Bedrijven worden steeds afhankelijker van hun digitale systemen. En aanvallen door cyber criminelen nemen toe in aantal en creativiteit. Dit is een groeiende industrie met klaarblijkelijk interessante verdienmodellen. Uit onderzoek blijkt dat cybercriminaliteit op dit moment de belangrijkste bedreiging is voor bedrijfscontinuïteit. Deze sector update gaat over het thema cyber security in de bouwsector en beoogt het bieden van informatie en inzichten om het thema hoog op de strategische agenda te plaatsen.
"}},{"componentType":"sectionTitle","title":"Digitalisering heeft naast alle voordelen ook nadelen"},{"componentType":"paragraph","richBody":{"value":"Volgens de Digital Economy and Society Index (DESI) is het Nederlandse bedrijfsleven koploper binnen Europa als het gaat om digitalisering. Automatisering en digitalisering is inmiddels de backbone van praktisch elk bedrijf. Dat heeft ons veel gebracht zoals verhoging van de arbeidsproductiviteit. Maar ook nieuwe digitale producten en afzetkanalen en betere samenwerking in de keten. Digitalisering heeft naast alle voordelen ook nadelen. Het gaat dan vooral om de kwetsbaarheid voor cybercriminaliteit.
"}},{"componentType":"sectionTitle","title":"Toenemende dreiging van cybercriminaliteit"},{"componentType":"paragraph","richBody":{"value":"De laatste tijd komt het steeds vaker voor: bedrijven en organisaties die slachtoffer worden van een (geslaagde) cyberaanval. Naast grotere organisaties die in het nieuws komen, zijn ook vele kleinere bedrijven het doelwit van cybercriminelen. De versnelling in digitalisering door de pandemie, de beweging van organisaties naar de cloud en de toename van het aantal met een netwerk verbonden apparaten, voedt de toenemende dreiging. Daarnaast worden aanvallers steeds professioneler en zetten zij geavanceerde automatisering in. De jaarlijkse geschatte schade ligt momenteel tussen de 8 en 12 miljard euro en neigt sterk te zullen stijgen in de komende jaren. De toenemende cyberdreiging vraagt extra stappen van IT-dienstverleners om bedrijven te beschermen. Hierover heeft ING op 20 januari een uitgebreide studie gepubliceerd.
"}},{"componentType":"sectionTitle","title":"Ransomware en economische spionage"},{"componentType":"paragraph","richBody":{"value":"In 2021 zijn er in de media 168 cyberincidenten bekend geworden. Dat is volgens DataLekt (een voorlichtingssite over hacks en datalekken) een stijging van 240% en nog maar het topje van de ijsberg. Een groot deel van de geslaagde cyberaanvallen in de media draait om ransomware of gijzelsoftware. Hierbij nemen hackers de controle over van data of IT-infrastructuur van een organisatie. Daarna blokkeren ze de toegang met behulp van encryptie totdat losgeld is betaald.
In veel gevallen wordt data ook gestolen, zogenoemde double extortion. Recent waren naast Media Markt ook Colonial Pipeline, JBS Foods, RTL Nederland, Mandemakers, VDL, ROC Mondriaan en honderden andere bedrijven en instellingen slachtoffer. Naast ransomware, hetgeen voor bedrijven vaak een acute dreiging vormt, is er ook sprake van economische spionage. Cybercriminelen die gericht zijn op het stelen van bedrijfsgeheimen zoals intellectueel eigendom. Dit bedreigt het lange termijn verdienvermogen van bedrijven.
"},"alignedImage":{"position":"bottom","transformBaseUrl":"https://assets.ing.com/transform/20d5d197-9ead-4a24-bf88-85579feeba2a/Forse-stijging-ransomware-aanvallen_tcm162-235455","original":"https://assets.ing.com/m/2feb06a7ffa14df6/original/Forse-stijging-ransomware-aanvallen_tcm162-235455.png","extension":"png"}},{"componentType":"sectionTitle","title":"Welke verschillende soorten van cyberaanvallen zijn er?"},{"componentType":"paragraph","richBody":{"value":"Hieronder vind je de belangrijkste categorieën:
In de afgelopen jaren is er een versnelling in digitalisering opgetreden in de bouwsector. Dat heeft er mede voor gezorgd dat de productiviteit in de bouw verder toegenomen is. Hard nodig om belangrijke maatschappelijke thema’s als het verduurzamen van gebouwen en het bouwen van nieuwe woningen te faciliteren. Bouwbedrijven maken steeds meer gebruik van nieuwe technologie. De complexer wordende processen worden daardoor beter beheersbaar en het is mogelijk om een gestandaardiseerd product op maat te bieden. Vooral innovatie in digitalisering zorgt voor efficiencyslagen. Ten opzichte van andere sectoren staat de digitale transformatie in de bouw nog in de kinderschoenen.
