Hoe wapen je je organisatie tegen de toenemende kans op cyberaanvallen? Roel Wijnands adviseert retailers om risico’s te identificeren en maatregelen te nemen. Daarnaast pleit de chief information security officer van Centric voor meer bewustwording, ook op de winkelvloer. “Ik betwijfel of winkelmedewerkers het in de gaten hebben als je een usb-stick in een kassasysteem stopt.”

 

Roel Wijnands is zijn professionele loopbaan ooit begonnen in de horeca. De sociale vaardigheden die hij in die sector heeft ontwikkeld, komen goed van pas in zijn huidige functie van chief information security officer bij Centric. Binnen het domein waarvoor hij verantwoordelijk is, speelt menselijk gedrag immers een belangrijke rol. “Hoe zorg je ervoor dat een programmeur vanaf zijn allereerste werkdag software ontwikkelt die intrinsiek veilig is? Hoe voorkom je dat de wens om voorop te lopen met innovatie en als eerste nieuwe functionaliteit op de markt te brengen niet ten koste gaat van de zorgvuldigheid en veiligheid? Het is mijn taak om ervoor te zorgen dat de medewerkers van Centric opereren binnen de veiligheidskaders die we hebben opgesteld.“

 

Verandersnelheid

Wijnands heeft zijn sporen in de IT-sector verdiend. Jarenlang bekleedde hij uiteenlopende functies op het snijvlak van softwareontwikkeling en veiligheid, met name in de financiële wereld. Drie jaar geleden startte hij bij Centric, waar hij sinds anderhalf jaar indverantwoordelijk is voor alles wat met cyberveiligheid te maken heeft. Hij geeft leiding aan een team van 45 mensen, van professionele hackers die penetratietesten uitvoeren tot medewerkers die 24 uur per dag en 7 dagen per week alle servers en applicaties in de gaten houden. “Daarnaast hebben we een team dat zich bezighoudt met beleid, normering, weten regelgeving en het creëren van bewustwording”, legt Wijnands uit.


Op het gebied van bewustwording is nog flink wat werk te verzetten, ook richting klanten van Centric. Wijnands is van mening dat veel retailers zich niet voldoende bewust zijn van de risico’s die ze lopen. Hij wijst op de verouderde systemen en technologieën die ze vaak nog gebruiken. “Retailers opereren in een dynamische markt waarin het consumentengedrag voortdurend verandert. Met hun datagedreven bedrijfsvoering zijn ze steeds beter in staat om vast te stellen en te voorspellen welke producten veel worden verkocht. Maar ook op het gebied van cyberdreiging neemt de verandersnelheid toe. Dat vereist van retailers dat ze op dagelijkse basis en soms zelfs per uur daarop kunnen inspelen.”


Als voorbeeld noemt Wijnands een update van een cloudapplicatie die uitgevoerd wordt door een leverancier, waar door het systeem veiliger wordt maar het ook zo kan zijn dat de lay-out van het systeem verandert. Kunnen retailers mee in die veranderslag? “Ze kunnen niet anders”, zegt Wijnands. “Ik denk dat op dat vlak nog heel veel winst te behalen valt.”

 

 

“Retailers zijn zich bewust van de risico’s op winkeldiefstal. Dat is anders als het gaat om het risico op een cyberaanval.”

 

 

Kaashack

Wie de cyberveiligheid veronachtzaamt, loopt het gevaar dat zijn bedrijfsvoering deels of geheel tot stilstand komt. Een spraakmakend voorbeeld is de cyberaanval waardoor een grote Nederlandse supermarktketen in april 2021 een week lang zonder kaas zat. De aanval met gijzelsoftware was niet gericht op de systemen van de supermarktketen, maar op die van de logistiek dienstverlener. De ‘kaashack’ leverde alleen de logistiek dienstverlener al een financiële strop van enkele miljoenen euro’s op.


Dit voorbeeld laat zien dat ook een lek elders in de keten voor problemen kan zorgen. “De afhankelijkheid van de keten neemt steeds meer toe. Er is geen retailer meer die zelf de hele keten onder eigen beheer heeft”, verklaart Wijnands. “Retailers zijn afhankelijk van leveranciers van levensmiddelenproducten zoals in dit geval van kaas. Maar ze zijn ook afhankelijk van de leverancier van bijvoorbeeld betaaldiensten. Ook een pinstoring kan ertoe leiden dat de bedrijfsvoering tot stilstand komt. Als die een uur duurt en tot één winkel beperkt blijft, is de schade nog te overzien. Maar wat als de pinstoring een dag aanhoudt en al je winkels treft? Misschien betekent dat niet meteen het einde van het bedrijf, maar de financiële impact is groot.”

