Hacktivisme, criminaliteit en klunzigheid tarten de Nederlandse glastuinbouw. Uit een recente nulmeting van de Haagse Hogeschool blijkt dat door verdergaande digitalisering it-systemen en operationele technologie (ot) steeds meer verweven raken. Organisaties raken afhankelijk van elkaar in hechte supply chains en zijn kwetsbaar als klimaatsystemen, bewateringssystemen en productierobots niet worden aangestuurd. Tien tuinbouworganisaties sloegen de handen ineen.
Volgens een schatting van Greenport West-Holland wordt een op de vijf tuinders slachtoffer van cybercrime. ‘Praat erover! Schaam je niet als je gehackt bent’, zei digital detective Gina Doekhie onlangs tegen Computable. Schaamte; het woord valt regelmatig in gesprekken over cybersecurity. Gehackte ondernemers durven er niet over te praten, bang als ze zijn om de schlemiel van de sector te worden. Een oproep aan glastuinders om openheid van zaken te geven, leverde dan ook niets op.
Overheidsdienst DTC (Digital Trust Center) waarschuwde al bijna driehonderd ondernemers vanwege een actuele digitale dreiging, maar kan geen gedupeerde ondernemer naar voren schuiven voor dit artikel. Ook het onlangs opgerichte CWC (Cyberweerbaarheidscentrum Greenport West-Holland) kan geen naam noemen. Zwijgen is goud. Koppen dicht! Dat is de reflex van de gemiddelde ondernemer.
Digitale (on)veiligheid
Het gebrek aan openheid en gevoel van schaamte wil het CWC gaan doorbreken, zo stelt programmamanager Bert Feskens. Het CWC, een samenwerkingsverband van tien organisaties in de glastuinbouw, wil de kracht van het collectief gaan benutten en kennis delen in een vertrouwde omgeving. Openheid over de dagelijkse praktijk rondom automatisering en digitale (on)veiligheid is dan hard nodig, want de gedroomde toekomst (de autonome kas) komt niet van de grond als ondernemers het vertikken om informatie uit te wisselen.
Volgens Feskens is de tuinbouwketen ‘zo sterk als de zwakste schakel’. Supply chains functioneren als één organisme. Ketenpartners kunnen niet zonder elkaar en door de ingewikkelde ketenafhankelijkheid – een symbiose van toelevering, teelt en handel – heeft iedereen pijn als een ketenpartner niet kan leveren door een hack. De opkomst van drones, robots, kunstmatige intelligentie en iot heeft de wederzijdse afhankelijkheid er niet minder op gemaakt. Kortom: het CWC moet aan de bak. Feskens: ‘Vanaf de tweede helft van 2022 gaan we actief naar buiten. Wij brengen partijen samen en ontwikkelen producten en diensten. Met workshops nemen we bedrijven aan de hand. Samen staan we sterk en kunnen we het onderwerp uit de taboesfeer halen.’
Loket voor slachtofferhulp
Cyberdreiging lijkt de wereld in haar greep te hebben. Superlatieven schieten tekort als we filosoferen over waar het gevaar vandaan komt. Rusland? China? Noord-Korea? Amateurisme van onze eigen overheid? Iedereen heeft er een mening over. Vooruit, het rampscenario van meesterbrein Yuval Noah Harari is nog niet in zicht. Voor zover bekend zijn er nog geen individuen gehackt, maar ondernemingen lopen elke dag risico. En zoals we weten, laat met name bij kleine ondernemers de digitale weerbaarheid te wensen over.
Eind vorig jaar heeft het DTC in het kader van de regeling Cyberweerbaarheid een miljoen euro aan startsubsidies verstrekt aan zes partijen, die kleine en middelgrote ondernemers moeten gaan helpen: de Anti-DDoS-Coalitie, CSSN (Cyber Safety Noord Nederland), DIVD (Dutch Institute for Vulnerability Disclosure), NRBC (Netwerk voor Risk-Based Cyberweerbaarheid), KMO Development en het CWC. Een trukendoos vol met beveiligingsmethodes wordt ingezet om eigenaren van systemen weerbaar te maken: scannen van beveiligingslekken, bestrijden van ddos-aanvallen, opzetten van nieuwe blauwdrukken en uitbreiden van quickscans.
Regionaal expertisecentrum
Het CWC gaat zich richten op de glastuinbouw en moet op termijn hét informatieknooppunt rond cybersecurity in de keten worden. De samenwerking tussen telersverenigingen, coöperaties, handelshuizen, kennisinstellingen, overheden en cybersecurity-dienstverleners moet flink worden aangejaagd om eind 2024 in West-Holland een regionaal expertisecentrum te hebben opgetuigd voor het delen van actuele kennis en dreigingsinformatie, verhogen van bewustzijn, oprichten van een digitaal loket voor slachtofferhulp, verstrekken van adviezen voor hardware, software en procestechnologie en gezamenlijke inkoop van dienstverlening. De intenties zijn er.