"},"alignedImage":{"position":"bottom","transformBaseUrl":"https://assets.ing.com/transform/12779b11-7eec-4ded-8a5a-f99c048f331a/mate-van-digitale-transformatie-in-sectoren_tcm162-235533","original":"https://assets.ing.com/m/a008187ec34b041/original/mate-van-digitale-transformatie-in-sectoren_tcm162-235533.png","extension":"png"}},{"componentType":"sectionTitle","title":"Bouw heeft wel digitale inhaalslag gemaakt"},{"componentType":"paragraph","richBody":{"value":"De bouw liep jaren achter met digitalisering ten opzichte van andere sectoren. In de periode 2010-2015 heeft de sector echter een enorme inhaalslag gemaakt. Internet werd in deze periode mobiel en dat is voor de bouwsector noodzakelijk omdat steeds op andere plekken (de bouwplaats) wordt gewerkt. De voordelen zijn groot:
Uit onderstaande grafiek blijkt dat het tempo van digitalisering in de bouw in Nederland goed scoort in vergelijking met andere EU landen.
"},"alignedImage":{"position":"bottom","transformBaseUrl":"https://assets.ing.com/transform/cf23fcf6-d805-4b18-b482-57afbac700bf/Nederlandse-bouwbedrijven-koplopers-in-digitalisering-maar-groeitempo-neemt-af_tcm162-235534","original":"https://assets.ing.com/m/e464da94f8abed4/original/Nederlandse-bouwbedrijven-koplopers-in-digitalisering-maar-groeitempo-neemt-af_tcm162-235534.png","extension":"png"}},{"componentType":"sectionTitle","title":"Bouwsector scoort ondermaats op ICT-veiligheid"},{"componentType":"paragraph","richBody":{"value":"Met de toenemende digitalisering in de bouw nemen ook de risico’s toe. Het stijgende aantal cyberincidenten zijn zorgwekkend. Onderstaande grafiek (Bron: DataLekt) geeft een overzicht van het aantal incidenten dat per branche in de media terecht zijn gekomen.
In werkelijkheid is het aantal hoger. Met een relatief aandeel van 1,2% komt ‘Bouw, Installatie en Infrastructuur’ er nog goed van af. Zeker in ogenschouw genomen dat het aantal bedrijven in deze sector erg hoog is (ruim 15% van alle bedrijven in Nederland) alhoewel de digitalisatie nog relatief laag is.
"},"alignedImage":{"position":"bottom","transformBaseUrl":"https://assets.ing.com/transform/e1fb21df-1c70-4987-a8b9-4a53b1408687/datalekt-per-branche_tcm162-235536","original":"https://assets.ing.com/m/2addfc5c86c8a742/original/datalekt-per-branche_tcm162-235536.png","extension":"jpg"}},{"componentType":"paragraph","richBody":{"value":"Uit onderstaande grafiek blijkt dat de veiligheidsmaatregelen die de bouw treft ondermaats zijn in vergelijking met andere sectoren. Een paar verklaringen zouden debet kunnen zijn aan dit feit. Binnen de bouw wordt nog relatief weinig gewerkt met IoT. Hierdoor is het ook niet nodig om te beveiligen. Verder is de continuïteit minder een issue omdat de afhankelijkheid van ICT nog relatief beperkt is. De bouw is nog meer een ambachtelijke sector dan andere sectoren. En is de afhankelijkheid van andere partijen in de supply chain minder. Men kan immers ook terecht bij leveranciers die niet geraakt zijn.
"},"alignedImage":{"position":"bottom","transformBaseUrl":"https://assets.ing.com/transform/a9a2d980-b5a9-44f8-a449-6392ab164a80/percentage-bedrijven-dat-ICT-veiligheidsmaatregelen-gebruikt_tcm162-235537","original":"https://assets.ing.com/m/2255dd824cea0f66/original/percentage-bedrijven-dat-ICT-veiligheidsmaatregelen-gebruikt_tcm162-235537.png","extension":"png"}},{"componentType":"paragraph","richBody":{"value":"Echter: De bouw wordt niet alleen veel digitaler, de productie vindt ook meer en meer op een geïndustrialiseerde manier plaats. De sector ontwikkelt zich langzaam maar zeker van een project industrie naar een procesindustrie. Hierdoor worden supply chains anders ingericht en ontstaat een afhankelijkheid van (keten)partners. Deze partners treden toe tot elkaars digitale omgevingen. Ook nu al wordt in de projectomgeving al in BIM samengewerkt. De basis onder deze manier van werken is dan ook al nagenoeg geheel digitaal. Productieproblemen, bijvoorbeeld veroorzaakt door cybercriminaliteit, leiden in dergelijke gevallen sneller tot continuïteitsrisico’s. Dus het is achterhaald om de beveiliging van de systemen niet hoog op de prioriteitenagenda te plaatsen.
Ergo: Ook de bouw zal in hoge mate gedigitaliseerd worden. De huidige staat van veiligheidsmaatregelen lijkt niet meer afdoende.
"}},{"componentType":"sectionTitle","title":"Voorbeelden van bouwbedrijven die getroffen zijn door cybercriminaliteit"},{"componentType":"paragraph","richBody":{"value":"ING heeft recent een cybersecurity webinar georganiseerd. Hier wordt onder meer ingegaan op waar je op kan sturen en hoe je de impact van een aanval kunt beperken.
