Recent onderzoek onder 245 maakbedrijven toont aan dat een derde nog altijd onvoldoende beveiligd is – een risico dat de hele sector raakt. Remco Geerts, business unit manager cybersecurity & networking van IT-dienstverlener Cegeka, ziet dagelijks hoe urgent het probleem is geworden. “Zo’n 60 procent van de Nederlandse innovatie komt voort uit de maakindustrie, waar één op de negen mensen werkt”, stelt Jac-Rice van Brunschot, sector lead manufacturing, eveneens bij Cegeka. “We hebben daar als IT-sector ook een morele verplichting.”

Fundamentele basis ontbreekt vaak Het onderzoek van Cegeka, onlangs gepubliceerd, onthult tekortkomingen. Van de 245 onderzochte bedrijven scoort 68 procent nog redelijk tot goed op cybersecurity. Maar 82 bedrijven – ruim een derde – scoren gemiddeld een 4,3 op een schaal van tien. Bij goed beveiligde bedrijven worden de scores geleidelijk beter, terwijl slecht beveiligde bedrijven in 90 dagen tijd 50 procent achteruitgaan. “Dat betekent dat ze alleen ad hoc maatregelen nemen en geen continu proces hebben ingericht om de veiligheid te waarborgen”, aldus Van Brunschot.

De problemen beginnen bij de basis: open poorten zonder businessfunctie; verouderde protocollen; content managementsystemen met simpele username-wachtwoordcombinaties. “Aanvallers hebben maar één kleine opening nodig om binnen te komen”, waarschuwt Geerts. “Met basis securitymaatregelen zoals multi-factor authenticatie kun je al veel voorkomen.”

Ketenreactie met verwoestende impact Digitalisering in de maakindustrie betekent ook toenemende verwevenheid. IT-omgevingen worden gekoppeld aan operationele technologie (OT) en bedrijven integreren supply chains digitaal. Van Brunschot: "Realiseer je dat je niet op jezelf bent, maar in een keten werkt. Als één van je partners eruit ligt, dan kan bij jou ook de productie of uitlevering stilstaan."

De impact reikt veel verder dan één bedrijf. In september dit jaar werd Jaguar Land Rover zwaar getroffen door een cyberaanval, waardoor fabrieken zijn stilgelegd en er sprake was van een datalek. Ook andere producenten werden recent geraakt, waaronder een Amerikaanse leverancier van automotive software in juni vorig jaar en een Duitse batterijfabrikant in februari vorig jaar.

Ransomware blijft de grootste bedreiging. “De eerste stap is binnenkomen”, legt Geerts uit. “Daarna volgt het uitrollen van malware en data stelen, of zelfs onklaar maken en vernietigen ervan.” AI kan aanvallers helpen om makkelijker toegang te krijgen of aanvallen uit te voeren. Eenmaal binnen kunnen ze van IT- naar OT-omgevingen overstappen en complete productielijnen stilleggen.

Boardroom-verantwoordelijkheid “Cybersecurity is geen IT-vraagstuk maar gaat over bedrijfscontinuïteit”, benadrukt Geerts. De nieuwe NIS2-wetgeving maakt dit nog explicieter door bestuursaansprakelijkheid in te voeren. CEO's en bestuurders kunnen persoonlijk aansprakelijk gesteld worden voor cyberincidenten. Geerts: “Het hoort bovenaan de agenda van de board te staan. Zodra dat gebeurt en de governance goed is ingericht, kun je het ook aansturen via periodieke rapportages over voortgang en risico's.”

De parallel met fysieke veiligheid ligt voor de hand. Net zoals bedrijven veiligheidshelmen en nooduitgangen als vanzelfsprekend beschouwen, moet cybersecurity geïntegreerd worden in alle bedrijfsprocessen. “Wat zijn mijn digitale kroonjuwelen? Hoe ga ik die beschermen? Ook dat moet je uitdragen”, stelt Van Brunschot.

Slimmer investeren in beveiliging Voor bedrijven die nu moeten beginnen, adviseert Cegeka een gefaseerde aanpak. “Begin met inzicht krijgen in je risico's en impact”, raadt Geerts aan. “Bepaal welk security-niveau je ambieert, maak een strategie en een roadmap. Begin met maatregelen die de meeste impact hebben op je grootste risico’s en de minste impact op kosten en je medewerkers: het laaghangend fruit.”

Fundamentele zaken zoals back-up, endpoint detection en netwerksegmentatie kunnen al veel voorkomen. “En heel vaak wordt multi-factor authenticatie vergeten, terwijl dat al ervoor kan zorgen dat een aanvaller die je wachtwoord raadt, nog steeds geen toegang krijgt.”

Als full-service technology partner biedt Cegeka verschillende samenwerkingsmodellen: van volledige uitbesteding tot team extension en projectmatige ondersteuning. “We kennen zowel de oude als nieuwe wereld”, legt Van Brunschot uit. “In maakbedrijven blijft veel on-premise, maar er gaat ook veel naar de cloud. Wij begrijpen beide.”

De urgentie neemt alleen maar toe. Met kunstmatige intelligentie worden zowel aanvallen als verdedigingsmaatregelen steeds geavanceerder. “Het is een wapenwedloop”, constateert Geerts. “We moeten steeds harder automatiseren en innoveren om alle alerts bij te houden.”

Voor de Nederlandse maakindustrie staat veel op het spel. Digitalisering is onvermijdelijk, maar veiligheid mag geen bijgedachte zijn. Zoals Van Brunschot samenvat: “Cybersecurity en digitale weerbaarheid moeten net zo vanzelfsprekend worden als kwaliteit en veiligheid. Anders gaat je bedrijf op zwart.”