Intensievere beveiliging van de glastuinbouw past in het beeld dat wordt geschetst in het ‘Cybersecuritybeeld Nederland 2021’ van de NCTV (Nationaal Coördinator Terrorismebestrijding en Veiligheid) en het NCSC (Nationaal Cyber Security Centrum). Zij concluderen dat de dreiging van ‘gerichte aanvallen op vitale processen’ vanuit criminele organisaties en van ‘statelijke actoren’ onverminderd hoog blijft. Bij vitale sectoren kan onder andere gedacht worden aan de energievoorziening, watervoorziening, (petro)chemie, voedselvoorziening, transport en financiële dienstverlening. NCTV en NCSC stellen dat veel organisaties elementaire veiligheidsmaatregelen missen, zoals het gebruik van sterke wachtwoorden en het tijdig patchen van kwetsbaarheden in systemen.
Tweesporenaanpak Digital Trust Center
Voordat essentiële it- en ot-systemen grondig onder de loep genomen kunnen worden en voor elk systeem een risicoanalyse kan worden uitgevoerd (tweede spoor), moet de basis van digitale veiligheid op niveau zijn, vindt het DTC van het ministerie van Economische Zaken en Klimaat. Het ‘eerste spoor’ omvat beveiligingsmaatregelen om het basisniveau van digitale veiligheid te halen. Deze noodzakelijke maatregelen gelden voor de meeste kleine organisaties.
1. Inventariseer kwetsbaarheden;
2. Kies veilige instellingen;
3. Voer updates uit;
4. Beperk toegang tot systemen en data;
5. Voorkom virussen en andere malware.
Aansturing op afstand
De dreiging zal volgens NCTV en NCSC vooral toenemen in sectoren die hun processen verder automatiseren, zoals de glastuinbouw. Deze sector is in belangrijke mate afhankelijk geworden van digitale systemen. Met name operationele technologie (ot) heeft zich snel ontwikkeld voor het monitoren en aansturen van fysieke processen, systemen en infrastructuur. Verwarming en ventilatie van de kassen wordt vandaag de dag beheerd en aangestuurd met computers. Sensoren en actuatoren in de kas worden gebruikt voor bewatering en bemesting van gewassen en het uitvoeren van metingen. Vaak worden de systemen op afstand bestuurd door een dienstverlener of via een app op de smartphone van de teler.
De stip aan de horizon is efficiënt en datagestuurd telen in autonome kassen, met minimale inzet van (duur en schaars) personeel. Verdergaande digitalisering kan ook helpen om duurzamer om te gaan met energie, water en gewasbeschermingsmiddelen. Maar tegelijkertijd komen ook cybercriminelen en hacktivisten in beeld, blijken ketenpartners het niet zo nauw te nemen met cyberveiligheid, doen gebruikers qua security niet altijd wat ze moeten doen en zien it-beheerders hun gedroomde controle uit de vingers glippen. De genoemde ot-systemen worden aangestuurd door een pc of smartphone, waardoor koppelingen ontstaan met it-systemen. Cyberspionage, ransomware en ddos-aanvallen gelden voortaan ook voor de ot-systemen. Kortom, de integratie van it en ot in de tuinbouw levert nieuwe problemen op.
Telers: weinig zorgen
Telers doen ondertussen vooral waar ze goed in zijn: telen. Uit de nulmeting van de Haagse Hogeschool (uitgevoerd in 2021 en begin 2022) blijkt dat 90 procent van telers zich weinig zorgen maakt over cyberdreiging. Het onderzoek, uitgevoerd op basis van desk research, interviews en een enquête, laat zien dat telers de kans op digitale veiligheidsincidenten laag inschatten omdat zij zichzelf niet als een interessant doelwit zien. Bovendien onderschatten ze de toenemende hoeveelheid (lees: groter aanvalsoppervlak) van it en ot in hun eigen organisatie.
Bert Feskens: ‘Uit het onderzoek blijkt dat weinig organisaties in de tuinbouw een goede risicoanalyse uitvoeren. Vaak worden de gevolgen van het uitvallen van digitale systemen onderschat. De meeste bedrijven in de sector hebben bijna geen menskracht voor security. Ze besteden het uit en maken nauwelijks goede afspraken. Bij grotere organisaties is het iets beter gesteld. Zij hebben wel mensen beschikbaar, rollen en taken toebedeeld en afspraken gemaakt met leveranciers. Maar ook zij lopen risico.’
