Security in de voedingssector: NIS2 als extra katalysator

Gezien de strikte regelgeving op het vlak van voedsel­veiligheid, is de impact van phishing, hacking of virussen in de voedingssector niet min.

Op het event Cybersecurity4Food getuigden verschillende voedingsbedrijven over hun strijd tegen cyberdreigingen en de manier waarop ze aanvallen te boven zijn gekomen. ‘Voedingsproducenten vragen zich wel eens af waarom een hacker hen in het vizier zou nemen’, zegt Kevin Holvoet van het Center For Cyber Security Belgium. ‘Naar hun inschatting beschikken ze over weinig interessante data voor buitenstaanders. Helaas volstaat één reden. Uit gegevens van Verizon blijkt dat letterlijk alle van de in 2022 geregistreerde aanvallen binnen de voedingssector een financiële drijfveer kenden. Een derde van die aanvallen gebeurde via ransomware. Een derde van de getroffen bedrijven betaalde ook effectief, met een gemiddeld losgeld van 675.000 euro.’

De populairste manieren om systemen binnen te dringen? Gekraakte wachtwoorden, phishing en de exploitatie van kwetsbaarheden. Holvoet wijst op de toename van reverse engineering bij patches en updates. ‘Wanneer een softwareleverancier patches introduceert, gaan de criminelen na waarin die verschillen van de vorige versie. Ze ontdekken langs die weg zwakke zones, die ze aanvallen vooraleer de gebruiker de patch ook effectief heeft geïnstalleerd.’

Brute force

Dat cyberdreiging geen ver-van-je-bedshow vormt voor de voedingsbranche, beaamt Johan Dekeyzer. Hij is zaakvoerder van Dekeyzer-Ossaer, een vleesverwerkend bedrijf met 150 medewerkers uit Koekelare. Het bedrijf is in sterke mate afhankelijk van in-house ontwikkelde software, wat voordelen biedt op het vlak van efficiëntie en dienstverlening, maar tegelijk de kwetsbaarheid op het vlak van cybersecurity vergroot. De onderneming viel in 2018 ten prooi aan een zogenaamde brute force attack, waarbij een externe partij de toegang forceerde tot de bedrijfsservers.

De gevolgen waren niet min. ‘In geen tijd vielen alle machines één na één stil. Onze IT-mensen reageerden meteen door alle servers stil te leggen en op die manier verdere schade te voorkomen,’ legt Dekeyzer uit. ‘Hoewel we slechts enkele uren uit productie bleven, leden we enorme financiële schade. Die uitte zich onder meer in verloren uurlonen en extra nachtwerk om de bestellingen te verwerken. Gelukkig was een deel van die schade afgedekt door een verzekering.’

Dekeyzer merkt op dat goede back-ups hun nut bewezen. ‘Een ander cruciaal punt was heldere communicatie. Onze klanten situeren zich in tal van sectoren, met inbegrip van overheidsinstellingen. Die partijen vroegen zich terecht af wat we ondernamen om de impact te beperken en toekomstige bedreigingen aan te pakken.’

Bij Dekeyzer-Ossaer was er tweemaal sprake van ransomware. ‘De ene maal hebben we betaald, de tweede keer niet. Bij een eerste aanval panikeer je en beslis je sneller om toe te geven. De tweede keer waren we beter voorbereid en konden we zelf de nodige stappen ondernemen’, aldus Dekeyzer. ‘We hebben instrumenten ingericht om ons beter te beschermen. Het gaat dan onder meer om wachtwoordenbeheer, een betere firewall en antivirussoftware, netwerk- en serversegmentatie en meerstapsverificatie.’

