De NotPetya-crisis was een wereldwijde reminder dat cybersecurity zich niet aan organisatie-, sector- en landsgrenzen houdt. Sindsdien is er flink geïnvesteerd om de cyberweerbaarheid te verhogen, zowel in de maritieme en logistieke sector als daarbuiten. Havenbedrijf Rotterdam nam bijvoorbeeld samen met onder meer gemeente Rotterdam, de Zeehavenpolitie en Deltalinqs het initiatief tot de publiek-private samenwerking FERM. Directeur Evelien Bras aan het woord over deze regionale, intersectorale samenwerking en de cyberdreigingen waar een haven mee te maken heeft.

Evelien Bras , Directeur FERM

NotPetya

In 2017 werden organisaties over de hele wereld via een Oekraïense belastingtool geraakt door een aanval met malware: NotPetya. Verreweg de meeste slachtoffers vormden geen doelwit van de aanval, maar hun systemen waren op een of andere manier verbonden met het oorspronkelijke doelwit. Onder meer logistieke bedrijven, containerterminals, loodsen en containerschepen kwamen wereldwijd stil te liggen. Ook in een grote straal om Rotterdam ontstonden er files op het water en op de weg. En de effecten waren tot ver in de (toelever)ketens merkbaar.  De afgelopen jaren werd deze zogenaamde NotPetya-crisis de casus om de verbondenheid tussen de digitale en fysieke wereld en de potentiële dreiging van keteneffecten uit te leggen. 

Over Ferm

FERM heeft als doel om de cyberweerbaarheid van het Haven Industrieel Complex te stimuleren. Dat doet ze door het faciliteren van samenwerking tussen bedrijven in de Rotterdamse haven op het gebied van bewustzijn over cyberrisico’s. Publieke partners zijn gemeente Rotterdam, Havenbedrijf Rotterdam, Zeehavenpolitie, Deltalinqs, DCMR, provincie Zuid-Holland, Veiligheidsregio Rotterdam-Rijnmond en de Douane. Daarnaast zijn er samenwerkingsverbanden met onder meer het Nationaal Cybersecurity Centrum (NCSC), Digital Trust Center (DTC), Security Delta en het Nederlands Security Meldpunt alsook met leveranciers uit de sector

Wereldwijd verbonden

‘In een haven krijgt de wereldwijde, digitale verbondenheid als op weinig andere plaatsen gestalte. Een digitale aanval op een systeem in Marseille kan zorgen voor files in de havens en op de wegen van Shanghai, Dakar en Rotterdam. Dat effecten van cyberaanvallen zich niet aan landsgrenzen houden en internationaal effect kunnen hebben, klinkt logisch en in theorie zijn we ons ervan bewust. Toch laten we ons in de praktijk nog wel eens verrassen. Dat zag je bij NotPetya, maar later ook bij de problemen met Citrix en Log4j. Denk hier ook het containerschip de Evergiven dat klem kwam te liggen in het Suezkanaal. Een incident - weliswaar niet met digitale oorzaak - maar met wereldwijd effect. Er is ons veel aan gelegen om te zorgen dat dit soort verrassingen minimale gevolgen hebben.’

Inhaalslag

‘Zoals in zoveel sectoren is er pas nadat steeds meer systemen via het internet met elkaar verbonden raakten, nagedacht over cyberrisico’s en -veiligheid. De afgelopen jaren is er een flinke inhaalslag gemaakt. FERM helpt bedrijven bij het versterken van hun cyberweerbaarheid en weerbaarheid tegen digitale verstoringen. Onze participanten blijven zelf verantwoordelijk voor hun cybersecurity, maar we bieden de nodige hulpmiddelen en delen kennis. Het startpunt voor nieuwe participanten is de FERM Cyberweerbaarheidsscan, een nulmeting van hun huidige situatie. We helpen vervolgens om de resultaten van die meting te vertalen naar concrete actiepunten. Daarnaast stimuleren we samenwerking, kennis- en informatiedeling binnen het Haven Industrieel Complex en met leveranciers uit ons portfolio.’ 

Start zelf een ketensamenwerking

Het versterken van digitale ketenweerbaarheid vraagt om samenwerking, afstemming, investeringen, overtuigingskracht en inzicht in ketenrisico’s en –afhankelijkheden. Om organisaties op goed weg te helpen ontwikkelde het NCSC de handreiking Start een ketensamenwerking

Samenwerking

‘Ik ben trots op wat bedrijven al hebben gerealiseerd en ook op het bereik van FERM. Naast acht publieke partners en vijftig participanten bereiken we de probleemeigenaren van honderden kleinere bedrijven via onze nieuwsbrief, de sociale kanalen en fysieke bijeenkomsten. Wij richten ons vooral op de voorbereiding: protectie. En ook op de voorbereiding op response. Op het moment van crisis komen anderen in actie, zoals de sectorale CERT, de veiligheidsregio en het NCSC. Wij kunnen dan een rol spelen in de communicatie. Toen de Log4j kwetsbaarheid bekend werd bijvoorbeeld, hebben we een brief gepubliceerd die MKB’ers konden gebruiken in het contact met hun leveranciers. Die brief is echt heel vaak gedownload; dan merk je pas echt hoe groot ook het indirecte bereik is.’

