Tekst BKB
Hoezeer de maritieme sector digitaal aan elkaar hangt, bleek in 2017 bij een aanval met NotPetya malware op een wereldwijd opererende containervervoerder. Containerterminals waren dagenlang buiten werking, waaronder een in de haven van Rotterdam. Vracht hoopte zich op op de kades, in de containerschepen voor de kust en in de haven. Het veroorzaakte een logistieke ramp die een paar dagen aanhield en vele miljoenen schade opleverde bij het getroffen bedrijf en bedrijven over de hele wereld die ermee verbonden waren.
Start een ISAC
U kunt als organisatie een Information Sharing and Analysis Centre (ISAC) starten of u aansluiten bij een ISAC in uw sector. Lees hier meer over op onze website.
“Het was een wake-up call voor veel bedrijven in de maritieme sector,” aldus Edwin Franse. Sinds 2017 is hij IT Security Officer bij Van Oord, een rederij en aannemer van waterbouwkundige projecten over de hele wereld. Franse bekleedt een nieuwe functie binnen de organisatie: “In een bedrijf als het onze waren mensen van nature niet bezig met cybersecurity. Dat is te verklaren vanuit het verleden toen onze machines aan boord van schepen nog bestuurd werden door computersystemen die redelijk autonoom werkten.”
“Maar inmiddels worden systemen, voor navigatie en motormanagement op de brug van een schip bijvoorbeeld, bestuurd door computers. Die zijn allemaal gekoppeld aan het internet en dat maakt ze ontvankelijk voor misbruik en manipulatie. Ook komen externe leveranciers minder vaak aan boord van een schip, maar plaatsen ze een kastje om op afstand onderhoud te kunnen uitvoeren aan een systeem. Bedrijven hebben geen zicht op wat dat kastje doet. Hoe weet je dat dit kastje niet wordt gehackt? Voor dit soort nieuwe risico’s was geen beleid, daar komt iemand als ik om de hoek kijken.”
“Op dit moment lees en hoor ik weinig meldingen over cybersecurity incidenten in de maritieme sector. Ik vermoed dat dit komt doordat er binnen de sector nog een zekere terughoudendheid is om incidenten te melden. Ik hoop dat dat in de toekomst verandert. Uit ons ISAC overleg blijkt dat cybersecurity door bedrijven in onze sector als ingewikkeld wordt ervaren. Cybersecurity en informatiebeveiliging zijn te groot om er even bij te doen. Ik adviseer om het niet standaard te beleggen bij de IT-verantwoordelijke. Het gaat namelijk niet alleen over IT, maar ook over menselijk handelen, over leveranciers en over fysieke beveiliging. Het is een integraal verantwoordelijkheidsgebied en gaat buiten de grenzen van een enkele afdeling.”
“Binnen de organisatie is onze grootste uitdaging de mens. Natuurlijk moet de IT op orde zijn, maar als die faalt, is de mens onze laatste verdedigingslinie. We bewapenen onze medewerkers met kennis en risicobewustzijn, zodat ze afgewogen keuzes maken en niet zomaar op een link klikken of een USB-stick in een computer steken. Dat doen we met trainingen en sinds 2018 ook met gesimuleerde phishing campagnes. We monitoren handelingen van medewerkers en houden bij welke afdeling het goed doet en welke minder. We hebben inmiddels genoeg data om analyses te maken. Dit soort informatie is waardevol voor onze security awareness trainingen en beleid.”
“Cybersecurity is in toenemende mate van belang voor de veiligheid op zee. Dat zie je bijvoorbeeld terug in de regelgeving van de Internationale Maritieme Organisatie (IMO). Het IMO is een VN-organisatie met het doel de veiligheid op zee te waarborgen, ooit in het leven geroepen na de ramp met de Titanic. Als maritiem bedrijf moet je voldoen aan hun regels. Vanaf 2022 gelden nieuwe richtlijnen: we moeten cybersecurity in het safety management system aan boord van een schip opnemen. Daar wordt op ge-audit en als het niet in orde is, mag een schip simpelweg niet varen. Alle rederijen zijn er op dit moment druk mee om dat op orde te krijgen.”
