Supply chain data security

09-05-2018

Maak het de cyber criminelen moeilijk

Criminaliteit in de transport- en logistieke sector is al jaren een groot probleem. De totale gevolgschade in Europa  wordt geschat op 8.2 miljard euro. Deze problematiek kost vanzelfsprekend veel aandacht, tijd en geld en voegt geen enkele waarde toe aan de supply chain. Nog erger;  het vertraagt de supply chain en maakt hem minder flexibel en intransparant.

Aandacht voor de bestrijding van criminaliteit is echter onoverkomelijk. Schade als gevolg van criminaliteit is namelijk iets waar ondernemingen en/of bestuurders zich niet tegen kunnen verzekeren en kan in theorie dus zomaar de ondergang van een bedrijf betekenen.

Om aan te kunnen tonen dat logistieke dienstverleners “voldoende” maatregelen genomen hebben om het criminelen moeilijk te maken (ik gebruik hier expres niet de term onmogelijk), zijn er normen ontwikkeld door o.a. de Transported Asset Protection Association (TAPA).

Deze TAPA normeringen hebben vooralsnog alleen betrekking op fysieke zaken zoals gebouwen (Facility Security Requirements,), voertuigen (Trucking Security Requirements,) en parkeerplaatsen waar het voertuig mag parkeren/overnachten (Parking Security Requirements). Al deze normen zijn certificeerbaar waardoor logistieke dienstverleners die TAPA gecertificeerd zijn, kunnen aantonen dat ze voldoende maatregelen genomen hebben om criminaliteit voor hun opdrachtgevers te beperken. Aansprakelijkheid technisch gezien betekent dit dat zij veel minder risico lopen en dat zij zich in veel gevallen kunnen verzekeren tegen schade als gevolg van criminaliteit.

Uw waardevolle data

Dat klinkt fair. Wat mij echter bevreemdt,  is dat er geen normen zijn voor cybercriminaliteit. Nog erger, ik kom de term in logistieke contracten NOOIT tegen en zelfs de douane besteedt er in haar AEO geen aandacht aan. En dat verontrust me enorm. Cybercriminaliteit is namelijk het snelst groeiende werkterrein van de georganiseerde misdaad. Daarbij denk ik niet alleen aan uw waardevolle data. Welke bescherming biedt het ijzeren hek om uw huis als elke tweederangs hacker het elektronische slot van elke willekeurige laptop kan plukken?

Bovendien is de data connectivity exponentieel aan het groeien en staat, uw (klant)data in veel meer IT systemen dan u denkt of realiseert. Het is een illusie om te denken dat je vitale software en data alleen ter plaatse toegankelijk zijn. En het aantal aansluitingen met IoT, API gebaseerde oplossingen, smartphones, eCMR of/en uw oude EDI groeit elke dag. U zit in the cloud. Of u het nu leuk vindt of niet.

Dat weten cybercriminelen ook!

Cybercriminelen hanteren daarbij een aantal tactieken die ze steeds verder perfectioneren. Inbraak (hacken), afluisteren/onderscheppen van data, man in the middle (onderscheppen van informatie tussen twee partijen), identiteitsfraude maar ook social engineering zijn daarbij veel gebruikte instrumenten. 

En als u zich afvraagt of de veiligheid van uw CCTV-systemen en elektronische sloten in gevaar kan zijn, denk dan nog  een stap verder. Hoe zeker bent u dat het dure GPS-systeem dat u onlangs op uw voertuigen heeft geïnstalleerd echt toont dat de vrachtwagens onderweg zijn naar de plaats van bestemming? En stel dat uw voertuigen in de toekomst onbemand op pad gaan. Welke garantie heeft u dat u zelf in control bent en dat de controle niet is overgenomen door een of andere crimineel?

Cyberrisicomanagement

Natuurlijk zijn er wel veiligheidsnormen voor hardware en u heeft vast wel een firewall geïnstalleerd. Maar weet u ook wat uw grootste cyberrisico’s zijn? En weet u wat uw partners en hun (cloud) IT leveranciers in de supply chain aan cyberrisicomanagement doen?

De ISO norm 27001 of de richtlijn helpt daar wel iets bij. Bedrijven die dit certificaat hebben, geven in ieder geval aan dat het onderwerp aandacht heeft van het management, maar bieden helaas geen zekerheid. En ook de richtlijn van het National Cyber Security Centrum helpt daar bij. Maar ook deze biedt geen zekerheid.

Ik pleit er dan ook voor om, in navolging van de TAPA normeringen, als gehele sector een cybersecurity normering voor de supply chain te ontwikkelen. Ondertussen roep ik u op om het onderwerp intern te checken, inclusief de contracten met uw service providers. Een goede maar vaak confronterende manier is een hacker de opdracht geven om uit te vinden welke informatie hij/zij kan bemachtigen en/of veranderen, zonder dat uw management daar enige weet van heeft. U zult versteld staan! En alstublieft, laat het me weten. Ik kijk erg uit naar uw feedback.