Cybersecurity en de supermarktbranche

Het gemiddeld aantal cyberaanvallen dat wekelijks plaatsvindt, is in het tweede kwartaal van dit jaar flink toegenomen. Volgens onderzoek van Check Point Research nam dit wereldwijd met 32% toe in vergelijking met het tweede kwartaal van 2021. In Nederland ligt de stijging nog hoger, namelijk op 40%.

Cybercriminelen richten zich vaker op supermarkten en groothandels ziet Het Centraal Bureau Levensmiddelenhandel (CBL). De brancheorganisatie neemt deze dreiging serieus en investeert volop in preventieve en detective maatregelen. Wel is het tekort aan gekwalificeerd IT-personeel een groot probleem. Volgens de WHO is het aantal cyberaanvallen sinds COVID-19 vervijfvoudigd. Dat schrijft het CBL in een position paper aan de Tweede Kamer.

Bij het horen van de term ‘digitale weerbaarheid’ wordt als eerst gedacht aan het beschermen van werknemer- en klantgegevens. Volgens het CBL is het logistieke proces minstens zo belangrijk. “De supermarkten en groothandels zijn geen vitale voorziening, maar zijn uiteraard wel van maatschappelijk belang gezien hun rol in de voedselvoorziening van Nederland. Het is daarom van groot belang dat deze informatiestromen voldoende beveiligd zijn”, zo schrijft de organisatie aan de Tweede Kamer.

Goed voorbeeld doet volgen; hoe Noorse retailer Coop Norge cloud-based identity toepast. Coop Norge is de op één na grootste retailer van Noorwegen met 28.000 werknemers en 1.400 externe medewerkers. De coöperatie is eigendom van bijna 2 miljoen mede-eigenaren en beheert meer dan 1.200 kruidenierswinkels onder acht verschillende merken: Obs, Extra, Coop Prix, Coop Mega, Coop Marked, Matkroken, Obs Bygg en Coop Byggmix. Coop Norge is een partnership aangegaan met Nixu, een cybersecurity service provider en alle Coop Norge-merken zijn overgestapt op een moderne Identity Governance and Administration (IGA)-oplossing om de digitale identiteiten van duizenden van hun werknemers te beheren. Streven naar geautomatiseerd en veilig identiteitsbeheer met een betere gebruikerservaring en lagere kosten.

Coop Norge wilde binnen zes maanden hun bestaande, verouderde oplossing vervangen door de IGA-oplossing van Saviynt. IGA-oplossingen helpen organisaties om de identiteitslevenscyclus van hun personeel te beheren, d.w.z. om bij te houden wanneer medewerkers in of uit een bedrijf stappen of binnen een bedrijf overstappen. IGA laat zien welke toegangsrechten werknemers hebben en of hun cumulatieve toegangsrechten risicovolle combinaties bevatten die moeten worden beperkt.

Coop wilde het project voor de zomervakantie van 2022 afronden, dus het tijdschema was krap en de uitvoering van het project moest soepel verlopen. Een andere drijvende factor was het voornemen van het bedrijf om een nieuwe Coop-brede leeroplossing te implementeren die in het vroege najaar van 2022 in gebruik zou worden genomen. Het doel van het hele project was om de interne en externe identiteiten van Coop naar de cloud te brengen en tegelijkertijd het bedrijf veilig te houden, de operationele kosten te beheersen en de gebruikerservaring te verbeteren.

De uitdaging voor Coop was tweeledig. Ten eerste wilden ze handmatige processen in hun Joiner-Mover-Leaver-proces vervangen. Ten tweede wilden ze een betere controle over het ingehuurde interne en externe personeel. Het idee was dus om deze activiteiten in één IGA-systeem onder te brengen en betere rapporten te maken voor veiligheidsaudits. Vanuit het oogpunt van beveiligingsaudits was het project gunstig. Het beveiligingsniveau van de processen van Coop voor het beheer van de identiteiten en toegangsrechten van het personeel van het bedrijf verbeterde aanzienlijk.

