7 juli 2025
Iskro Mollov, Chief Information Security Officer, GEA (Afbeelding: GEA)
Iskro Mollov
Chief Information Security Officer, GEA
Iskro Mollov (IM): In de ruimste zin van het woord draait informatiebeveiliging om het beschermen van bedrijfsinformatie, waartoe uiteraard ook digitale gegevens behoren. Die kan gevoelige informatie van klanten, leveranciers en zakenpartners bevatten, evenals onze eigen informatie, zoals intellectuele eigendommen, onze financiële en strategische positionering en de persoonsgegevens van onze medewerkers. Deze informatie beschermen is bovenal een holistische bestuurlijke taak. Het doel is om hackaanvallen te vermijden, spionage te voorkomen, naleving van voorschriften en overeenkomsten te garanderen, kritieke systemen te waarborgen en enige vorm van bedrijfsonderbrekingen te voorkomen. Onze belanghebbenden eisen met recht de garantie dat hun informatie veilig is, niet alleen als onderdeel van normale activiteiten, maar vooral ook tijdens uitzonderlijke omstandigheden, zoals cyberaanvallen of natuurrampen.
IM: Bij GEA benaderen we alle gebieden en functies op een holistische manier om de beveiligingsrisico’s van het bedrijf te begrijpen. Naar aanleiding daarvan implementeren we effectieve en efficiënte beveiligingsmaatregelen. Informatiebeveiliging is vooral relevant voor informatietechnologie (IT), operationele technologie (OT), onze producten en productontwikkelingsprocessen, internetaanwezigheid, fysieke eigendommen en locaties, leveranciers en HR. Heel belangrijk is dat beveiliging ook gepaard gaat met een enorme culturele component: Een werkelijk veilige organisatie moet een cultuur inboezemen waarin beveiliging voor elke medewerker een tweede natuur is, ongeacht hun functie, en niet wordt gezien als de exclusieve verantwoordelijkheid van de beveiligingsexperts.
IM: Ik heb drie overkoepelende en onderling verbonden verantwoordelijkheden. De eerste is om het informatiebeveiligingsbeheer bij GEA constant te herzien en verbeteren. In ons team treffen we verschillende maatregelen om dit te bereiken. Daartoe behoort ook het sturen van onze wereldwijde informatiebeveiligingsbeheersystemen (ISMS), om beveiligingscertificeringen en compliance te behalen, evenals het overzien van beveiligingsrisicobeheer, medewerkerstrainingen, identiteits- en toegangsbeheer, respons bij beveiligingsincidenten, prestatiemetingen, audits en penetratietests. Ook testen we regelmatig onze digitale systemen en producten via gesimuleerde hackaanvallen.
De tweede is het waarborgen van bedrijfscontinuïteit. Dat wil zeggen, GEA zelfs onder uitzonderlijke omstandigheden vlot laten draaien. Hiertoe behoort voorbereid zijn op verschillende soorten onderbrekingen van onze activiteiten, zoals onderbrekingen door ransomware, in de productie en in de toeleveringsketen, natuurrampen, uitval van nutsvoorzieningen, sociale onrust, pandemieën of juridische kwesties.
De derde is crisisbeheer. Bedrijfscrises kunnen vele vormen aannemen en we hebben er enkele meegemaakt tijdens de covidpandemie en internationale (militaire) conflicten. Eén relevant scenario waar we ons zorgvuldig op voorbereiden, is natuurlijk een ransomware-aanval met wereldwijde impact. Crisisbeheer is immers een complexe en intensieve taak waar veel verschillende bedrijfsfuncties bij betrokken kunnen zijn, waarvoor een enorme coördinatie vereist is.
IM: Zeer divers, zou ik zeggen! Ons informatiebeveiligings-, bedrijfscontinuïteits- en crisisbeheerteam bestaat uit professionals van over de hele wereld en met vele verschillende professionele achtergronden. We hebben experts op verschillende beveiligingsgebieden, zoals fysieke, IT-, OT- en productbeveiliging, evenals bedrijfscontinuïteitsbeheer en algemeen beveiligingsbeheer en risicobeheer. Hun educatieve achtergronden zijn ook zeer heterogeen, inclusief diploma’s op het gebied van engineering, IT en bedrijfsadministratie.
IM: Informatiebeveiliging ontwikkelde zich van een ondersteunende rol naar een speciale functie die in onze sector concurrentievoordeel biedt. Als het op de juiste manier wordt uitgevoerd, kan superieur informatiebeveiligingsbeheer een doorslaggevende rol spelen bij het binnenhalen van nieuwe zaken. Helaas nemen cyberaanvallen toe, evenals spionage. Negen van de tien organisaties overal ter wereld waren in 2024 ten minste één keer slachtoffer van een ransomware-aanval. En verschijnselen als ransomware-als-een-service vereisen slechts een paar dollar en minimale inspanning voor een potentieel rampzalige aanval. Vrijwel alle bedrijven in werktuigbouwkunde en proces-engineering, evenals vele andere, omarmen met recht connectiviteit, AI en cloudgebaseerde oplossingen om de vruchten van digitalisering te plukken. Het nadeel: Dit gaat gepaard met een groter risico op aanvallen. Bovendien zijn wereldwijde toeleveringsketens gevoeliger geworden en hebben we de afgelopen jaren allemaal het geopolitieke landschap steeds instabieler zien worden.
