Zonder transport staat alles stil. Deze uitdrukking onderstreept het belang van transport en logistiek voor ons maatschappelijk leven. Ook ondernemersorganisatie Transport en Logistiek Nederland (TLN) mag niet stilvallen. Lukte dat ook toen de internationale ICT-wereld eind 2021 werd opgeschrikt door de ontdekking van de Log4j-kwetsbaarheid? Gelukkig wel! Samen hadden we hun security en cyberveiligheid goed geregeld!
TLN | Security & Compliance
TLN had zich goed voorbereid op Log4j-pandemie
Transport en Logistiek Nederland (TLN) is dé ondernemersorganisatie voor wegtransportbedrijven en logistiek dienstverleners. Deze belangenvereniging ondersteunt haar 5.000 leden door zich in te zetten voor een gunstig ondernemersklimaat. Namens de branche is TLN gesprekspartner voor overheid, vakbonden en andere stakeholders en verzorgt het onder andere opleidingen. Twee jaar geleden maakten we samen een toekomstbestendige digitaliseringsslag. De TLN-medewerkers gingen in de cloud werken met Microsoft 365 en wij regelden de security. ‘TLN had op dat punt hoge eisen. Alles moest voldoen aan GDPR/AVG en ISO 27001,’ vertelt onze Security & Compliance Director Rob Mak. ‘De organisatie wilde voor alles voorkomen dat ze imagoschade zou oplopen. Samen hebben we dit met (technische) procedures, trainingen en verzekeringen waterdicht ingericht.’
Noodzakelijke acties direct duidelijk
Toen kwam Log4j. Via de kwetsbaarheid in dit stukje software kunnen cybercriminelen toegang krijgen tot netwerken en data. ‘Log4j zit in biljoenen systemen en apparaten,’ schetst Rob. ‘Dat maakt de kwetsbaarheid tot een serieus, wereldwijd probleem.’ Zodra dit bekend werd, hebben we gecheckt welke applicaties gebruikmaken van Log4j. Daarna konden we bij TLN met één druk op de knop zien wáár actie nodig was. Rob: ‘We hebben eerst alle systemen die van buiten benaderbaar waren, dicht gezet en vervolgens waar nodig een patch (herstel-software) geplaatst. Binnen een week was alles óf dichtgezet óf gerepareerd.’
Gezamenlijk plan lag klaar
Voor TLN dus geen reden voor paniek. ‘Er lag namelijk een gezamenlijk plan klaar,’ zegt Rob, ‘en dat maakt een wereld van verschil: een Incident Respons Plan, Recovery-procedures en mitigerende maatrelen om schade tot een minimum te beperken. Voor Log4j bleek niet alles nodig, maar het geeft veel rust en zekerheid dat het er is. Elke organisatie weet waar de bedrijfslaptops zich bevinden en hoe deze zijn beveiligd,’ vervolgt hij. ‘Ingewikkelder wordt het met ál die andere apparaten die een IP-adres hebben en dus mogelijk met Log4j werken. Die vallen niet altijd binnen de scope van een ICT-afdeling.’
Preventie is belangrijk
De ‘digitale pandemie’ zoals met Log4j zal niet de laatste zijn. Er is immers een enorme hoeveelheid software in omloop. ‘Je kunt nooit alles voorkomen,’ besluit Rob, ‘maar we kunnen je wel helpen om voorbereid te zijn áls het je overkomt. Preventie is belangrijk en dat kunnen we regelen. Daarin is ‘assetmanagement’ één van de eerste stappen: welke hardware met een ICT-component heeft je organisatie? Vervolgens kunnen we samen plannen en procedures maken om te beschermen wat bescherming nodig heeft.’
Lees hier hoe wij je kunnen helpen op het gebied van security.
Security & Compliance