Samenwerking Tech2B en CWB om toeleverketens minder kwetsbaar te maken

De digitalisering maakt de maakindustrie een alsmaar aantrekkelijker doelwit voor cybercriminelen. Het Cyber Weerbaarheidscentrum Brainport (CWB) vertaalt de expertise die grote bedrijven op dit vlak opbouwen naar het mkb-maakbedrijf. En het brengt bedrijven bijeen, zodat ze van elkaar kunnen leren. De mens blijft echter de zwakste schakel als het om cybersecurity gaat, constateert Paul van Nunen, directeur Brainport Development. Daarom hoort cybersecurity Chefsache te zijn. De realiteit is echter anders. Kan een platform zoals Tech2B hierin een rol spelen?

De digitalisering van complete toeleverketens zorgt ervoor dat cybersecurity hoog op de
agenda van elk maakbedrijf zou moeten staan. Hiervoor maakt het niks uit of alle machines
in de werkplaats aan het internet gekoppeld zijn of niet. Via de kantoorautomatisering
kunnen cybercriminelen binnendringen en een onderneming volledig plat leggen. “Een
digitale gijzelactie legt je operationele kant van het bedrijf stil; ze bevriezen data en eisen
losgeld”, zegt Paul van Nunen. En als het ze niet direct om geld te doen is, kijken ze mee naar
wat er in je bedrijf gebeurt: orders, processen, onderdelen die je produceert. “Want naast
geldelijk gewin is de tweede reden waarom hackers binnendringen dat ze op zoek zijn naar
informatie over technologie en bedrijfsprocessen.” Pure spionage. En een derde reden heeft
meer met de geopolitieke ontwikkelingen te maken. Sommige landen zoeken naar manieren
om belangrijke sectoren in Europa plat te leggen, om daarmee de samenleving en de
economie te ontwrichten.

Eén incident kan de hele keten platleggen

Redenen genoeg dus waarom cybercriminelen het gemunt hebben op de IT-systemen van
onder andere productiebedrijven. Nu de partners in de lange toeleveringsketens in de
maakindustrie digitaal steeds verder verstrengeld raken, neemt het risico toe dat zo’n keten
geraakt wordt. De hightech maakindustrie in Nederland is daarbij extra interessant omdat
het platleggen van bedrijven in deze sector meer schade veroorzaakt dan wanneer de bakker
om de hoek niet meer kan bakken omdat zijn IT-systeem gegijzeld is. Dat geldt zeker nu de
halfgeleider toeleveringsindustrie als een belangrijke sector voor de Nederlandse economie
wordt gezien. Paul van Nunen: “Elk bedrijf is een schakel in die keten. Digitaal binnendringen

bij één van deze schakels kan de hele keten platleggen.“ Dat hoeft niet eens te gebeuren
doordat men via de achterdeur van een kleinere toeleverancier doordringt tot de IT-systemen van een OEM. “Er zit veel compartimentering tussen de schakels. Maar als een
klein bedrijf dat belangrijke onderdelen maakt voor een hightech machine niet kan produceren, kan de OEM de machine niet afbouwen. Dat hebben we tijdens corona gezien
en vorig jaar na de inval in Oekraïne. Als één belangrijk onderdeel ontbreekt, werkt het hele
systeem niet.” 