Intersectoraal en scenario gebaseerd

‘Nationale programma’s zijn vaak sectoraal gericht. FERM steekt anders in elkaar: we werken dwars door sectoren heen en zitten dicht op de praktijk. Van daaruit ontwikkelen we activiteiten en middelen. De basis is niet sectoraal, maar scenario-gebaseerd. Als je oorzaak en gevolg goed kunt benoemen in scenario’s, weet je waar en wanneer je in actie moet komen en wat je daarmee kunt voorkomen. In scenario’s kun je bovendien goed de link leggen tussen digitaal en fysiek. Het is belangrijk om die scenario’s ook gezamenlijk te oefenen. Daarom doen we met FERM regelmatig mee met cyberoefeningen, zoals CyberNautics en ISIDOOR. ISIDOOR kennen de lezers denk ik wel. CyberNautics is de oefening van het Rotterdams HavenCrisisTeam. Daarnaast organiseren we een ‘side-event’ voor álle bedrijven, ook degenen die indirect betrokken zijn. Juist om die ketens te beoefenen.  FERM participanten, maar ook andere geïnteresseerden kunnen nog contact opnemen voor deelname.’ 

Sweetspot bepalen

‘Er zijn genoeg organisaties die maatregelen hebben getroffen de afgelopen jaren. Maar maatregelen nemen, betekent niet per se dat je het goede doet. Vaak zie je dat bedrijven algemene acties uitzetten die niet voldoende gericht zijn op de eigen organisatie en processen. Terwijl het zo belangrijk is om je af te vragen: waar zit onze sweetspot? Hoe gevoelig is onze data? En voor wie is die interessant? In de haven hebben we bijvoorbeeld te maken met ondermijning. Bepaalde data kan daardoor interessant zijn voor drugsgerelateerde organisaties. Dat moet je meenemen in je risicoanalyse. Ketens van organisaties die impact hebben op elkaar lopen vaak dwars door sectoren en supply chains heen. Je kunt zelfs meer last krijgen van je buren in de fysieke wereld dan van een partner in je supply chain. Houd daarom je omgeving in bredere zin in de gaten in je scenario’s.’

Storage spoofing

‘In de haven hebben we ook te maken met een specifieke vorm van fraude waarbij fysiek en digitaal samenkomen: storage spoofing. Dat is onze verzamelterm voor alle vormen van verkoop van niet-bestaande opslagcapaciteiten en voorraden van grondstoffen en materialen in terminals in het Rotterdamse havengebied. Potentiële verkopers krijgen zogenaamd vanuit de terminals handelswaar aangeboden. Na het sluiten van de deal, blijkt die handel niet te bestaan. Deze vorm van fraude is een serieuze dreiging voor het havengebied: ze beschadigt niet alleen de reputatie van de bedrijven uit wiens naam niet-bestaande handelswaar wordt aangeboden, maar ook de reputatie van de haven als geheel. We zijn er dus op gebrand storage spoofing aan te pakken en roepen iedereen op om verdachte websites te melden. We houden op onze eigen website een whitelist en een blacklist bij van respectievelijk betrouwbare en onbetrouwbare websites.’

Bedrijfseconomisch perspectief

‘Er zijn verschillende methodes om te bepalen welke risico’s voor jouw organisatie het zwaarst wegen en welke maatregelen nodig zijn. Door scenario-gebaseerd te werken kun je de risico’s goed in kaart brengen. Met zo’n risicoanalyse kun je vervolgens bij je eigen of externe ICT aankloppen om te bepalen welke maatregelen nodig zijn.  Het is een onderwerp dat de volle aandacht verdient van het bestuur. Je ziet nog steeds dat cybersecurity volledig belegd wordt bij de ICT-afdeling. Dat is alsof je de slager vraagt zijn eigen vlees te keuren. Als gevolg zie je dan dat vanuit de ICT-afdeling het moeilijk is om investeringen goedgekeurd te krijgen. Net als in andere sectoren heb je ook voor ICT en de veiligheid daarvan meerdere rollen die niet verenigbaar zijn. Gelukkig dringt dat besef in steeds meer bestuurskamers door.’

Aandacht vasthouden

‘In de aanloop naar de oorlog in Oekraïne hebben we het NCSC gevolgd in haar adviezen. We merkten dat de aandacht hiervoor als golven bewoog. Als het dreigingsniveau verhoogd wordt, kunnen we de aandacht goed pakken. Maar na verloop van tijd wordt dat het nieuwe normaal en zakt alertheid weer weg. Veel organisaties nemen cybersecurity serieus en tegelijkertijd zijn sommige nog altijd naïef. Zij denken dat het moederbedrijf het allemaal wel regelt of dat cybersecurity de verantwoordelijkheid is van ketenpartners. Terwijl je het toch echt samen moet doen en elkaar scherp moet houden. De keten is uiteindelijk zo sterk als de zwakste schakel.’