Digitalisering wordt omarmd door de sector, blijkt uit het onlangs gepubliceerde Trendrapport Sierteelt. Tegelijkertijd zorgt dit voor flinke uitdagingen op het gebied van cybersecurity. Mede daarom wordt multi-factorauthenticatie (MFA) volgend jaar stapsgewijs verplicht gesteld voor alle gebruikers van Floriday. Chief Information Officer (CIO) André van der Linden en Chief Information Security Officer (CISO) Bas Wevers waarschuwen: "Vergis je niet: maandelijks worden de inloggegevens van meerdere Floriday-accounts te koop aangeboden op het dark web."
In het Trendrapport Sierteelt komt naar voren dat 29% van de kwekers concrete stappen gezet heeft op het gebied van digitale veiligheid. 16% is recent begonnen met maatregelen. Maar er is ook een groep die nog niet actief bezig is met online veiligheid. Slechts 13% van de kwekers acht zichzelf volledig gedekt tegen een eventuele hack door cybercriminelen. 
© Royal FloraHolland
Brandblussers
"Een alarmerend cijfer, maar het bevestigt het beeld dat we binnen Royal FloraHolland al hadden. Cybersecurity is een onderwerp dat bij veel bedrijven niet tot de verbeelding spreekt. Een beetje een ver-van-mijn-bedshow", zegt CIO André van der Linden. "En dat terwijl je digitale omgeving 'gewoon' een van je vele bedrijfsmiddelen is die je moet beschermen. Net als je pand of je wagenpark. Als je een ondernemer vraagt of hij brandblussers heeft, zegt ie: natúúrlijk. Terwijl de kans op brand kleiner is dan de kans op een hack of cyberaanval. Het is een feit dat veel mkb-ondernemingen, ook in de sierteelt, digitaal onvoldoende beschermd zijn."
Inloggegevens Floriday te koop op dark web
Cyberaanvallen zijn ook helemaal niet zo'n ver-van-mijn-bedshow zijn als ondernemers wellicht denken. "Vergis je niet: maandelijks worden één tot twee leden getroffen door infostealers", zegt Bas Wevers. Hij is sinds 2021 CISO bij Royal FloraHolland en werkte daarvoor ruim 15 jaar in vergelijkbare functies bij organisaties in diverse branches. "De inloggegevens van hun Floriday-account worden gestolen en te koop aangeboden op het dark web (een online marktplaats waar criminele gegevens worden verhandeld). Inmiddels is dit dusdanig aan de orde van de dag, dat we standaard draaiboeken hebben om de communicatie hierover te doen. We informeren de bedrijven die het betreft. Die zijn vaak blij dat ze het van ons horen, maar anders hadden ze het niet geweten. Tot nu toe valt de schade mee, maar als de inloggegevens worden verkocht aan iemand die écht kwaad wil, kan de schade grote vormen aannemen. De sierteelt is een grote en economisch belangrijke sector. En dus interessant voor cybercriminelen."
Economische en imagoschade
Worst case scenario? Volgens André zijn dat er drie: "Als kwekers gehackt worden, is er geen aanbod op ons platform. Als kopers gehackt worden, is er geen vraag. En als we zelf gehackt worden, is er geen marktplaats. Dan hebben we het over beschikbaarheid, maar dan is er ook nog data-integriteit. Want wat als de aangeboden aantallen niet kloppen? Of er wordt gerommeld met duurzaamheidscertificeringen?"
Bas vult aan: "In alle gevallen levert dat economische schade op. Daarnaast wordt ook het vertrouwen in Royal FloraHolland geschaad. En dat zorgt weer voor reputatieschade. De krantenkop 'Geen bloemen met Moederdag' is wat mij betreft een van de grootste nachtmerriescenario's."
André: "We moeten dus investeren om de keten draaiende te houden. Anders hebben we daar als coöperatie last van. Je bent zo sterk als je zwakste schakel. Cybersecurity is echt iets van ons samen."
Bewustwording is het begin
"Het begint bij bewustwording", stelt André. Daarin ziet Royal FloraHolland ook een rol voor zichzelf weggelegd. "Wij investeren heel veel in het bewustzijn van onze medewerkers met betrekking tot cybersecurity. Maar als coöperatie hebben we een verantwoordelijkheid richting de sector." Bas benadrukt dat Royal FloraHolland ondernemers op diverse manieren kan ondersteunen. "Het is lastig om je digitaal te beschermen. Ondernemers weten vaak niet waar ze moeten beginnen. En cybercriminelen ontwikkelen ook telkens weer nieuwe manieren. Wij investeren actief in het informeren en de eerste stappen zetten met kwekers. Mede op ons initiatief is het Cyberweerbaarheidscentrum Greenport in 2023 opgericht. Ook bieden we onze leden een gratis cyberabonnement met crisisoefeningen, regelmatige cyberupdates en brede kennisdeling binnen de sector."
Verplichte MFA
De (aanstaande) verplichting om multi-factorauthenticatie verplicht te stellen, is ingevoerd in samenspraak met kwekers, kopers en Royal FloraHolland, in het Sector Platform overleg. Bas: "Dat is een eerste stap, waarmee we het voor cybercriminelen in ieder geval een stuk moeilijker maken om toe te slaan. Daarnaast kunnen bedrijven nog veel meer dingen doen. Op sommige vlakken kunnen wij daar als Royal FloraHolland iets in betekenen. Maar meeste dingen moeten bedrijven echt zelf aanpakken."
Kwekers doen het voor zichzelf
In de bewustwording over het hoe en waarom van cybersecurity valt nog genoeg te doen, concludeert André. "Sommige ondernemers denken dat ze dit allemaal voor Royal FloraHolland doen, om onze systemen en data veilig te houden. Maar uiteindelijk doen we dit voor het verbeteren van de cybersecurity en dataveiligheid van kwekers zelf. Als accountgegevens worden buit gemaakt, kan het voorkomen dat aanbod in Floriday niet klopt of kan er gekocht worden tegen andere prijzen."
Continu proces
Zelfs een groot incident zorgt niet voor blijvende bewustwording. Andre: "Er komen wel eens incidenten voor waarbij bedrijven in de sector last hadden van ransomware. Uiteindelijk was dit op een moment dat er weinig handel was en kon er snel een oplossing gevonden worden waardoor de schade meeviel. Maar toch was het schrikken voor iedereen in de sector. Cybersecurity is dan een paar maanden top of mind, maar daarna vertroebelt de aandacht weer. Dat laat zien dat we continu kennis moeten blijven delen met elkaar en de bewustwording continu moeten blijven vergroten. Want er komt een tijd dat dit géén ver-van-mijn-bedshow meer is. Dan ben je waarschijnlijk te laat. Dat moeten we voorkomen; voor de kwekers en kopers, voor Royal FloraHolland én voor de sector."
Bron: Royal FloraHolland
Cybersecurity in de sierteelt