Ransomware en spear phishing
De gevolgen zijn navenant. Het onderzoek laat zien dat telers in een aantal gevallen slachtoffer zijn (geweest) van storingen, menselijke fouten en ongerichte ransomware-aanvallen die hun it-systemen infecteerden. Uit het onderzoek blijkt dat ruim 5 procent van de telers is getroffen door een serieuze storing met een infrastructurele oorzaak. Iets minder dan 10 procent heeft in de afgelopen twee jaar te maken gehad met aanvallen op de digitale systemen van hun organisatie. Verder geeft nog eens 10 procent aan andere organisaties te kennen die door een cyberaanval zijn getroffen. Voor de ransomware-aanvallen waar ze zelf mee te maken hebben gehad, geven telers aan dat de leverancier van de systemen met back-ups de problemen heeft verholpen.
Naast telers hebben ook handelsorganisaties soms te maken met ransomware-aanvallen. In een enkel geval wordt spear phishing genoemd (phishing is een schot met hagel, spear phishing is een doelgerichte aanval op een individu of organisatie). Zaadveredelingsbedrijven en technische toeleveranciers maken geen melding van ransomware-aanvallen bij henzelf. Wel geven ze aan klanten te kennen die te maken hebben gehad met ransomware-aanvallen en in het verleden te maken te hebben gehad met bedrijfsspionage.
Afspiegeling van mkb
De lijst met cyberincidenten verbaast niemand meer. De glastuinbouw lijkt een afspiegeling van het Nederlandse mkb als geheel. Er is bij kleine ondernemers te weinig kennis over data die ze in huis hebben, de gevoeligheid van data en de gevolgen voor productieprocessen als data in de verkeerde handen terecht komt. Om die reden heeft het DTC de subsidietrajecten in gang gezet.
DTC-woordvoerder Noortje Beckers laat weten dat er al concrete resultaten worden geboekt bij maakbedrijven in Oost-Nederland, die een weerbaarheidsanalyse kunnen laten uitvoeren bij het Cybersecurity Centrum Maakindustrie. Daarvoor is een risicoscan ontwikkeld die alle aspecten analyseert (mens, techniek en organisatie) waar de betreffende ondernemers mee te maken krijgen. De analyse moet inzicht geven in sterke kanten en aandachtspunten.
Een tweede initiatief dat al flink op stoom is heet CYRA (CYber RAting). CYRA is ontwikkeld door CWB, TÜV en ASML voor de high tech-maakindustrie, maar moet straks een nationale standaard worden. Ook kleinere bedrijven (voor wie ISO-certificering geen realistisch traject is) moeten er gebruik van kunnen maken. Dat is precies wat DTC beoogt: mkb’ers helpen.
Michel Verhagen concludeert: ‘We slaan de handen ineen om cyberonveiligheid aan te pakken, want de noodzaak voor weerbaarheid, op organisatieniveau én in de keten, groeit exponentieel. Tegelijkertijd is het voor bedrijven moeilijk om de juiste maatregelen te nemen. Ze zijn zoekende zodra ze aan hun klanten het niveau van paraatheid aan moeten tonen. Wij helpen daar gratis bij. We zijn geen digitale brandweer. We rukken niet uit om te blussen als hun ‘huis’ in brand staat. Wel attenderen we ondernemers er in een vroeg stadium op dat er rook uit hun woning komt.’
(Dit artikel staat ook in Computable-magazine #02-03/22.)
Nederlandse glastuinbouw
De Nederlandse glastuinbouw telt zo’n 2.700 bedrijven en een totale omzet van 18 miljard euro. Daarmee is Nederland een wereldspeler in productie, import en export van groenten en fruit. Naast telers (glasgroente en sierteelt) bestaat de sector uit vermeerderingsbedrijven, zaadveredelingsorganisaties, handelsorganisaties, technisch toeleveranciers en kassenbouwers. De technisch toeleveranciers, kassenbouwers en zaadveredelingsorganisaties niet meegeteld vertegenwoordigde de sector in 2019 een waarde van 7,9 miljard euro. Ongeveer 85 procent hiervan heeft betrekking op de export van groenten, bloemen en planten.
Ook qua werkgelegenheid is de glastuinbouw een belangrijke sector met ruim 87.000 arbeidsjaren. Dat is 1,1 procent van de nationale werkgelegenheid. De glastuinbouw is daarmee één van de belangrijkste motoren voor de Nederlandse economie en leverancier voor de wereldwijde voedselbehoefte. Voor een sector met deze omvang (en dit vitale belang) kan Nederland zich geen cyberincidenten permitteren. Ruud Hoosemans van GroentenFruit Huis: ‘Als sector streven we naar naadloze, transparante, duurzame en veilige ketens waarbij kan worden getraceerd tot de bron. Daarvoor maken we gebruik van de nieuwste ketenstandaarden en technologieën en zullen we er alles aan doen om hackers buiten de deur te houden.’