13.03.2020

Let op: hier volgt een lijstje herkenbare digitale veiligheidsgevaren in de tuinbouw

Werkgroep Digitale Veiligheid presenteert zich tijdens TechTalks

Vrijwel iedereen zegt ‘ja’ op de vraag of digitale veiligheid belangrijk wordt gevonden, maar als het puntje bij paaltje komt krijgt arbeid of water bij de teler meer prioriteit terwijl ook bij toeleveranciers er altijd andere zaken zijn die hoger op de to-do-lijstjes staan. Vreemd eigenlijk, want de gemene deler in alle bedrijfsprocessen ís digitale veiligheid.

Er is dus werk aan de winkel en de na een ontbijtsessie in World Horti Center deze zomer opgerichte Werkgroep Digitale Veiligheid, met daarin Hoogendoorn Growth Management, Beekenkamp Group, InnovationQuarter en Lentiz, wil dat werk samen met andere tuinbouwpartijen op gaan pakken. Eerste doel: bewustzijn vergroten.

Zwakste schakel
Wie heeft die lopende band aangezet? Wat doet die robot raar? Kloppen die sensordata wel? Wie is die ‘monteur’ in de serverruimte eigenlijk? En gaat de werklaptop mee naar China of de Verenigde Staten? Het zijn allemaal vragen of situaties die in meer of mindere mate bekend zullen voorkomen voor zij die werken in de tuinbouw, al is het geen populair onderwerp om open en eerlijk over te zijn. Want wie ooit gehackt is, die is gewoon dom, toch?

Nee, zo mag inmiddels wel gesteld worden, want hackers worden steeds slimmer en dus kan het iedereen gebeuren waarbij de teler met een volautomatische kas misschien wel het meest kwetsbaar is. Toch ziet de werkgroep dat juist die laatste groep het nog als een ‘ver-van-mijn-bed-show’ ziet. De drie meest voorkomende reacties zijn ‘mijn toeleverancier zorgt wel voor digitale veiligheid’, ‘ik klik niet op een fout linkje’ of ‘dat is eng, daar snap ik niets van’.

Geen van de drie opties is ‘het goede antwoord’. Sterker nog, de hele tuinbouwketen hangt samen en in zo’n keten is zo sterk als de zwakste schakel, dus alleen samen en door kennis te delen kan de tuinbouw stappen zetten.

IT vs. OT
Wie weet het verschil tussen beide? Vast niet iedereen, al heeft elke teler en toeleverancier met OT te maken. Het staat voor Operational Technology en dat zijn eigenlijk alle apparaten, van lopende band tot robotarm, in de kas. En juist die OT is kwetsbaar, omdat de software die die hardware aanstuurt vaak niet of slecht moeilijk te updaten is.

Enkele simpele, soms ook voor de hand liggende tips, komen wel van pas. Zo is het verstandig ook op de hardware altijd het wachtwoord aan te passen (‘adminadmin’ is makkelijk te kraken), te kiezen voor multifactor authenticatie voor alles waar moet worden ingelogd en voor een passwordmanager met daarop weer een wachtwoord om het mogelijk te maken veel goede, sterke wachtwoorden te gebruiken. Maar is zo’n passwordmanager dan niet weer een risico? Ja, zo erkende ook Colinda de Beer van InnovationQuarter een van de sprekers, maar het risico is in ieder geval lager dan overal hetzelfde wachtwoord.

‘Aircomonteurs’
Naast Colinda de Beer spraken ook Kevin Kleijwegt van Hoogendoorn en Danny den Hollander van Beekenkamp. Ook zij deelden tips en eigen ervaringen. Zo adviseerde Kevin om als teler niet je mail te openen op de klimaatcomputer en de 3-2-1 back up-regel te gebruiken (originele data, back-upschijf en in de cloud met een wachtwoord erop).

Na het zien van een filmpje van een mensen die met een ladder overal zomaar binnen konden wandelen, vertelde Danny over de tests die Beekenkamp op het bedrijf heeft laten uitvoeren om te kijken hoe goed Beekenkamp als bedrijf beveiligd is. Dat werd een eyeopener, want de ‘aircomonteurs’ bleken tot in het serverhok te kunnen komen.

“Goede kleding aan hebben en geloof in het goede van de mens maakte dat mogelijk”, vertelde Danny. “Daarom kan het echt geen kwaad aan de monteur in de kas te vragen wat hij komt doen.” “En om, hoe makkelijk het ook is als de toeleverancier op afstand kan inloggen, een gemak-risico-afweging te maken voor installaties of het echt nodig is”, vulde Kevin aan. “Sowieso kan het goed zijn altijd ook iemand van het eigen bedrijf fysiek mee te laten kijken bij zo’n login op afstand.”

Encryptie
En dan zijn er nog data. Dat worden er steeds meer, maar de vraag is inmiddels hoeveel data je wilt bewaren. Data die er niet meer is, kan namelijk ook niet in verkeerde handen vallen, stipte Kevin aan. Om die reden is het ook niet aan te raden zakelijke pc’s en mobiele telefoons mee te nemen naar ‘risicolanden’ zoals China, Rusland of de Verenigde Staten. Even een ‘check’ bij de douane en voor je het weet staat er spyware op. Diverse mensen in de zaal konden over, op z’n minst dat vermoeden, meepraten. En mocht het niet anders kunnen, denk dan eens aan encryptie van data of het meenemen van een lege laptop of pc enkel voor dat ene bezoek.

Hacken om van te leren
Na een goed uur was het aan Roel van Heijningen van Lentiz om af te sluiten met de vraag ‘En hoe nu verder?’ Geopperd werd digitale veiligheid op te laten nemen in het Lentiz-curriculum, een nulmeting te gaan organiseren in de tuinbouw om te kijken wat de voornaamste aandacht- en/of risicopunten zijn en cursussen te organiseren voor telers om elkaar te leren hacken om zodoende de risico’s in te gaan zien.

Technisch hacken, of ethisch hacken zoals dat ook wel heet waarbij hackers besluiten bedrijven te hacken en ze daarvan netjes op de hoogte te stellen (tegen een flinke financiële vergoeding eventueel), is ook iets om over na te denken. In de tuinbouw is het (nog) geen gemeengoed, al snapt iedereen ook dat als een kilo tomatenzaad peperduur is (en dat is het), de gegevens over nieuwe rassen niet op straat mogen komen te liggen en er dus belang is bij goed digitaal dichtgetimmerd zijn.

Kortom, wie na de bijeenkomst of na het lezen van het bovenstaande tot denken is aangezet: stuur een mail naar colina.debeer@innovationquarter.nl 

Gepubliceerd via Groentennieuws op 13 maart 2020