Het Ministerie van Economische zaken en klimaat heeft op een rijtje gezet hoe je met de gevolgen van cybercrime om kunt gaan. En welke stappen je kan ondernemen om cybercrime beter te kunnen beheersen. De toenemende risico’s op cybercriminaliteit zijn geen reden om te stoppen met digitalisering, wel aanleiding om online veiligheid in de organisatie op orde te brengen. Bouwend Nederland heeft de problematiek rondom de Log4j tool in kaart gebracht. Log4j is een tool waarmee websitebouwers logs kunnen genereren voor online toepassingen die op Java worden gebouwd. Logs zijn een essentieel onderdeel van ieder platform, iedere dienst of oplossing. Ze houden bij wat er precies gebeurt. Onlangs is er een kwetsbaarheid in Log4j ontdekt die al veel bedrijven heeft geraakt. Mogelijk heb je hier in je bedrijf mee te maken (gehad).
"}},{"componentType":"sectionTitle","title":"Ontwikkeling op gebied van wetgeving"},{"componentType":"paragraph","richBody":{"value":"Binnen de EU is de NIS 2 in voorbereiding. Dat is een richtlijn voor netwerk en informatie security. De nieuwe NIS 2 zal bedrijven met een jaaromzet meer dan € 10 miljoen en/of > 50 werknemers gaan gelden in veel meer sectoren dan tot nu toe. Dus ook in de bouwsector. De aangepaste richtlijn is niet langer vrijblijvend. Bestuurders en managers kunnen dan ook persoonlijk worden aangesproken. Hiermee komt de verantwoordelijkheid voor digitale veiligheid bij het management zelf te liggen. De richtlijn moet in de loop van 2022 ingaan en behoeft nog vertaling in nationale wetgeving. Dit heeft prioriteit.
"}},{"componentType":"sectionTitle","title":"Welke afweging maken bedrijven?"},{"componentType":"paragraph","richBody":{"value":"In Nederland is het aantal incident response cybersecurity bedrijven beperkt. Dit zijn de bedrijven die je helpen nadat je geconfronteerd bent met cyber criminaliteit. Northwave is een goed voorbeeld van zo’n bedrijf. Ondernemers zullen hiermee rekening moeten houden bij het opstellen van hun actieplannen. Bijvoorbeeld met het bewust afwegen van de vraag of je capaciteit op voorhand inkoopt van een dergelijk incident response cybersecurity bedrijf of dat je het hackmoment afwacht. Het risico is dan om nul op het rekest te krijgen bij een verzoek tot incident response. Een belangrijke afweging. Zo zijn er meer afwegingen die gemaakt kunnen worden bij het nemen van beslissingen over investeringen in cybersecurity.
In onderstaande afbeelding lees je welke afwegingen ondernemers maken alvorens te beslissen.
"},"alignedImage":{"position":"bottom","transformBaseUrl":"https://assets.ing.com/transform/958492ec-11b6-4067-b222-e22c33918e09/afwegingen-ondernemers_tcm162-235538","original":"https://assets.ing.com/m/1b8827aef2160c22/original/afwegingen-ondernemers_tcm162-235538.png","extension":"png"}},{"componentType":"sectionTitle","title":"Meer tips voor ondernemers"},{"componentType":"paragraph","richBody":{"value":"Ik stel het op prijs als je de survey wilt invullen (één multiple choice vraag).
"}},{"componentType":"sectionTitle","title":"Andere sectoren"},{"componentType":"paragraph","richBody":{"value":""},"textLinks":[{"url":"/zakelijk/sector/all-sectors/sector-thema-updates-cybersecurity","text":"Benieuwd naar cybersecurity in andere sectoren?"}]},{"componentType":"linkList","iconTitle":{"title":"Meer over"},"textLinks":[{"url":"/zakelijk/sector/building-and-construction","text":"Building & Construction"},{"url":"/zakelijk/sector/all-sectors/sector-thema-updates","text":"Sector thema updates"}]},{"componentType":"linkList","iconTitle":{"title":"Kennis over de economie"},"textLinks":[{"url":"/zakelijk/economie","text":"Onze economie"},{"url":"/zakelijk/sector/all-sectors","text":"Jouw sector"}]}]},"complementaryZone":{"flexComponents":[{"componentType":"cards","cards":[{"componentType":"productCard","cardType":"product","cardSize":"small","title":"Jan van der Doelen","intro":"Sector Banker Building & Construction","body":"Jan van der Doelen","image":{"transformBaseUrl":"https://assets.ing.com/transform/e93a53d8-0c66-4402-94a2-a995c3da75c5/Jan-van-der-Doelen-ING-Sector-Banking","type":"image","width":4023,"original":"https://assets.ing.com/m/d772660dd5d60923/original/Jan-van-der-Doelen-ING-Sector-Banking.jpg","extension":"jpg"},"link":{"url":"/zakelijk/sector/building-and-construction/jan-van-der-doelen"}}]}]}}}