Hackers hebben het steeds vaker gemunt op retailbedrijven. Door toenemende digitalisering en ketenintegratie nemen de risico’s alleen maar toe. Dit kun je doen om de dreiging te verkleinen en je weerbaarheid te verhogen.

Ruim driekwart van de retailorganisaties is vorig jaar door een ransomware-aanval getroffen. Dat is een stijging van 75 procent ten opzichte van een jaar eerder, becijferde cyberbeveiligingsbedrijf Sophos voor zijn jaarlijkse, internationaal georiënteerde onderzoek. De firma concludeert dat retail inmiddels de sector is met het op een na hoogste aantal ransomware-aanvallen – alleen de media- en entertainmentsector werd nog iets vaker getroffen door hackers. Een blik op het nieuws van de afgelopen jaren toont dat ons land hier geen uitzondering op is. Casa, Game Mania, IKEA, Albert Heijn, Gall & Gall, MediaMarkt, Wehkamp: stuk voor stuk hebben ze te maken gehad met een vorm van cybercriminaliteit.

Zoals ook bij de sectoren die vóór de retailsector geraakt werden, komt dit bijna altijd terug bij hetzelfde: de basisbeveiliging en daarmee weerbaarheid van een organisatie is onvoldoende op orde, stelt Migiel de Wit-Beets, partner cyber risk services bij Grant Thornton. Daarbij komt dat de retailsector veel ketens met elkaar verbindt. Een hacker kijkt naar een zwakke plek in een keten om te misbruiken. Deze ketenafhankelijkheid kan een oorzaak zijn waarom juist deze sector meer dan gemiddeld geraakt wordt. Ook vinden er steeds meer activiteiten digitaal plaats zonder hiervoor extra maatregelen in te richten, ziet De Wit-Beets.

Alle winkels dicht

Als het hackers lukt om een systeem in te komen en plat te leggen kan dat snel gevolgen hebben, zo ondervond de Deense tak van 7-Eleven afgelopen zomer. Het gemakswinkelbedrijf bevestigde dat een ransomware-aanval achter de sluiting van 175 winkels in het Europese land zat. Door de aanval konden de winkels hun kassa’s niet gebruiken of geen betalingen accepteren. Dat leidde ertoe dat alle 7-Eleven-winkels in het land werden gesloten terwijl het bedrijf het incident onderzocht. Vragen over hoe dit nu precies heeft kunnen gebeuren en welke gevolgen dit heeft gehad, blijven onbeantwoord.

De Wit-Beets wijst er in ieder geval op dat er binnen retail veel gewerkt wordt in ketens zonder de hele keten te controleren op de weerbaarheid. “Nu er een aantal grote incidenten is geweest, stijgt de bewustwording en daarmee ook het aantal concrete stappen om maatregelen te treffen om de online omgeving en processen weerbaarder te maken. En dat niet alleen, ondernemers willen ook meer zicht krijgen op de cyberveiligheid in de keten waarin zij actief zijn.”

‘De retailsector verbindt veel ketens met elkaar en een hacker speurt naar een zwakke plek in een keten om aan te vallen’

Bij ABN Amro wijst men er ook op dat de dreiging groeit vanwege aanvallen op de supplychain. Information security risk officer Richard Verbrugge haalt in een webinar over retail het voorbeeld van de Nederlandse landbouwdistributeur Royal Reesink aan, dat slachtoffer werd van een aanval met gijzelsoftware. Zeventig procent van de 35 aangesloten bedrijven werd daarbij geraakt. Dit gebeurt doordat een bepaald softwarepakket wordt geïnfiltreerd en van daaruit verschillende aangesloten organisaties worden bereikt.

7-Eleven blijkt niet de enige te zijn die liever niet op de impact van aanvallen ingaat. Een ronde langs Nederlandse retailers die de afgelopen tijd met een cyberaanval te maken hebben gehad, laat zien dat er niet gauw ervaringen over worden gedeeld. Bij verschillende bedrijven blijft het stil, andere geven aan er geen openheid over te willen geven. Zo laat een woordvoerder van Casa – dat afgelopen zomer slachtoffer werd van een aanval – weten dat het bedrijf nog bezig is met de verdere heropstart van de interne systemen en ziet ook Game Mania af van een gesprek.

