Winkelmand

Geen producten in de winkelwagen.

Cybersecurity: ‘Als het beleid klaar is, zijn je gegevens al gestolen’

Met het winnen van de BMC Cyber Award van Deloitte hoopt distributeur Shimano een voorbeeld te zijn voor andere bedrijven. Belangrijkste tip? ‘Reageer snel. Voordat je beleid hebt gemaakt, zijn je gegevens al gestolen.’

Foto: Getty Images

Het is misschien niet voor de hand liggend om een Europese distributeur in fietsonderdelen en visspullen te bestoken met phishing mail. Toch gebeurde het in 2015 bij Shimano Europa. Het laat volgens senior ICT-manager Toine Siemerink zien hoe geraffineerd hackers anno 2017 zijn. ‘Het kan echt ieder bedrijf overkomen.’

Met ransomware – waarbij bestanden worden geblokkeerd door een link in een mail en enkel ontgrendeld kunnen worden voor grote sommen geld – probeerden hackers gegevens van Shimano eigen te maken. ‘We klinken misschien niet heel interessant op het eerste oog, maar we zijn marktleider op het gebied van fietsen. Als ontwerpgegevens gestolen worden, kan dat voor ons extreem nadelig uitpakken.’

Maar hoe creëer je meer bewustzijn in een bedrijf met verkooppunten door heel Europa? ‘We verkopen en distribueren onze producten van Finland tot Turkije. Bovendien verschillen onze vestigingen nogal in grootte. Op het hoofdkantoor is veel kennis aanwezig over cybersecurity, maar kleine vestigingen met 10 medewerkers zijn daar minder mee bezig.’

Management

Shimano koos voor een top-down benadering van het probleem: eerst het management overtuigen dat er een probleem is. Volgens Siemerink is dat de enige manier om het probleem te tackelen. ‘Het is een enorm bedrijfsrisico, de gevolgen van phishing zijn door de jaren heen toegenomen. Als je als management door je personeel op die gevaren gewezen moet worden, ben je volgens mij niet goed op de hoogte van de risico’s voor je bedrijf.’

Het management was gelukkig snel overtuigd van de grote gevaren. ‘Doordat er voor ons een reëele dreiging was, werd er topprioriteit aan gegeven. Het MT en alle landenvertegenwoordigers werden verplicht om een videoconference bij te wonen waarin wij een presentatie gaven. Daarin kozen we voorbeelden die direct betrekking hadden op ons bedrijf. Met hypothetische gevallen hadden we denk ik niet zo’n indruk gemaakt.’

Wachtwoorden

Daarna was het begin 2016 de beurt aan de medewerkers om mee te werken aan het security awareness programma dat Siemerink samen met zijn voorganger ontwikkelde. ‘Zelf hadden wij als IT al heel wat gedaan met firewalls, encryptie van documenten en spam filters, maar je kunt als IT-afdeling niet alle producten zelf aanpakken.’

Medewerkers werden verplicht in een e-learning een module over wachtwoorden, laptops en phishing te volgen. ‘We hebben deze module in zes talen laten vertalen, zodat het voor iedereen begrijpelijk zou zijn. Doordat het instapniveau van medewerkers nogal verschilde, hebben we het kennisniveau expres laag gehouden. Op die manier waren er misschien veel dingen die mensen wel wisten, maar ze werden nog eens met hun neus op de feiten gedrukt.’

Door de cognitieve dissonantie die rondom dit onderwerp hangt is herhaling volgens Siemerink nooit verkeerd. ‘Heel veel mensen weten wel dat ze niet de naam van hun kind als wachtwoord moeten doen, maar ze denken dat diefstal of phishing hun echt niet zal overkomen. Door de geraffineerde werkwijze van hackers kan het écht iedereen overkomen.’

Test

De praktische manier waarop Shimano het probleem aankaart werkt volgens Siemerink beter dan het eindeloos formuleren van beleid. ‘Dit is de realiteit, je moet er nu iets mee. Je kunt ellenlang beleid schrijven, maar tegen de tijd dat dat klaar is zijn je gegevens bij wijze van spreken al gestolen. Het gaat razendsnel.’

Het programma breidt zich dit jaar uit met meer modules, een ambassadeur die verantwoordelijkheid is voor security binnen het bedrijf en een meldpunt. Ook volgt een protocol voor medewerkers over wat ze moeten doen als zich een calamiteit voor doet. ‘Op die manier maken we medewerkers duidelijk dat we ook inzet van hen verwachten en dat we het serieus nemen.’

Als laatste test maakt het bedrijf een phishing mail die naar alle medewerkers verstuurd wordt op een onverwacht moment. ‘Het is de ultieme test om te zien of mensen opgelet hebben en de ernst van de situatie inzien.’MT02 Familiebedrijven

Wekelijks de nieuwsbrief van Management & Leiderschap ontvangen?



Door je in te schrijven ga je akkoord met de algemene en privacyvoorwaarden.

 

Shimano Europa won de BMC Cyber Award op het Best Managed Companies gala van Deloitte. Lees er alles over in het nieuwe nummer van Management Team.