De dreigingen, oplossingen & ervaringen in de land- en tuinbouwsector

Op donderdag 10 november 2022 verzamelden medewerkers van enkele tientallen bedrijven zich in het imposante gebouw van Kubo in Monster. Groente- en fruittelers, verhandelaars, logistiek, personeel, de gehele keten van de land- en tuinbouwsector was vertegenwoordigd. Wat deze bedrijven bij elkaar bracht? In één woord: veiligheid. Veiligheid in het digitale domein wel te verstaan. Wie dacht dat digitale veiligheid voor bedrijven uit deze sector een non-issue was, kwam deze middag bedrogen uit.

De vele IT-, security- en compliance managers gingen in gesprek met achtereenvolgens Hugo Vijver, Ronald Prins en Guido Koolschijn, IT en Security verantwoordelijke bij KUBO. Het doel van de sessie was gericht op het delen van inzicht over de digitale dreiging specifiek voor de sector, hoe deze zich manifesteert en wat je hier als organisatie in de land- en tuinbouwsector tegen kunt doen. Hugo Vijver beet de spits af, door een schets te geven van de bredere geopolitieke context, Ronald Prins bracht dat vervolgens terug naar de concrete verschijningsvormen van digitale dreigingen en Guido Koolschijn deelde op zijn beurt de ervaringen van KUBO. 

Status Quo geopolitieke context

Omgeving en dreiging waren de twee factoren die Hugo Vijver met elkaar verbond. De omgeving van bedrijven in de land- en tuinbouwsector wordt steeds complexer. Met een wereldbevolking die eind vorig jaar nog de grens van acht miljard mensen is gepasseerd, wordt de vraag naar voedsel steeds groter. Maar het gaat niet langer alleen om kwantiteit: de wettelijke en maatschappelijke eisen rond kwaliteit van voedsel worden óók steeds hoger. Voedsel moet niet alleen veilig zijn, het moet ook verantwoord zijn, duurzaam geproduceerd, met respect voor het milieu en besparing van water en grondstoffen. Het  liefst ook niet vanuit de andere kant van de wereld ingevlogen. Tegelijkertijd neemt, in tegenstelling tot de wereldbevolking, de beroepsbevolking af. Kortom: we moeten met minder mensen meer voedsel produceren op een betere manier, gebruikmakend van minder grondstoffen en met minder negatieve gevolgen voor de natuurlijke leefomgeving. Daarbij komt ook dat voedsel helaas in tijden van een conflict nog altijd als wapen wordt gebruikt, getuige de Russische blokkades van overzeese graantransporten uit Oekraïne.

De conclusie dat de sector voor een gigantische taak staat, is dan ook niet overdreven. Maar gelukkig is de sector druk bezig zich aan te passen. Er gebeurt van alles om te kunnen blijven voldoen aan de hoge vraag en het complexe eisenpakket dat hieraan is verbonden denk hierbij aan technologische innovaties, gebruik van kunstmatige intelligentie en sensortechnologie. Maar zeker ook digitalisering, robotisering en automatisering. We zien kassen verrijzen in woestijngebieden, robots die de rijpheid van tomaten kunnen bepalen, zelfrijdende tractoren die het land bewerken en bemesten, satellietdata waarmee een optimale gewasbehandeling soms per plant kan worden bepaald - de lijst van wereldwijd ingezette innovaties van Hollandse bodem is eindeloos.

Het gevolg van deze technologische innovaties heeft voornamelijk gevolgen voor het borgen van kennis en voor in hoeverre we afhankelijk zijn van deze ontwikkelingen. Met deze twee factoren is ook de brug gemaakt naar de dreigingsomgeving van de land- en tuinbouwsector.

Ten eerste kennis; de innovatieve kracht van de sector zorgt voor een exponentiële stijging van kennis over efficiënte en kwalitatief hoogwaardige voedselproductie, welke bovendien steeds meer locatie- en seizoensonafhankelijk (aan het worden) is. Het strategische belang van deze kennis kan, gezien de toenemende wereldbevolking en roep om kwalitatief hoogwaardig voedsel, niet langer onderschat worden. 
Ten tweede de factor afhankelijkheid; schaarser wordende grondstoffen, stringentere wet- en regelgeving en digitalisering en automatisering van het voedselproductieproces, maken ons als maatschappij steeds afhankelijker van de innovaties in de land- en tuinbouwsector.

Twee wereldmachten azen op onze kennis en afhankelijkheden.