NIS2

Karl Dobbelaere van het Center for Cyber Security Belgium zoomt in op de impact van NIS2 voor de voedingssector. ‘Dé vraag die elk bedrijf zich waarschijnlijk stelt, is of het al dan niet onder de scope van NIS2 valt. Het antwoord luidt voor de meeste partijen bevestigend. Met de komst van de NIS2-richtlijn in oktober 2024 beschouwt de wetgever bedrijven in de levensmiddelenindustrie als vitaal. Ze moeten voldoen aan de nieuwe wetgeving wanneer ze meer dan 50 werknemers of meer dan 10 miljoen euro jaarlijkse omzet draaien. Entiteiten die onder het toepassingsgebied vallen, moeten passende en evenredige maatregelen nemen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheren en om incidenten te voorkomen of de gevolgen van incidenten voor klanten en andere diensten te beperken.’

Vandemoortele, gespecialiseerd in bakkerijproducten, margarines, culinaire oliën en vetten, bereidt zich al even voor op NIS2. Die benadering integreert het binnen een groter beveiligingsprogramma met verschillende verdedigingslagen. Dat kader zette het de voorbije vijf jaar op poten. Group IT director Benoît Dewaele legt uit: ‘We investeerden in de nodige tools en monitoren die via een security operating center of kortweg SOC. Van daaruit bekijken we alle logs en opmerkingen. Onze aanpak is zowel proactief als reactief. Je mag alles in het werk stellen om je te beschermen, maar echt 100% veilig ben je nooit. Daarom zetten we ook in op disaster recovery.’

Dewaele geeft aan dat Vandemoortele een externe partij inschakelt om kwetsbaarheden in kaart te brengen en de beveiliging in te schalen aan de hand van een evaluatiescore. ‘We leggen onder meer de nadruk op Endpoint Detection and Response (EDR), waarbij we verdacht gedrag en bedreigingen op endpoints detecteren en aanpakken. Ik noem het wel eens ‘antivirus op steroïden met een AI-laag’.’ Vandemoortele maakt verder ook gebruik van Network Access Control (NAC). ‘Wanneer iemand een nieuw toestel connecteert, kan die er niet meteen mee navigeren via het netwerk. We lassen een extra controle in op onbekende connecties. Voor data en applicaties van externe partijen, zoals klanten en leveranciers, voeren we eerst een veiligheidsaudit uit. Anders beoordelen we een applicatie sowieso als onveilig.’

Op datacenterniveau ligt de klemtoon onder meer op patch management en netwerksegregatie. ‘We werken op Azure, wat al een zekere veiligheid met zich meebrengt, maar hanteren ook interne instrumenten. Applicaties zijn meer en meer webgebaseerd, waarbij we de toegang monitoren en centraliseren. Een webapplicatie kan pas worden gebruikt wanneer de centrale active directory die authentiseert.’

Crisissimulaties

Vandemoortele voert crisissimulaties uit om het veiligheidsbeheer af te toetsen en de reactiemaatregelen op punt te zetten. Dergelijke scenario’s zijn gebaseerd op aanvallen die zich in de praktijk bij andere bedrijven hebben voorgedaan. ‘Zoals ik al aangaf, blijft geen enkel bedrijf met zekerheid gevrijwaard van cyberschade’, zegt Benoît Dewaele. ‘Binnen dat opzet doen we een beroep op ons crisismanagement en een responsteam voor noodgevallen. Als voedingsbedrijf hebben we het voordeel dat we al over bepaalde structuren beschikken, die opgezet zijn om te reageren in geval van voedselcontaminatie. Zo’n crisissimulatie brengt sowieso altijd interessante inzichten en laat je toe om bestaande procedures verder te optimaliseren.’

Vandemoortele evalueert nu al de maatregelen op het vlak van NIS2. “We bepalen daarbij het maturiteitsniveau. Vanuit het SOC beheren we de kwetsbaarheden. We analyseren verschillende aspecten: van asset management, over back-ups tot security logs. Een grote uitdaging bestaat erin alle informatie adequaat te documenteren. Dat geldt niet enkel voor de standaardsituaties, maar ook voor alle uitzonderingen die zich manifesteren.”