Daarnaast wordt het regelgevingslandschap ook steeds complexer: uitgebreide voorschriften zoals de Cyber Resilience Act en NIS2 in Europa zijn direct gericht op exploitanten van installaties en installatiebouwers. GEA is beide. We exploiteren niet alleen onze eigen faciliteiten maar bouwen ook installaties en machines voor klanten. Vanuit het standpunt van informatiebeveiliging is dit voor ons een gunstige combinatie: het biedt ons uitgebreide praktijkervaring met betrekking tot vele verschillende vereisten, mogelijkheden en potentiële uitdagingen in vele verschillende industrieën. Op basis van onze unieke bekendheid en ervaring bieden we toonaangevende en vaak enorm gepersonaliseerde informatiebeveiligingsoplossingen die gericht zijn op de laatste voorschriften.
IM: Zeker weten, dit onderwerp wordt steeds relevanter. Dit zien we duidelijk terug in de feedback die we van verkoopmedewerkers in onze divisies en regio’s krijgen; ze benadrukken allemaal het groeiende belang van informatiebeveiliging tijdens interacties met klanten. Klanten hebben onze hulp nodig om hun bedrijven uit te breiden. Uitstekend beveiligingsbeheer bieden is cruciaal voor het opbouwen en behouden van hun vertrouwen en biedt GEA de kans om nieuwe klanten te verwerven.
IM: Veel klanten doen duidelijk liever zaken met bedrijven die zijn gecertificeerd volgens, bijvoorbeeld, ISO/IEC 27001. Dit is een internationale norm voor informatiebeveiligingsbeheersystemen. Hierin worden vereisten voor het totstandbrengen, implementeren, onderhouden en constant verbeteren van een uitgebreid managementsysteem voor informatiebeveiliging binnen een organisatie gespecificeerd. En voor een groeiend aantal van hen, is het een verplichte voorwaarde. Erkende certificeringen zijn standaard voor informatiebeveiliging en bieden onze klanten objectieve en transparante inzichten in de strenge standaarden voor informatiebeveiliging die we bij GEA handhaven. Ze worden uitsluitend toegekend door toonaangevende inspectie-instanties, zoals in ons geval het Duitse TÜV Rheinland.
In 2021 behaalde GEA de eerste overkoepelende ISO/IEC 27001-certificering. Die werd jaar op jaar uitgebreid met meer GEA-vestigingen en juridische entiteiten. De meest recente hercertificering in 2024, dit keer volgens de nieuwste versie van 2022 van de ISO/IEC 27001-norm, besloeg alle bedrijfsactiviteiten bij 53 GEA-vestigingen overal ter wereld. Dit is een grote prestatie, aangezien ISO/IEC 27001 de toonaangevende internationale norm voor informatiebeveiligingsbeheersystemen is, die in verschillende sectoren veel respect afdwingt. Onze productielocaties en productontwikkelingsproces zijn ook gecertificeerd volgens IEC 62443 2-1 en 4-1, toonaangevende normen voor de beveiliging van industriële automatiserings- en besturingssystemen. Dit zijn ook overkoepelende groepscertificeringen waar elk jaar weer meer van onze locaties bijkomen.
IM: Ons doel is om tegen 2027 alle relevante GEA-vestigingen en producten beveiligingsgecertificeerd te hebben als onderdeel van ons Global Security Program bij GEA. Bovendien zetten we ons in om tegen 2025 een certificeringsdekking te behalen die meer dan 75% van de medewerkers beslaat, voor een nog betere beoordeling met internationale ESG-normen. Wat ook enorm belangrijk is, is dat we GEA voorbereiden op nog meer aankomende voorschriften. De Europese Cyber Resilience Act (CRA) vereist bijvoorbeeld dat fabrikanten rekening houden met de cyberbeveiliging tijdens de gehele levenscyclus van het product, evenals strenge normen en uitgebreide rapportagevereisten.
Maar nog belangrijker dan die internationale onderwerpen is dat we onze klanten ondersteunen en hen helpen om veiliger en beter voorbereid op de toekomst te zijn en daarbij aan de voorschriften voldoen. Dus, enerzijds door veilige GEA-producten en digitale diensten te bieden en anderzijds door speciale beveiligingsproducten en diensten als onderdeel van het aanbod van GEA te bieden, zoals GEA Asset Care.
IM: Dat is eenvoudig: GEA zet zich in om zijn informatiebeveiligingsbeheer onvermoeibaar te versterken om innovatie en vertrouwen te waarborgen. We willen dat onze hoge standaarden in informatiebeveiliging, net als onze reputatie voor engineering-excellentie, voor klanten tot de belangrijkste redenen behoren om voor GEA te kiezen. Zolang we blijven uitblinken op dit gebied, kunnen we de diepgaande expertise die we hebben verworven eventueel benutten om andere industrieën te helpen. De complexiteit van ons bedrijf en het juridische milieu waar we mee te maken hebben, bieden ons een sterke positie.