Franse is ook voorzitter van de Haven ISAC, een samenwerking van twintig bedrijven en organisaties, waaronder Havenbedrijf Rotterdam, Havenbedrijf Amsterdam, de Kustwacht en verschillende transport- en overslagbedrijven: “Het NCSC is een drijvende kracht achter de ISAC: door hen zijn bedrijven en organisaties samengebracht. Het NCSC voert het secretariaat en zorgt voor ondersteuning, zodat de samenwerking tussen leden soepel kan verlopen. De ISAC heeft tot doel informatie uit te wisselen om elkaar zo te helpen op het gebied van cybersecurity. Een bedrijf kan dat niet alleen: daar heb je de resources, budgetten en middelen niet voor.”
“We komen vijf tot zes keer per jaar samen en houden dan altijd een ‘rondje rood’. De informatie die dan gedeeld wordt, mag door de deelnemers niet verder worden verspreid. Daarmee zijn we noodgedwongen gestopt, nu we door Corona niet meer fysiek bij elkaar komen. Dat is zonde, want het zijn juist die rondes waarin we lessons learned kunnen delen en er dieper op incidenten of dreigingen kan worden ingegaan.”
“Onder leiding van het NCSC hebben leden van de ISAC dit jaar een Plausibele Toekomstscenario’s (PLATO) sessie gedaan. We hebben dreigingen geïnventariseerd voor de havensector, vastgesteld wat mogelijke scenario’s zijn en op welke wijze een cyberaanval kan plaatsvinden. Daar is vervolgens een handelingsperspectief aan gekoppeld. Dankzij die sessie weten we nu beter welke dreigingen er zijn, hoe daarop te anticiperen en wat te doen als het toch misgaat.”
“De ISAC heeft via het NCSC toegang tot bronnen van hun samenwerkingspartners en andere sectoren. Bronnen met informatie over wat er speelt op het gebied van cyberdreigingen, aanvallen en kwetsbaarheden, zoals met de Citrix kwetsbaarheid, maar ook over wet- en regelgeving. Die informatie ontvangen en als bedrijf zelf interpreteren is essentieel. Die niet ontvangen is alsof we, figuurlijk gesproken, aan een oog blind zijn. We kunnen ons werk wel doen, maar missen het perspectief.”
“Samenwerking met het NCSC en binnen de ISAC verloopt goed, al zijn er altijd wensen en ambities voor de toekomst: “Bedrijven nemen om verschillende redenen deel aan een ISAC en hebben hier ook verschillende belangen bij. In het ISAC overleg van december hebben we om die reden stilgestaan bij deze belangen en wat de leden te bieden hebben aan het ISAC. Ondanks de verschillen in volwassenheidsniveau tussen de bedrijven onderling, zijn er genoeg raakvlakken om elkaar te vinden en te versterken.”
“Hierdoor willen we er ook voor zorgen dat alle deelnemers gehoord worden en dat hun kennis en ervaring gedeeld worden. Wat ik op mijn verlanglijst heb staan is een samenwerkingsruimte, waarin we op een vertrouwelijke manier informatie kunnen delen, misschien ook wel breder dan binnen onze eigen ISAC. Ik ben sowieso al langer voorstander van een cross-sectorale samenwerking. Want de problemen en oplossingen waar we mee te maken hebben, zijn niet uniek voor onze sector. Onder leiding van het NCSC worden daarin nu de eerste stappen gezet.”
“Als maritieme sector zouden we gebaat zijn bij een goede samenwerking met maritieme leveranciers op het gebied van cybersecurity. Een leverancier heeft namelijk veel invloed op wat er aan boord van een schip en in de haven gebeurt. Ik zie daar ook wel een rol voor het NCSC weggelegd.”