Ervaren partners spelen een grote rol bij het bereiken van een succesvol resultaat. Coop hield van de cloud-gebaseerde Saviynt technologie en had een bedrijf nodig met de juiste achtergrond om de implementatie uit te voeren. Wat in het voordeel van de keuze voor Nixu sprak, was dat Nixu al talloze Saviynt IGA-implementaties heeft uitgevoerd. Daarom vond Coop dat Nixu de vereiste ervaring had voor het project. Ook het idee van een partner met Scandinavische aanwezigheid sprak Coop aan. Toen het systeem en de implementatiepartners waren gekozen, ging het project in januari 2022 van start.Coop Norge beschikte over een eigen intern team dat werd aangevuld met een team van zes Nixu-experts. Tijdens de eerste fase implementeerde Nixu de essentiële Saviynt-functionaliteiten die nodig zijn in het Employee Identity Lifecycle management, naast de meest integrale integraties op basis van een prioritering die samen met Coop werd gemaakt. Enkele aanvullende functionaliteiten, zoals het ServiceNow platform en ticketing systeem, worden in een latere fase geïntegreerd in Saviynt.

“De grootste verbetering is dat we nu in staat zijn om medewerkers die mogelijk op meerdere locaties werken te volgen in één systeem dat alle gegevens verzamelt. We kunnen deze dienst aanbieden aan al onze ketens en winkels. De nieuwe functionaliteiten zullen ook de veiligheid verbeteren, aldus Enterprise Architect Eirik Klouman Berg van Coop Norge.

Senior Consultant Mikko Hellstén van Nixu, die als hoofdarchitect aan dit project werkte, vond de samenwerking met Coop gemakkelijk: “De scope was duidelijk en ze hadden voldoende IT- en HR-personeel om aan het project te werken. We werkten veel samen, waarbij Nixuans zich concentreerde op integraties met het nieuwe IGA-systeem en Coop werkte aan het HR-systeem. Coop bood veel expertise en hun medewerkers voerden bijvoorbeeld de uiteindelijke gebruikersacceptatietesten op een georganiseerde manier uit, wat niet altijd vanzelfsprekend is.”

Een gemoderniseerd IGA-systeem creëert een sterke basis voor toekomstig ontwikkelingswerk. Het nieuwe IGA-systeem maakt een betere governance onderweg mogelijk dankzij geautomatiseerde processen en de mogelijkheid om vanaf het begin nauwkeurig toegangsrechten toe te kennen. Nu kan Coop gemakkelijk rechten opsporen die niet mogen worden verleend, en het bedrijf kan ook de licentiekosten verminderen van mensen die het bedrijf al hebben verlaten. Al met al hebben de systeemeigenaren en lijnmanagers beter zicht op de toegangsrechten van hun medewerkers. Eerder moesten zij de rechten controleren van wel zeven of acht afzonderlijke systemen, wat nu is teruggebracht tot één. De volgende stappen zijn het aansluiten van het nieuwe leermanagementsysteem van Coop op Saviynt, en ook in dat project is Nixu de implementatiepartner.

“Dit is slechts de basis, en we zullen nog jaren samenwerken. We hebben de middelen en expertise van Nixu nodig om te bereiken wat we willen. In de toekomst, als we grotere projecten starten, zullen we een beroep doen op Nixu om te assisteren. SAP-integratie zie ik

in ieder geval aan de horizon. We zijn hier aan begonnen in de wetenschap dat we nog jaren hulp nodig zouden hebben”, aldus Klouman Berg. “Ik ben erg blij geweest met Nixuans, omdat ze grote expertise hebben getoond in zowel IGA als Saviynt. Ze waren gemakkelijk om mee te werken en te communiceren, en ze waren ons vertrouwen waard.”

Miska Laakkonen, de Head of Business voor IGA en PAM bij Nixu, is ook tevreden met het resultaat: “Het project verliep heel soepel omdat Coop Norge een duidelijke visie had op wat het wilde bereiken. Het was een genoegen om met zo’n capabele klantorganisatie te werken, die er ook toe heeft bijgedragen dat we het project binnen de planning en het budget hebben kunnen uitvoeren. Het was geweldig om te horen dat ook Coop tevreden was over de samenwerking en de resultaten die we samen hebben bereikt. We kijken uit naar de voortzetting van onze samenwerking”.