China is een wereldmacht gebouwd op arbeidskracht, de “fabriek van de wereld” in de woorden van The Economist. Een formidabel arbeidspotentieel voorziet de wereld al decennia van een ogenschijnlijk oneindig scala aan producten. Maar China voert niet de ranglijsten aan van de meest innovatieve landen en is evenmin een smeltkroes van kennis. Daarvoor ontbeert het land het juiste politiek-culturele klimaat. Maar wat China niet heeft, dat “leent” het. Daarom is China al meer dan vijftien jaar ruim vertegenwoordigd in de jaarverslagen van AIVD en MIVD onder het hoofdstuk ‘spionage’. Daarom zijn IP-theft en duplicatie dé handelsmerken van China om aan buitenlandse kennis te komen.

Rusland redeneert vanuit een ander wereldbeeld. Het land deelt duizenden kilometers lange grenzen met meer dan een dozijn landen. Traditioneel redeneert Rusland op het gebied van internationale betrekkingen vanuit een zero-sum gedachte: de eigen kracht hangt af van de zwakte van de buren. Dus wil Rusland sterker worden, moeten de landen in de directe omgeving zwakker worden. Maar andersom geldt ook: is een buurland sterker aan het worden, dan is dit gericht op het zwakker worden van Rusland. We zien dit heel goed terug in de Oekraïense wens van aansluiting bij het westen en bondgenootschappen als NAVO en EU. In Russische ogen vormt deze wens een directe bedreiging voor de eigen positie. Een sterk, welvarend en democratisch buurland, daar zit Rusland niet op te wachten. Vanuit de zero-sum gedachte zijn Russische instrumenten om andere landen zwakker te maken (en zelf dus sterker te worden) sabotage, disruptie en ondermijning. En dan het liefst gericht op die zaken die de tegenstander het hardst treffen: diens afhankelijkheden. Vandaar dat cruciale processen en bedrijfstakken zo populair zijn bij Russische hackers zoals bijvoorbeeld energiecentrales, chemiebedrijven en havens.

“Rusland is de storm, China de klimaatverandering”, zo omschreef Thomas Haldenwang, hoofd van de Duitse veiligheidsdienst, het verschil tussen de twee grootmachten. Rusland is de storm: het zorgt voor schade, disruptie en chaos, hier en nu, de korte klap. China is de klimaatverandering: je merkt er eigenlijk weinig van, maar op de lange termijn vormt het een gigantische bedreiging. Strategisch geduld is China eigen. 

Ransomware & spionage in Nederland, wat kun je er tegen doen?

Medeoprichter van cybersecuritybedrijf Hunt & Hackett, Ronald Prins, vindt de vraag dan ook gerechtvaardigd of je over 50 jaar als bedrijf nog wel bestaansrecht hebt. Als alle innovatie weglekt naar China, wat is mijn toegevoegde waarde en verdienvermogen dan nog op de lange termijn? Deze vraag is bij uitstek aan de orde in de land- en tuinbouwsector, waar ons hele land op draait. Prins refereert naar een bekend voorbeeld uit de Verenigde Staten, waar een Chinese hoogleraar in zijn vrije tijd hoogwaardige plantenzaden opgroef en naar China verstuurde. Daarom moet het bewustzijn over de risico’s van digitale dreigingen omhoog. Maar waar Prins die beweging eindelijk op gang ziet komen bij overheden, valt het in het bedrijfsleven nog meer dan eens tegen. Er wordt te weinig actie ondernomen na digitale diefstal van data. “Ze kunnen er toch niks mee”, is een vaak gehoorde redenering. Een dergelijke opstelling in combinatie met beperkt zicht op de daadwerkelijke dreiging heeft op de lange termijn een killing effect - een besef dat te langzaam lijkt door te dringen.

Zo is bij ransomware-aanvallen de vraag altijd “to pay or not to pay”. Vaak wordt gezegd dat je nooit moet ingaan op de eis tot betaling. Maar als het voortbestaan van je bedrijf op het spel staat, en er voorafgaand te weinig aandacht is geweest voor zaken als back-ups, een recovery strategie, of vroegtijdige detectie van een aanval, welke keuze is er dan nog? We spreken vaak van targeted ransomware-aanvallen uit Rusland, omdat de criminelen achter de aanvallen, vanuit semi-gerichte campagnes, gericht aan de slag gaan met de verkregen toegang. Ze doen research naar potentiële slachtoffers, scannen openbare bronnen op zoek naar informatie over grote financiële transacties, IT-afhankelijkheden en maatschappelijke relevantie. Kwetsbaarheden worden geïnventariseerd, servers die openstaan naar het internet worden misbruikt en eenmaal binnen in een netwerk, zoeken de criminelen gericht naar de vitale onderdelen om die vervolgens te gijzelen , en pas na betaling (vaak rond 2% van de omzet) weer vrij te geven.