Grote impact

Gall & Gall zegt op zijn beurt er wel inzichten over te willen delen, maar dat er drie jaar na de hack een flink aantal wisselingen van de wacht is geweest, waardoor ervaringen niet gedeeld kunnen worden. Bekend is in ieder geval dat de website onder vuur kwam te liggen en er een ‘ongebruikelijk aantal loginpogingen’ plaatsvond, waarna de slijterijketen 47 duizend klanten vroeg een nieuw wachtwoord aan te maken. Het blijft daardoor echter grotendeels gissen wat de impact van een cyberaanval op een organisatie is.

En dat is jammer, want uit het onderzoek door Sophos blijkt dat van de getroffen retailers 92 procent zegt dat de aanval impact had op hun functioneren. Plus dat 89 procent er inkomsten door verloor. De gemiddelde kosten voor een retailorganisatie om een cyberaanval te verhelpen bedroegen vorig jaar bijna 1,3 miljoen euro.

Slechts 28% van de getroffen retailorganisaties kon voorkomen dat gegevens werden versleuteld.

Wehkamp betaalde criminelen

Dreigingen komen ook niet alleen uit de hoek van cybercriminelen, blijkt uit onderzoek door ABN AMRO. Er zijn bijvoorbeeld ook activistische hackers, kwaadaardige regimes en ‘script kiddies’ (mensen die online overlast veroorzaken door bijvoorbeeld computervirussen rond te sturen, red.) die met informatie aan de haal gaan of systemen platleggen. Veelal is dit volgens Verbrugge om geld of vertrouwelijke informatie buit te maken – denk aan inloggegevens –, reputatieschade te veroorzaken en processen te verstoren. Dat gebeurt onder andere door malware te installeren en social engineering. Bij dat laatste vallen criminelen computersystemen aan door in te spelen op menselijk eigenschappen als vertrouwen, hebzucht of onwetendheid.

Dat laatste zagen we ruim twee jaar geleden bij Wehkamp. De webwinkel maakte 144 duizend euro aan hackers over, terwijl het geld bedoeld was voor de curatoren van de failliete modeketen Didi. De criminelen slaagden erin toegang te krijgen tot het mailverkeer van Wehkamp, deden zich voor als de curatoren en konden uiteindelijk het geld wegsluizen. De manier waarop medewerkers op het verkeerde been gezet werden, was betrekkelijk eenvoudig: de dieven zeiden dat het geld voortaan naar een andere rekening moest worden overgemaakt. Een mail van Wehkamp ter check of dit klopte, belandde ook bij de criminelen. Het werd een zaak die uiteindelijk in hoger beroep ging, waarbij de curatoren in het gelijk werden gesteld en de online-retailer honderdzestigduizend euro moest betalen.

Phishingaanval op Ikea

Een onderzoek naar phishingmails wijst uit dat steeds meer naar HR-, IT- en manager-gerelateerde onderwerpen wordt gegrepen. Zakelijke aanvallen zijn volgens onderzoekers van anti-phishingbedrijf KnowBe4 effectief omdat ze mogelijk het dagelijkse werk van gebruikers kunnen beïnvloeden en ervoor zorgen dat een persoon reageert voordat hij logisch nadenkt over de legitimiteit van een bericht. Iets wat IKEA niet onbekend voor zal komen. De woonwinkelketen kreeg vorig jaar te maken met een phishingaanval, waarbij e-mailadressen van medewerkers gebruikt werden voor het intern verspreiden van malware.

Aangezien de e-mails in de antwoordketen legitieme e-mails van een bedrijf zijn en gewoonlijk worden verzonden vanaf gecompromitteerde e-mailaccounts en interne servers, zullen de ontvangers de e-mail vertrouwen en eerder geneigd zijn de schadelijke documenten te openen.

