In januari 2025 wist een hacker dagenlang ongezien door het netwerk van de Technische Universiteit Eindhoven (TU/e) te bewegen. Pas op de vijfde dag werd de aanval ontdekt. Nét op tijd om erger te voorkomen. Geen ransomware, geen groots datalek. Maar dat was vooral te danken aan snelle, doortastende actie en forse inzet van (kostbare) specialisten. En dat is precies wat deze hack zo confronterend maakt: als zelfs een kennisinstituut als TU/e dit nauwelijks kon voorkomen, wat zegt dat dan over organisaties die níet dagelijks met cybersecurity bezig zijn, zo vraagt Patrick Jordens zich in deze bijdrage af.
De AGF-sector draait op digitale systemen
In de AGF-sector is de digitalisering al lang geen bijzaak meer. Koelhuizen worden aangestuurd via slimme systemen, sorteermachines draaien op geautomatiseerde processen, en logistiek verloopt via geïntegreerde ERP-pakketten. Zonder IT én OT staat alles stil.
Denk aan:
- De sorteerlijn die met vision-technologie bepaalt wat wel of niet door mag;
- Een geautomatiseerd koelsysteem dat 24/7 de temperatuur bewaakt;
- Orderverwerking die direct in verbinding staat met transporteurs en supermarkten
Wat als één van die schakels wordt platgelegd door een cyberaanval? Dan heb je het niet over een paar uurtjes oponthoud, maar over bederf, contractbreuk, boetes en reputatieschade. Een week stilstand, zoals bij TU/e, is in de AGF-sector soms simpelweg fataal voor een oogst of leverafspraak.
Wat ging er mis bij TU/e – en wat herkennen we?
De hacker kwam binnen via gestolen inloggegevens. Er was geen multifactorauthenticatie actief. Dat is al de eerste parallel: veel AGF-bedrijven gebruiken nog steeds eenvoudige wachtwoorden zonder aanvullende controle. Vervolgens verplaatste de aanvaller zich slim en onopvallend door het netwerk. Geen alarmbellen, geen zichtbare schade. Pas toen de hacker beheerrechten had op cruciale systemen, werd hij ontdekt.
Vergelijk dit eens met een AGF-bedrijf:
- Heeft het klimaat- of irrigatiesysteem in de kas of loods een aparte beveiligingslaag, of zit alles op hetzelfde netwerk?
- Weet je wie er allemaal toegang heeft tot dat systeem? Ook op afstand?
- En zou je het überhaupt merken als iemand meekijkt, instellingen verandert of data manipuleert?
Bij TU/e zat er een team klaar, samen met Fox-IT, om snel te schakelen. Ze haalden alles offline en konden in korte tijd herstellen. Maar laten we eerlijk zijn: de meeste AGF-bedrijven hebben zo'n team niet paraat. Laat staan een draaiboek.
Kennis is niet genoeg – voorbereiding maakt het verschil
De fout zit 'm zelden in onwetendheid over techniek. Ook bij AGF-bedrijven is er vaak wel basiskennis. Het probleem zit in de structuur en de grote afhankelijkheid van externe IT/OT-leveranciers. In het ontbreken van duidelijkheid: wie doet wat als het fout gaat? Wie schakelt welke systemen uit? Hoe communiceer je naar klanten?
Bij TU/e werkte het omdat er oefening, overleg en afstemming was tussen IT, bestuur en specialisten. In de AGF-sector is dat niveau van voorbereiding eerder uitzondering dan regel. Juist omdat de aandacht vaak uitgaat naar het product: het fruit, de groente, de logistiek – en niet naar het netwerk dat alles draaiende houdt.
Cyberveiligheid is geen IT-feestje
Wie denkt: "Ik heb een firewall, dus ik zit goed", leeft gevaarlijk. Firewalls zijn nuttig, maar ze lossen geen organisatorische problemen op. Zoals het feit dat medewerkers op vrijdagmiddag hun wachtwoorden delen met de inhuurkracht. Of dat de enige IT'er op vakantie is wanneer de ellende losbarst.
Weerbaarheid zit in veel meer dan techniek:
- Heldere procedures: wie beslist bij een cyberincident?
- Bewustwording: herkent een medewerker een verdachte mail?
- Oefening: weet je hoe je systemen afsluit, communiceert met afnemers en doordraait als systemen platliggen?
Een goed crisisscenario hoeft niet ingewikkeld te zijn. Maar het moet er wel zijn.
De les van TU/e: mensen zijn de sleutel
"De les hier is pijnlijk duidelijk: zelfs een universiteit met technische kennis kan slachtoffer worden. Cyberweerbaarheid draait niet alleen om firewalls, maar ook om discipline, bewustzijn en het serieus nemen van zwakke schakels. Vaak de mens zelf."
En daarmee komen we bij de kern van de zaak. Niet de techniek is meestal de achilleshiel, maar het ontbreken van regie. Geen duidelijke rollen. Geen afspraken. Geen oefening. Geen plan.
Voordat het misgaat
De AGF-sector kan zich geen wekenlange stilstand veroorloven. En je kunt ook niet wachten tot de wetgeving (zoals NIS2) je dwingt om in actie te komen. Want tegen die tijd ben je wellicht al slachtoffer.
Begin bij de basis:
- Weet wat je kritieke systemen zijn.
- Zorg voor toegangscontrole en monitoring.
- Stel een crisisteam samen en maak een draaiboek.
- Train medewerkers, juist de mensen op de vloer, de planners, de technische dienst.
Want niet iedereen heeft het incasseringsvermogen van een technische universiteit. Zorg dus dat je er klaar voor bent voordat je wordt getest.
Patrick Jordens
Jordens (1969) is een ondernemer met een hart voor digitale veiligheid. Hij is bestuurslid Digitalisering en Digitale Veiligheid bij MKB Westland en directeur van cybersecuritybedrijf The Trusted Third Party (TT3P). Ook is hij gastdocent marketing, data privacy en ethiek aan de Hogeschool van Rotterdam en de Haagse Hogeschool.
Voor meer informatie:
Patrick Jordens
The Trusted Third Party (TT3P) B.V.
T 088 - 38 38 38
[email protected]
www.tt3p.nl