Waarom de mode-industrie zichzelf beter moet beschermen tegen cyberaanvallen
bezig met laden...
In de mode-industrie is lang niet voldoende aandacht voor de risico’s van cybercrime. En dat terwijl er door de toenemende digitalisering in de sector steeds meer aanvalsmogelijkheden zijn voor internetcriminelen. De afgelopen jaren neemt het aantal cyberaanvallen op modemerken snel toe.
Door Jelle Wieringa, security awareness advocate bij KnowBe4. KnowBe4 is een platform voor security awareness training in combinatie met gesimuleerde phishing-aanvallen. Het Knowbe4-platform helpt organisaties om hun personeel te trainen in het herkennen, rapporteren en voorkomen van phishing-aanvallen, malware, CEO-fraude en andere vormen van cybercrime.
Van fast fashion tot het hoogste segment: in de hele mode-industrie kregen bedrijven al te maken met datalekken en ransomware (gijzelsoftware). Zo probeerden hackers begin dit jaar het e-commerceplatform van Benetton plat te leggen. Andere hackers maakten vorig jaar klantgegevens van Moncler buit bij een ransomware-aanval en publiceerden die online. Op een soortgelijke manier werden bij Guess gegevens van klanten gestolen. En afgelopen februari lagen door een cyberaanval bij JD Sports de persoonsgegevens van maar liefst 10 miljoen klanten op straat.
Dat er zoveel voorbeelden zijn is niet toevallig. Volgens het Amerikaanse cybersecuritybedrijf SonicWall nam het aantal cyberaanvallen in de detailhandel in 2022 met 90 procent toe. En volgens het Amerikaans-Nederlandse cyberveiligheidsplatform KnowBe4 scoort de detailhandel in Europa maar matig tot gemiddeld op het bouwen van een bedrijfscultuur die is opgewassen tegen cyberaanvallen. In dit kat en muis-spel zijn internetcriminelen duidelijk aan de winnende hand.
AI-fakes en gestolen ontwerpen
Terwijl de mode-industrie juist veel te beschermen heeft, offline en online. E-commerce is verantwoordelijk voor een steeds voornamer deel van de omzet, zeker sinds coronatijd. De mode is bovendien een creatieve sector waarin goede ontwerpen een merk kunnen maken en een slechte collectie een merk kan breken. Intellectueel eigendom wordt niet voor niets juridisch goed bewaakt. Maar internetcriminelen hebben daar geen boodschap aan. Als kwaadwillenden digitaal toegang weten te krijgen tot een collectie in de ontwerpfase of nog niet uitgebrachte limited editions, kunnen ze daar merken mee afpersen. En indien hackers de ontwerpen vrijgeven of op het dark web verkopen leidt ook dat tot een financiële strop.
En dan hebben we het nog niet eens over opkomende fenomenen als virtuele mode voor bijvoorbeeld de metaverse en het ontwerpen met kunstmatige intelligentie (artificial intelligence of kortweg AI). Ook die designs moeten beschermd worden. Zeker nu er voor dit soort digitale mode nog weinig juridisch geregeld is. De zaak Hermès versus Mason Rothschild, een kunstenaar die NFT’s van de iconische Birkin-tassen aanbood, werd door de hele modewereld met argusogen bekeken. Het Franse modehuis won de zaak, wat voor het eerst jurisprudentie opleverde over het intellectueel eigendom van merken in de digitale wereld. Maar het laatste woord over virtuele mode zal in de rechtszaal nog niet gezegd zijn. En van die onduidelijkheid kunnen internetcriminelen voorlopig misbruik maken.
Datzelfde geldt voor kledingstukken, schoenen en accessoires ontworpen met behulp van AI. Of een merk die technologie nu al toepast of niet, met AI kan vrijwel iedereen zelf ontwerpen laten maken die geïnspireerd zijn op de signatuur van bijvoorbeeld Nike, Viktor&Rolf of Fabienne Chapot. Wordt het intellectueel eigendom van zo’n modebedrijf daarmee geschonden? Dat is nog maar de vraag.
Klanten worden doelwit
Naast hun creatieve bezit hebben modemerken natuurlijk gegevens van klanten, medewerkers en leveranciers die uit handen van internetcriminelen moeten blijven. Dat er voor retail niet zulke strenge eisen gelden voor de bescherming van die gegevens als voor de financiële wereld of gezondheidszorg betekent niet dat de mode-industrie maar wat aan kan klooien. Als gegevens in de openbaarheid komen kan dat grote gevolgen hebben voor individuele klanten of zakenrelaties, die voor hackers een doelwit worden. Het vertrouwen kan dusdanig geschaad worden dat een klant niet meer van het merk wil kopen, of een leverancier niet langer zaken wil doen. Tel daar de reputatieschade bij op als een datalek groot uitgemeten wordt in de media. Sinds 2018 kan de Autoriteit Persoonsgegevens bovendien boetes opleggen als bedrijven nalatig zijn geweest in het beschermen van data.
Menselijke factor
Kortom: de mode-industrie moet meer werk maken van digitale beveiliging. Het op orde hebben van de IT is daarbij niet genoeg. Alleen met technologie is al het bovenstaande niet te beschermen; ook medewerkers moeten er alles aan doen om data en ontwerpen veilig te houden. Deskundigen noemen dat de menselijke factor in cybersecurity.
Tegenwoordig focussen cyberaanvallen zich namelijk vooral op mensen. Een foutje is immers zo gemaakt. Uit onderzoek van KnowBe4 blijkt bijvoorbeeld dat de meeste cyberaanvallen beginnen met het klikken op een kwaadaardig linkje in een e-mail (phishing), waarbij in veel gevallen het e- mailadres van een vertrouwde afzender is nagemaakt (spoofing). Het mailtje komt dan zogenaamd van de CEO, van de HR-afdeling of van een bekende partij als Microsoft of DHL. Afhankelijk van hoe graag de internetcriminelen een specifiek bedrijf willen binnenkomen, zijn de mails volledig in huisstijl en gaan ze over zulke realistische situaties dat medewerkers zonder twijfel doen wat ze in het bericht gevraagd wordt. Verzoeken van een Nigeriaanse prins zijn anno 2023 echt een uitzondering; de kans is veel groter dat een finance-medewerker een geloofwaardig verzoek van de zogenaamde directeur ontvangt.
De enige manier om medewerkers tegen phishing te wapenen is door ze te trainen in securityawareness. Welke digitale dreigingen zijn er? Hoe vallen internetcriminelen aan? En wat te doen als je als medewerker een verdachte e-mail krijgt? Door regelmatig gesimuleerde phishing-aanvallen te sturen naar medewerkers leren ze met voorbeelden uit de dagelijkse praktijk om phishing te herkennen en verdachte mails te rapporteren bij de IT-afdeling. Ook bingewatch-waardige video’s en games kunnen medewerkers veel leren over de verschillende cyberrisico’s; creatieve mensen moeten op een creatieve manier betrokken worden (zet ze vooral niet in een stoffig zaaltje). Zo wordt het personeel een laatste verdedigingslinie tegen digitale ellende, of ze nu in de winkel of de ontwerpstudio werken. En leidt een mailtje over een zogenaamde onverkochte voorraad niet tot het volgende modebedrijf dat slachtoffer wordt.