Weerbaarheid

En ook hier komt de ketenaanpak om de hoek kijken. ‘Er is een voortdurende cyberaanval gericht op de mailboxen van Inter IKEA. Andere IKEA-organisaties, leveranciers en zakenpartners worden door dezelfde aanval gecompromitteerd en verspreiden kwaadaardige e-mails naar personen in Inter IKEA’, verklaarde IKEA in een e-mail naar zijn medewerkers die is ingezien door website BleepingComputer. Het betekent dat de aanval via een e-mail van iemand met wie hij samenwerkt, van een externe organisatie of als antwoord op een al lopende conversatie kan komen. Het is daarom moeilijk te detecteren, stelt IKEA, waardoor extra voorzichtigheid nodig was. ‘Onze e-mailfilters kunnen sommige van de kwaadaardige e-mails identificeren en deze in quarantaine plaatsen. Omdat de e-mail een antwoord kan zijn op een lopend gesprek, is het gemakkelijk om te denken dat de e-mailfilter een fout heeft gemaakt en de e-mail uit quarantaine te halen. We schakelen daarom de mogelijkheid voor iedereen om e-mails uit quarantaine vrij te geven tot nader order uit’, liet de keten aan werknemers weten.

Het voorkomen van een cyberincident is inderdaad lastig, stelt De Wit-Beets. Maar als je ervan uitgaat dat je organisatie een keer geraakt gaat worden, brengt dit een andere mindset met zich mee, meent hij. “Honderd procent veiligheid is in onze optiek en zeker in de huidige tijd een illusie.”

Daarom worden gesprekken anders gevoerd: weerbaarheid voert de boventoon. Dus bereid je voor op een misser, wil hij maar zeggen. “Dit kan ook iemand in de keten of een onoplettende medewerker zijn die op een verkeerde link klinkt.”

‘Wie cyberweerbaar wil worden en blijven, moet continu bezig zijn met de risico’s’

Een ander sleutelwoord is inzicht. Inzicht zorgt ervoor dat je weet wat je hebt, waar risico’s worden gelopen en welke dat zijn. Op basis daarvan kun je de juiste balans zoeken tussen bescherming en nut. “Let wel: wil je als organisatie cyberweerbaar worden en blijven, dan moet je continu bezig zijn met de risico’s”, aldus De Wit-Beets.

Wie de schade bij een aanval wil beperken kan een aantal stappen nemen, vervolgt hij. De cybersecurityexpert wijst onder andere op maatregelen aan de voorkant die ervoor zorgen dat je weerbaarder bent. Zoals zorgen dat logging op orde is, back-ups worden gemaakt en dat deze worden getest. Maar ook dat er een ‘incident response’-draaiboek ligt. Het is dan ook al gauw specialistisch werk, voegt hij toe, omdat er bij een incident snel ingegrepen moet worden. Het is dan ook gebruikelijk om een gespecialiseerde partij aan te haken. Vooral ook omdat ook andere par tijen eisen stellen aan de kwaliteit van de cyberweerbaarheid. “Verzekeraars stellen steeds meer eisen aan organisaties als het gaat om dekking tijdens een cyberincident.”

Experts

Organisaties die zich met succes verdedigen tegen aanvallen gebruiken niet alleen gelaagde verdedigingen, stelt Sophos. Ze verbeteren de beveiliging met mensen die zijn opgeleid om systemen en processen te controleren op inbreuken. En die actief op jacht gaan naar bedreigingen die standaardsystemen omzeilen en kunnen laten ‘ontploffen’ tot nog grotere problemen. Uit het onderzoek van dit jaar blijkt dat slechts 28 procent van de getroffen retailorganisaties in staat was om te voorkomen dat zijn gegevens werden versleuteld. Dat suggereert dat een groot deel van de branche zijn beveiliging moet verbeteren met de juiste tools en goedopgeleide beveiligingsexperts moet vinden om de inspanningen te helpen beheren, aldus hoofdonderzoeker Chester Wisniewski bij Sophos. Cyberveiligheid blijft kortom een uitdagend dossier en het belang ervan zal gezien de verdergaande digitalisering van niet alleen retailorganisaties maar ook supplychains als geheel de komende jaren verder toenemen.