Kaas-hack: moet de voedselvoorziening tot vitale infra worden gerekend?

Bezoekers van Albert Heijn die het weekend van 10 april op zoek waren naar een blokje kaas moesten een andere supermarkt opzoeken, omdat de schappen daar leeg waren. De reden: een hack bij Bakker Logistiek – die dus niet brood, maar kaas levert- zorgde voor het opdrogen van de toevoer van kaas.

Een of meerdere cybercriminelen slaagden er kort voor het weekend in om Ransome-ware binnen het systeem van Bakker Logistiek te krijgen en daarmee werd het systeem op slot gezet. En ook al was er meer dan voldoende kaas op voorraad, door het platleggen van het systeem kon de distributeur z’n waren gedurende enkele dagen niet naar de retailers vervoeren.

Vitale infra

Door de geslaagde aanval en de zichtbaarheid van de gevolgen van zo’n aanval, gaan er stemmen op om bedrijven die zich bezighouden met de voedselvoorziening tot de vitale infrastructuur te rekenen. Voor deze sectoren gelden strengere regels met betrekking tot cybersecurity en daarmee zou de kans op succesvolle cyberaanvallen worden verkleind.

Bovendien kunnen bedrijven die onder de vitale infrastructuur vallen met hun vragen over cybersecurity terecht bij het Nationaal Cyber Security Center (NCSC). Bedrijven die daar niet onder vallen, kunnen ook geen aanspraak maken op het NCSC.

Kort door de bocht

De vraag is of bedrijven in de food hun beveiliging op orde kunnen krijgen, zonder dat ze onder de vitale infrastructuur zouden komen te vallen. Volgens Bakker Logistiek was de beveiliging voorafgaand aan de hack op orde. In een NOS-artikel meent IT-cybersecurity expert Dave Maasland van het bedrijf ESET dat de aanval te voorkomen was geweest, maar dat is te kort door de bocht, meent Marcel Jutte van Hudson Cybertec. “Dit kan eigenlijk elk bedrijf overkomen, ook bedrijven die goed beveiligd zijn. Er hoeft maar één medewerker een fout te maken en je bent de klos.”

Ketenaansprakelijkheid

Jutte is ook niet overtuigd van de noodzaak om bedrijven in de food onderdeel te laten uitmaken van de vitale infrastructuur. “Op een gegeven moment kan je overal wel iets vinden wat je op een of andere manier een vitaal bedrijf zou moeten maken.” Jutte gelooft meer in een organische groei, waarbij ketenaansprakelijkheid het kernwoord is. “Je zou je kunnen voorstellen dat Albert Heijn eisen gaat stellen aan de cybersecurity van hun toeleveranciers, of dat er voor die keten een soort keurmerk komt waaraan alle bedrijven moeten voldoen. Daar ligt wellicht een taak voor brancheverenigingen. Dit soort keurmerken en regels zijn er ook al voor hygiëne, dus waarom niet iets vergelijkbaars opzetten voor cybersecurity?”

Legacy

Dat er in logistieke centra gebruik zou worden gemaakt van verouderde apparatuur, hoeft geen probleem te zijn, weet Jutte. “In industriële OT-domeinen heb je ook legacy apparatuur, maar daar kan je met zones en conduits een uitstekende netwerksegregatie aanleggen, waardoor je risico zeer beperkt wordt.”

Meer cybernieuws op Process Control