrijf, moet je je eerst bewust zijn van de potentiële risico’s. Identificeer dus alle kwetsbaarheden en breng de mogelijke bedreigingen in kaart. Vervolgens kan je een verdediging opbouwen. In de eerste linie staan de technische maatregelen zoals netwerksegmentatie, antivirus, een back-up van alle informatie, een update van alle programma’s, identiteiten toegangsbeheer ...
Jouw medewerkers staan in de tweede linie. Zorg ervoor dat ze verdachte e-mails kunnen herkennen en weten hoe hiermee om te gaan. Zo creëer je een menselijke firewall.
10 TIPS OM CYBERSECURITY ‘TOP OF MIND’ TE MAKEN
Hoe begin je hieraan? Er bestaan heel veel gratis tools die jouw bedrijf naar een hoger cyberveiligheidsniveau kunnen tillen.
Zorg ervoor dat cybersecurity leeft in jouw bedrijf en bij jouw medewerkers:
- Neem deel aan nationale initiatieven om de cyber security awareness te vergroten in België. Hang bijvoorbeeld posters op van de nationale campagne van het Center for Cybersecurity Belgium, of stuur een awarenessfilmpje door.
- Creëer een rubriek met cyber news. Stuur actuele voorbeelden door en geef enkele lessons learned mee.
- Geef een cyberopleiding en laat de medewerkers actief participeren. Laat ze bijvoorbeeld valse e-mails ontmaskeren of de zwakke plekken in het bedrijf benoemen.
- Organiseer een cyber challenge: hoe zou jij jouw collega’s laten klikken? Schrijf een phishing e-mail; de beste e-mail krijgt een prijs. Zo kruipen ze in het brein van een cybercrimineel én worden ze zich bewust van hun eigen klikgedrag. Bovendien levert dit goede voorbeelden op om een phishingtest op te stellen.
- Laat een cyber escaperoom komen in jouw bedrijf. Op een interactieve manier dompel je de medewerkers onder in de wereld van hackers. Zij moeten ervoor zorgen dat jouw bedrijf niet gehackt wordt. Het is een eyeopener voor velen en ze zullen er nog lang over napraten.
Het werk zit er helaas nog niet op. Hoe weet je nu of je beschermd bent? Werken jouw back-ups wel? Hebben jouw medewerkers het begrepen? Investeer in Incident Response Management.
- Test regelmatig jouw back-up en herstelstrategie.
- Plan jaarlijks een veiligheidsaudit. Een externe partner of ethische hacker kan hierbij helpen.
- Organiseer jaarlijks een simulatie-oefening. Dit kan bijvoorbeeld volgend scenario
zijn: een hr-medewerker heeft een besmette USB-stick in zijn pc gestoken. Hierdoor zijn alle documenten geëncrypteerd op de server en werken de machines niet meer. Laat het crisisteam acties bepalen, bekijken welke partner hierbij betrokken kan worden, hoe ze kunnen communiceren met verschillende stakeholders en het businesscontinuïteitsplan bekijken. - Hou je medewerkers scherp door af en toe een valse phishing e-mail te sturen. Klikt een medewerker toch? Dan kan hij of zij automatisch op een e-learning terechtkomen of een bijkomende uitleg ontvangen over hoe een valse mail te herkennen is.
- Laat bedrijfsvreemde USB-sticks rondslingeren (op de parking, aan het onthaal, in een vergaderzaal, in de gang) en traceer wat ermee gebeurt. Steken jouw medewerkers deze in hun pc of komen ze de USB-stick afgeven bij IT?
Nu je weet wat er kan misgaan zonder een OT-beleid, is het tijd om de eerste stappen te zetten naar een cyberbewust bedrijf. Voer een risicoanalyse uit, implementeer beveiligingsmaatregelen, creëer awareness en test of jouw veiligheidsplan werkt. Aan de slag!
Barbara Bonte
Food Security vzw – www.foodsecurity.com