Helft zet cybersecurity niet op de agenda

Daarom heeft de Brainport regio het thema hoog op de agenda gezet. Niet onterecht, als je
naar recente cijfers kijkt. Het Cyberweerbaarheidsonderzoek MKB Brabant 2022 wees
verleden jaar uit dat 51,5% van de deelnemers - het Brabantse MKB - al eens te maken heeft
gehad met een cybersecurity incident. Paul van Nunen denkt dat dit cijfer in werkelijkheid
hoger ligt, omdat bedrijven het vaak lastig vinden toe te geven dat cybercriminelen tot in
hun systemen zijn doorgedrongen. “Ze willen een betrouwbare partner zijn.” Deze
terughoudendheid is onterecht, vindt de directeur van Brainport Development. De stappen
die het bedrijf in de eerste uren zet, zijn cruciaal. “Daar ondersteunen wij bedrijven bij, zodat
ze snel toegang krijgen tot experts die ze kunnen helpen.” Hij schat dat in de maakindustrie
zeker twee op de vijf bedrijven al eens te maken heeft gehad met cyber criminaliteit.
“Maakbedrijven zijn bovengemiddeld interessant.” Daarom is een tweede cijfer uit het
eerdergenoemde onderzoek eigenlijk alarmerender: bij amper de helft van de bedrijven
staat cybersecurity op de agenda. Cybersecurity is voor veel bedrijven iets abstracts; ze
denken het probleem opgelost te hebben door hun IT-beheer uit te besteden.
“Cybersecurity begint echter bij awareness. Alle medewerkers moeten zich bewust zijn van
het risico. Alert zijn dat passwords regelmatig vernieuwd worden. Je laptop dichtklappen als
je je werkplek verlaat. Niet zomaar bijlagen openen. De grootste kwetsbaarheid is de
menselijke factor”, merkt Paul van Nunen op. Het Cyberweerbaarheidscentrum Brainport
heeft daarom kenniskaarten ontwikkeld die medewerkers in de maakindustrie heel praktische tips geven hoe ze risico’s kunnen indammen.

Selectie argument voor inkopers 

Het woord is al gevallen: betrouwbaarheid. Maakbedrijven, waar ook in de keten, willen
naar hun klanten als een betrouwbare partner overkomen. Dat zul je als maakbedrijf over
een aantal jaren moeten aantonen. Er komt wetgeving die dit afdwingt. Het CWB heeft
samen met partners een certificeringsschema ontwikkeld. Dit is afgeleid van ISO27001 en
bedoeld voor bedrijven voor wie ISO-certificering niet noodzakelijk is. Het CWB heeft drie
maturityniveaus gedefinieerd: basic, intermediate en advanced. Een maakbedrijf dat deze
drie niveaus doorloopt, krijgt een certificaat waarmee ze naar anderen kunnen aantonen veilig te werken. Awareness creëren is onderdeel van de stappen die gezet moeten worden om voor certificering in aanmerking te komen. Ook Tech2B, het platform dat de bedrijven in de hightech ketens verbindt, gaat zowel inkopers als kleinere maakbedrijven ondersteunen op weg naar deze toekomst. In hun profiel kunnen maakbedrijven aangeven welke Cyra security ranking ze hebben en of ze eventueel al gecertificeerd zijn. “Als inkopers bedrijven willen uitnodigen voor een RFQ (Request for Quote), kunnen ze in de toekomst security aanvinken als voorwaarde. Cybersecurity wordt onderdeel van het businessmodel. Certificering kan dan doorslaggevend worden om een order te krijgen”, zegt Sjors Hooijen, CEO van Tech2B. Daarnaast gaat het platform de kenniskaarten die het Cyberweerbaarheidscentrum heeft ontwikkeld om bedrijven te helpen met de eerste stappen op het vlak van cybersecurity, aanbieden op het kennisdeling gedeelte van het Tech2B platform. “Door samen te werken, maken we meer bedrijven bewust van de gevaren.” Het team dat op de achtergrond dagelijks aan de ontwikkeling van het platform werkt, besteedt daarbij continu aandacht aan de veiligheid ervan. Het platform laat elk kwartaal een externe partij een security check uitvoeren, de nieuwste standaarden uit de IT worden toegepast.

Paul van Nunen vindt dat elk maakbedrijf het onderwerp hoog op de agenda moet zetten.
Directeur-eigenaren moeten zich er actief mee gaan bemoeien. “De directeur moet het
willen. Het is Chefsache. Want cybersecurity raakt direct aan je primaire proces. Het idee dat
je een actie onderneemt en dan alles geregeld hebt, is een illusie. Dat komt enerzijds
doordat cybercriminelen razendsnel nieuwe methoden en technieken ontwikkelen en
anderzijds doordat de menselijke factor de zwakste schakel blijft. Daar moet je continu
aandacht aan blijven geven.”

Paul van Nunen - Directeur Brainport Development | Sjors Hooijen - CEO Tech2B