 

Risico-inventarisatie

Wie aan de slag wil met cyberveiligheid, dient een risico-inventarisatie te maken. Breng in kaart welke processen cruciaal zijn voor je bedrijfsvoering en ga na welke incidenten of storingen deze bedrijfskritische processen tot stilstand kunnen brengen. Als dat inzichtelijk is, kun je werken aan het verkleinen of elimineren van deze risico’s. Wijnands: “Voor een retailer kan dat het warehouse management systeem in het distributiecentrum zijn. Als dat systeem platligt, is het ondoenlijk om goederen te vinden en winkels te bevoorraden. Maar zoals gezegd vormt ook de pinterminal een risico. Retailers kunnen technische of organisatorische maatregelen nemen om het risico van een falende internetverbinding te verkleinen, bijvoorbeeld met een tweede internetlijn van een andere provider of een 5G-verbinding.”Wijnands benadrukt dat de risico’s van retailer tot retailer kunnen verschillen. “Als een retailer tweehonderd winkels in heel Nederland heeft, komt het hele bedrijf niet direct tot stilstand als een winkel een paar uur uit de lucht is. Dat is anders wanneer je maar twee winkels hebt en één daarvan uitvalt. Omdat de impact relatief groter is, zijn andere maatregelen nodig. Daar staat tegenover dat grotere retailers vanwege hun omvang en naamsbekendheid weer een grotere kans hebben op een cyberaanval.”

 

OCM - 10 - Wouter Keuris Fotografie-001 (11)

 

Uitbesteden

Hoe kunnen we de risico’s minimaliseren? Wijnands adviseert retailers om goed na te gaan welke taken ze per se zelf willen uitvoeren en welke ze beter kunnen uitbesteden. “Het wordt steeds lastiger om alles zelf onder controle te houden. Daarom kiezen meer en meer retailers voor uitbesteding aan betrouwbare, gespecialiseerde IT-partners. Omdat deze partners die taken voor meerdere partijen uitvoeren, zijn de kosten daarvan lager dan wanneer de retailer zelf moet investeren in alle te nemen maatregelen. ”Het maken van heldere afspraken is cruciaal bij uitbesteding. Waarvoor is de leverancier of dienstverlener precies verantwoordelijk? En wat blijft na uitbesteding je eigen verantwoordelijkheid? “Heldere afspraken zijn extra belangrijk omdat retailers vaak meerdere externe partijen inschakelen. Het is niet meer één grote partij waar alles wordt ondergebracht, maar meerdere partijen die allemaal gespecialiseerd zijn in een deel van het IT-landschap. De grootste uitdaging: hoe houd je grip daarop, zodat je altijd weet wie verantwoordelijk is voor welke systemen en diensten?

 

 

“Er is geen enkele retailer meer die de hele keten zelf in beheer heeft.”

 

 

Legacy

Naast processen is technologie een andere factor die van belang is voor cyberveiligheid. Die ontwikkelt zich steeds sneller, merkte Wijnands al eerder op. “Retailers die blijven vasthouden aan hun legacy-systemen, zien de ‘technology gap’ alleen maar groter worden. Het vervangen van die systemen kan een oplossing zijn, maar hoe waarborg je dan dat de nieuwe systemen over drie, vier of vijf jaar niet opnieuw verouderd zijn? De uitdaging is om een state-of-the-art applicatie te gebruiken met een moderne, flexibele IT-architectuur, zodat het systeem kan meeveranderen met nieuwe technologische ontwikkelingen en daardoor toekomstbestendig blijft.”


Retailers moeten in staat zijn één onderdeel te vervangen of te moderniseren zonder de rest van het IT-landschap overhoop te halen. Dat geldt niet alleen voor software, maar ook voor hardware. “Een laptop zou eigenlijk niets anders moeten zijn dan een hele dure frisbee. Als een gebruiker een probleem heeft met zijn laptop, zou hij deze zo voor een ander exemplaar moeten kunnen omruilen. Met de juiste architectuur en technologie is dat mogelijk”, legt Wijnands uit.

 

USB-stick

De factor die het lastigst te controleren is, is de mens. Niet alleen het management, maar ook de mensen op de werkvloer moeten zich bewust zijn van de risico’s. Evenals de medewerkers op het hoofdkantoor moeten ook de medewerkers in de winkel een phishing-mail kunnen herkennen en moeten zij zich er bewust van zijn dat ze niet op linkjes moeten klikken. “Als het gaat om diefstalpreventie, is het bewustzijn van winkelmedewerkers doorgaans vrij groot. Retailers geven trainingen op dat gebied, plaatsen beveiligingspoortjes en bevestigen tags aan producten. Maar dat is anders wanneer het gaat om cyberveiligheid in de winkel. Ik betwijfel of medewerkers het in de gaten hebben wanneer een kwaadwillende op een onbewaakt moment een USB-stick in het kassasysteem stopt.”Wijnands komt geregeld in winkels waar kassasystemen onbeheerd worden achtergelaten, wat de nodige vragen oproept. “Kan ik dan mijzelf korting geven zonder dat het apparaat begint te bliepen? Of heeft de medewerker het systeem vergrendeld door zijn of haar pasje mee te nemen? We kunnen het bewustzijn vergroten door daarover met medewerkers te communiceren en hen te trainen.”

 

OCM - 10 - Stockbeeld security (3)

 

Taart

Het is belangrijk om een cultuur te creëren waarin mede werkers incidenten durven te melden zonder dat ‘blaming & shaming’ plaatsvindt. “Eigenlijk zou je iedereen een taart moeten geven na een melding”, vindt Wijnands.


“Vergeet niet dat iedereen wel eens een fout maakt. Ook ik heb wel eens op een link in een phishing-mail geklikt. De vraag is wat je daarna doet. Door het te melden, kan het bedrijf maatregelen nemen om de gevolgen te beperken en herhaling te voorkomen. Dat is het gedrag dat we veel meer moeten waarderen en stimuleren. Pas dan ontstaat er een organisatie waarin mensen actief bijdragen aan het ver beteren van de veiligheid.”