Verzekeraars boden een tijd lang verzekeringen met nette premies aan tegen ransomware-aanvallen, gekoppeld aan allerlei eisen op beveiligingsgebied. Maar door de hoge vlucht die ransomware-aanvallen hebben genomen, zijn die verzekeringen tegenwoordig bijna niet meer te betalen.

Als genezen niet meer gaat, moet er voorkomen worden. Hunt & Hackett richt zich daarom in de eerste plaats op threat modelling, vanuit de gedachte know your enemy. Met andere woorden: concreet in kaart brengen welke digitale aanvalsgroepen op welke manier te werk gaan, gericht tegen welke doelwitten, met welke technieken. Het gaat dus om het blootleggen van de modus operandi ofwel de tactics, techniques, and procedures (TTP’s) per specifieke aanvalsgroep. Het landschap van dreigingsactoren wordt in kaart gebracht en voortdurend gemonitord. Hunt & Hackett ziet dreigingen voornamelijk vanuit Chinese, Iraanse, Noord-Koreaanse groepen gericht op westerse hightech, en Russische ransomware-aanvalsgroepen gericht op het stelen van geld.

Hoe worden we veiliger in deze dreigingsomgeving? Door het nemen van maatregelen rond preventie, detectie en respons. Preventie wordt in het cyberdomein steeds lastiger en werkt voor de aanvaller eigenlijk voornamelijk vertragend. De kansen liggen bij detectie en respons. Hunt & Hackett werkt daarbij volgens een zes stappenplan.

1. [Dreigingsbeeld]: er wordt gekeken naar het specifieke dreigingsbeeld passend bij de sector waarin de organisatie zich in bevind. Wat doe je als bedrijf, en welke aanvallers trek je daarmee aan?
2. [Huidige maatregelen]: welke maatregelen heb je al genomen op het gebied van preventie, detectie en respons?
3. [Benodigde maatregelen i.r.t. het dreigingsbeeld]: dan volgt de Security Program Gap Assessment: het blootleggen van het verschil tussen de benodigde maatregelen om weerbaar te worden tegen het specifieke dreigingsbeeld en de geïmplementeerde maatregelen;
4. [Security roodmap]: definieer de Op basis daarvan wordt een cyber security roadmap geformuleerd of herijkt indien deze er als is, waarbij er concrete projecten worden gedefinieerd die gezamenlijk de weerbaarheid van de organisatie tot een geaccepteerd risiconiveau brengen. De security roadmap omvat projecten rondom preventie en (systeem) hardening maar ook rondom detectie en response. Zo wordt er bijvoorbeeld ook bepaald wat het niveau van incident readiness is: ga er vanuit, en oefen dat je een keer onder digitaal vuur komt te liggen, en bereid je daar dan ook op voor.
5. [Active monitoring]: bij voorbereiding op digitale aanvallen is het cruciaal dat er hoogwaardige detectie maatregelen zijn geïmplementeerd. Op basis van een gedegen Managed Detection & Response oplossing kunnen digitale aanvallen vroegtijdig worden gedetecteerd zodat er ingegrepen kan worden voordat er significante business impact ontstaat. Hierbij ontstaat een actieve vorm van verdediging waarbij de digitale omgeving van een organisatie 24x7 in de gaten gehouden en gecontroleerd op mogelijk digitale aanvallen en waarbij direct en automatisch wordt ingegrepen in het geval er sprake is van een aanval.
6. [Validatie]: als uiteindelijk je maatregelen staan is de vraag hoe je na twee, drie jaar weet of alles nog steeds werkt en past bij de dreiging? Misschien zijn er in de tussentijd bedrijven overgenomen inclusief hun IT-huishouding, zijn er patches en updates geweest of is er nieuwe software aangeschaft. Daarvoor heeft Hunt & Hackett breach & attack simulation ontwikkeld, een soort continue hacksimulaties uit te voeren om te testen of je als bedrijf nog gedekt bent tegen digitale dreigingen bij veranderende omstandigheden.

“Nu doorpakken, en beginnen met detectie en actieve verdediging”

Die gerichte aanpak is ook precies wat Guido Koolschijn, IT en security manager bij KUBO, zo aansprak bij Hunt & Hackett. Uit eigen ervaring legt hij de vinger op de zere plek als het gaat om digitale veiligheid. KUBO heeft een tijd van sterke groei gekend, mede dankzij bedrijfsovernames. Op IT-vlak groeide het bedrijf net zo hard mee, en de coronaperiode bracht allerlei nieuwe eisen mee rond tijd- en locatieonafhankelijk werken. Concessies werden gedaan om de continuïteit van bedrijfsprocessen te garanderen. Dat was gelijk de eerste wake-up call voor de digitale veiligheid.

