Het stond in alle kranten: koekjesfabrikant Mondelez werd getroffen door het cybervirus Petya, waardoor er met pen en papier gecommuniceerd moet worden.
Hoe zit het bij jouw bedrijf? En wat heeft dit nu in hemelsnaam met food safety te maken?
Als multinationals zoals Mondelez, Merck en Maersk in de brokken delen, dan kan je je afvragen hoe groot de “vulnerability” is bij iets minder grote bedrijven, zoals dat van jou.
Cyber crime is een niet te onderschatten bedreiging voor ons allemaal. De technologie is de laatste jaren dermate snel geëvolueerd, dat bepaalde aspecten, zoals cyber security, gewoonweg niet de tijd krijgen om op hetzelfde tempo mee te ontwikkelen. Nog niet zo lang geleden haalde het WannaCry cryptolocker virus de internationale pers, en het zal zeker de laatste keer niet zijn dat we met dergelijk nieuws geconfronteerd worden. Al je bedrijfsdata in één seconde versleuteld. Hopla. Door simpelweg 1 medewerker die op een fout attachment in een mailtje klikt. Dat is toch wel een joekel van een zwaard van Damocles boven ieders hoofd.
Kan je iets doen?
Zowel BRC, IFS, FSSC 22000 en alle andere GFSI goedgekeurde standaarden eisen dat je een business contingency plan hebt. M.a.w. heb je nagedacht wat je gaat doen in geval van een cyber attack?
Je hebt dit misschien over het hoofd gezien, maar de food safety standaarden hebben dit wel degelijk opgenomen in hun eisenpakket.
BRC Food spreekt in hoofdstuk 3.11 van “… disruption in key services such as … communication”.
IFS Food heeft het in hoofdstuk 5.9 over “incidents and of potential emergency situations that impact food safety, legality and quality”.
En dan is er uiteraard het aspect Food Defense. Jawel, ook een cyber aanval valt hieronder.
Dus, wat staat je te doen?
Praat in eerste instantie met je IT afdeling. Heb je die niet intern, vraag een onderhoud met je IT provider. Je wil absoluut weten hoe de vork in de steel zit.
Op basis van deze info schrijf je een contingency plan uit. Stel dat je in de situatie komt dat niemand nog aan bedrijfsdata geraakt, wat is dan het eerste dat je gaat doen?
Bedenk hoe je intern gaat communiceren als e-mail niet meer werkt.
Hoe zal je klanten informeren als e-mail niet meer werkt? Hoe zal je überhaupt al hun telefoonnummers terugvinden? Zeggen dat je noodnummers van klanten allemaal netjes in je ERP pakket hangen, zal dus niet meer voldoende zijn.
Wat met de productie zelf? Zit je met processen die opgevolgd worden online? Geraak je nog aan temperatuursregistraties? Worden er CCPs gemeten door online systemen? Allemaal nuttige vragen die je jezelf moet stellen bij het opstellen van je contingency plan.
Tijd voor teamwork
Doe dit vooral niet alleen! Het is niet voor niets dat je een crisisteam hebt samengesteld voor gevallen van recall.
Je vertellen dat een degelijke backup van je systeem een basisvereiste is, is een open deur intrappen. Je heb een backup geïnstalleerd, maar heb je dat al ooit eens getest? Geraak je effectief nog aan de data van gisteren? En hoe vaak wordt je systeem gebackuped?
Er moet dus gecommuniceerd worden intern, aan klanten, aan transporteurs misschien, etc. Communicatie is 1 zaak, maar je wil natuurlijk ook dat je bedrijf zo snel mogelijk weer verder draait zoals tevoren. Hopelijk geraak je weer snel up and running.
Vergeet dan aub niet om te checken wat er allemaal gebeurd is tijdens het crisismoment. Zijn er gevoelige data verloren, of, erger nog, gestolen? Wat is er gebeurd met je interne processen? Zijn ze stilgevallen, en daarna weer terug opgestart, of zijn ze in alarm gegaan?
Maak een gedetailleerde oplijsting van alles wat “verdacht” is.
Heb je twijfels over producten? Blokkeer ze preventief!
Wat na de aanval?
Gewoon verderdoen na afloop is geen optie. Na een crisis is het tijd voor een root cause analyse. Hoe is dit kunnen gebeuren? Kunnen we de infectie achterhalen? En vooral: hoe kunnen we dit vermijden in de toekomst?
Zorg in de eerste plaats voor een goed wachtwoordbeleid.
Backup, backup, backup. Data kwijt zijn is onomkeerbaar. Ik zou niet graag in je schoenen staan als je je volledige historiek van CCP monitoring kwijt bent.
En … laat je systeem testen. Zoek eens op Google op “ethical hacker”. Dit zijn computerkrakers die proberen in te breken in je IT infrastructuur. Zij zoeken waar de gaten zitten.
Is dat een garantie dat het je nooit zal overkomen? Neen, maar, zoals met alles, is een verwittigd man er 2 waard.
Enne … vanaf nu zullen auditoren ook meer en meer beginnen vragen naar je crisisplan in geval van cyber criminaliteit. Een gratis tip.
Nieuwste berichten
-
IFS Guideline Product Fraud Mitigation versie 3 gepubliceerd -
IFS Logistics versie 3 verplicht bij audits vanaf 1 december 2024 -
BRCGS Position Statements BRCGS079 versie 5 en F926 versie 1 -
FAVV scoort 1x en schiet 1x naast doel -
De meest gegeven minors bij BRCGS versie 9 audits (voor food producenten)