KUBO is actief over de hele wereld, met het accent op de VS, Canada, Rusland en China. Innovatie is een belangrijke pijler onder het bestaansrecht, en heeft dan ook een eigen R&D-afdeling die onmisbaar is om bij de wereldtop te kunnen blijven horen.

Naar aanleiding van een boekbespreking werd intern de vraag gesteld: hoe doen wij het eigenlijk op IT-veiligheidsgebied? Welke partijen hebben wij om ons heen. Zo heeft KUBO een goede partner op het gebied van IT-beheer, maar werd er al snel ingezien dat digitale veiligheid toch een vak apart is. Dit thema werd pas echt urgent toen KUBO te maken kreeg met een digitaal vervalste factuur die bij een grote klant terecht kwam. Tegen de tijd dat alarmbellen waren gaan rinkelen en de klant gebeld was, was de factuur al betaald - maar wel aan een malafide bankrekeningnummer. Met heel veel pijn, moeite en samenwerking met de betrokken banken is deze kwestie alsnog tot een goed einde gebracht. Het besef dat digitale veiligheid geen keuze maar noodzaak is, was nu definitief ingedaald. Deze gebeurtenis heeft gezorgd voor een belangrijk moment van bewustzijn. “Nu doorpakken”, was de gedachte bij KUBO. En: opschuiven van preventie richting detectie en actieve verdediging.

Zo kwam KUBO bij Hunt & Hackett terecht. Voor KUBO is het daarbij van groot belang om zich serieus genomen te voelen, en een verbinding te hebben. De wereld van cybersecurity was nieuw en kent vele aanbieders. Maar de vraag blijft vaak: wat koop je ervoor, en ga ik het ooit nodig hebben?

Om bij het begin te beginnen, starten KUBO en Hunt & Hackett met een Security Program Gap Assessment (SPGA). Dat vormde gelijk een goede onderlinge kennismaking en een goede manier om te onderkennen of de manier van werken aan beide kanten passend was in de praktijk. Op basis van de bevindingen van de SPGA kon door Hunt & Hackett een concrete security road map worden opgesteld parallel aan het bestaande IT-plan. Stap voor stap was het devies, niet alles tegelijkertijd. Een spannende fase van ontdekking, waarin je eigenlijk met de billen bloot gaat als het gaat om de vraag hoe je er als bedrijf voor staat op gebied van digitale veiligheid. Daarvoor is een vertrouwensband onontbeerlijk, zonder oordelen maar met de wil om samen verder te komen. KUBO wilde graag zicht krijgen op de vraag waar verbeteringen mogelijk en nodig waren en waar je dan moet beginnen. Waar staat onze intellectueel eigendom, wie kan erbij? Wat zijn de kroonjuwelen waar we onze beveiliging op moeten richten? Wat moet het kosten en hoe lang gaat dat duren? Uiteindelijk moeten er resultaten en aanbevelingen aan de directie  worden voorgelegd, dus voor KUBO voelde het goed dat er direct concrete stappen gezet konden worden. Hunt & Hackett bracht het specifieke dreigingslandschap voor KUBO in kaart - welke aanvalsgroepen zijn actief in deze sector, hoe gaan ze te werk, wat kun je ertegen doen? Wat zijn daar tegenover ónze prioriteiten en welke gerichte maatregelen zijn dan passend? Maar ook: welke risico’s wil je wel nemen, en welke beschouw je als geaccepteerd risico? Met Hunt & Hackett werd ook dit gevoelige punt doorgenomen. Als je maatregelen uitstelt, moet je sommige risico’s bewust tijdelijk willen accepteren. Die keuze begint bij inzicht.

De internationale focus van KUBO maakt dat het bedrijf in veel verschillende tijdzones werkt en 24/7 actief is. IT-beheer, cybersecurity monitoring en beveiliging moeten continu draaien. Voor KUBO was de afweging: we kunnen alles wel zelf willen doen, maar dan moeten we er ook de mensen, tijd en expertise voor vrijmaken.

Inmiddels is het besef dat KUBO, de IT-partner en Hunt & Hackett een drie-eenheid vormen, volledig ingedaald in de organisatie. De één kan niet zonder de ander, en samen moet je digitale veiligheid voortdurend naar een hoger plan willen tillen en waarbij Hunt & Hackett de digitale omgeving van KUBO 24x7 monitort door middel van Manged Detection & Reponse op potentiële digitale aanvallen. KUBO werkt in een sector waar je het überhaupt samen moet doen, en daarom moet er sector-breed verantwoordelijkheid worden genomen voor digitale veiligheid. Laat deze sessie daarvoor een eerste aanzet zijn.

Graag op de hoogte blijven van, of deelnemen aan toekomstige kennissessies? Blijf op de hoogte via nieuwsbrief door je aan te melden middels onderstaande knop.