Cybersecurity

Cybersecurity groeit als prioriteit in de samenleving en het bedrijfsleven. Toenemend gebruik van informatie- en communicatietechnologie leidt tot een verhoogde noodzaak van privacy en veiligheid van de desbetreffende communicatie en de opslag van gegevens. Het Havenbedrijf Rotterdam erkent haar rol hierin.

Cybersecurity als topprioriteit

We zien cybersecurity als een randvoorwaarde voor het goed functioneren van de belangrijkste nautische en logistieke processen en de verdere ontwikkeling van de digitalisering van de haven. Daarom krijgt het thema veel aandacht binnen de organisatie. Sinds 2016 is (Rijks-)Havenmeester René de Vries Port Cyber Resilience Officer (Port CRO). De Port CRO is verantwoordelijk voor het realiseren van het Port CRO programma. Doel van dit programma is om gezamenlijk de cyber-resilience in de haven te verhogen, de cybersecurity-awareness te vergroten, de geoefendheid van organisaties te intensiveren en risk management op dit vlak op te bouwen.

De gevolgen van een grootschalige cyberaanval werden duidelijk tijdens de hack op APM-terminals. De twee terminals van de dochteronderneming van het Deense Maersk lagen vanaf 27 juni 2017 stil door een ransomware aanval. Het probleem duurde meerdere dagen en had grote gevolgen voor de doorvoer vanuit desbetreffende terminals. Het Havenbedrijf Rotterdam werd niet geraakt bij de hack, de impact voor ons was beperkt.

De hack toonde het belang aan van het 'Cyber resilience-programma'. Vanuit dit programma startte eind 2016 het FERM-initiatief. FERM is de Rotterdamse vertaling van resilience en bestaat onder meer uit een website waarop ongeveer 700 bedrijven in de haven een self-assesmentscan kunnen uitvoeren op het gebied van cybersecurity. Daarnaast richt het programma zich op het delen van kennis en best practices tussen de bedrijven.

Cybernautics 2017

In november 2017 testten verschillende partijen die betrokken zijn bij de afwikkeling van het scheepvaartverkeer hun cyberweerbaarheid tijdens ‘Cybernautics 2017’. Het doel van de oefening was het bewuster en weerbaarder maken van ondernemingen en instanties met betrekking tot digitale bedreigingen. De focus lag tijdens de oefening op de structuur en werkwijze binnen de Rotterdamse haven tijdens een (cyber)crisis en het effect op de nautische en logistieke keten.

FERM organiseerde in 2017 het seminar ‘Sta jij FERM’. Werknemers van bedrijven kregen handvatten aangereikt om de cybersecurity binnen de eigen organisatie op orde te krijgen. Het ‘Port Cyber Cafe’ is ook een initiatief. In deze sessies komen sprekers en experts in een informele setting samen om dieper in te gaan op een specifiek cyberthema.

Cybersecurity in de Rotterdamse haven Bewustwording, van elkaar leren en actie

Het Havenbedrijf Rotterdam ziet cybersecurity als een randvoorwaarde voor het goed functioneren van de belangrijkste nautische en logistieke processen en de verdere ontwikkeling van de digitalisering van de haven. Daarom krijgt het thema veel aandacht binnen de organisatie. De gevolgen van een grootschalige cyberaanval werden duidelijk tijdens de hack op APM-terminals in juni 2017. Welke rol moet het Havenbedrijf Rotterdam spelen als het gaat om cybersecurity? Een rondetafel met experts en stakeholders.

Lees meer over deze roundtable

Privacy en security op de werkvloer

Binnen het Havenbedrijf Rotterdam vonden er ook programma’s plaats die het bewustzijn van medewerkers moeten verbeteren. Een onderdeel hiervan was de 'Information Security Awareness Campagne'. Deze campagne leidde en leidt al tot concrete resultaten op het gebied van vertrouwelijke informatie en het beveiligen van de ICT-systemen.

Het merendeel van de managers woonde een training bij om het voorbeeldgedrag en leiderschap ten aanzien van informatiebeveiliging te verbeteren. Verder volgden werknemers een e-learning die zich toespitste op het vergroten van de kennis en vaardigheden op dit gebied.

Sinds 1 januari 2016 zijn organisaties verplicht incidenten te melden waarbij datalekken van persoonsgegevens plaatsvindt. Deze maatregel is onderdeel van de Algemene Verordening Gevensbescherming (AVG). Deze wet vervangt per 25 mei 2018 de Wet bescherming persoonsgegevens. De verordening scherpt de regels met betrekking tot het beschermen van persoonsgegevens aan. De invoering van de wet leidt tot bij ons tot beleid en initiatieven die de bewustwording moeten vergroten. Voorbeelden hiervan zijn het creëren van bewustwording binnen het Havenbedrijf Rotterdam en het aanpassen van hoe wij persoonsgegevens vastleggen en bewerken.

Voortgang roadmap cybersecurity

Om zicht te houden op de dreigingen die relevant zijn voor het Havenbedrijf Rotterdam stellen we jaarlijks een cybersecurity dreigingsbeeld en een daarvan afgeleide risicoanalyse op. Conclusie is en blijft dat we in belangrijke mate afhankelijk zijn van IT-voorzieningen die we inzetten ter ondersteuning van het nautisch logistieke proces in de haven. Ze zijn deels afkomstig van derden. Met de leveranciers hebben we afspraken over het beveiligingsniveau van de geleverde diensten. Een jaarlijkse audit toetst de effectiviteit van de beveiligingsmaatregelen.

Het Havenbedrijf Rotterdam wil graag leren van de ervaringen met de cyberaanval op terminals. Daarom voert het COT (Instituut voor Veiligheids- en Crisismanagement) een evaluatie uit en legt leerpunten vast. De uitkomsten vormen waardevolle input voor de verdere ontwikkeling van het Cyber resilience-programma en daarmee de weerbaarheid tegen cyberaanvallen.

Integrale veiligheidsmonitor

We benaderen de verantwoordelijkheden en belangen voor alle relevante veiligheidsonderwerpen in samenhang. We ontwikkelden een cyclisch proces om voortdurend het veiligheidslandschap te monitoren, kennis over de verschillende onderwerpen breder binnen de organisatie te delen en om acties te identificeren en te adresseren. Binnen deze integrale veiligheidsmonitor hanteren we achttien relevante veiligheidsonderwerpen, gekoppeld aan drie doelstellingen uit onze Ondernemingsstrategie. We onderscheiden onderwerpen gerelateerd aan (i) transport, (ii) activiteiten in de haven en vestigingsklimaat en (iii) de eigen organisatie.

  • Donkerblauw: Onderwerp is goed ingebed en geborgd. Geen extra managementaandacht nodig.
  • Geel: Onderwerp heeft volledige aandacht, maar voor een aantal onderdelen is actie nodig.
  • Lichtblauw: Onderwerp is nog onvoldoende ingebed. Extra managementaandacht is nodig.

We plotten de achttien veiligheidsonderwerpen in een matrix waarin drie invalshoeken zichtbaar zijn:

  1. De juridische verantwoordelijkheid van het Havenbedrijf Rotterdam:
    a. Geen juridische verantwoordelijkheid
    b. Juridische verantwoordelijkheid van de N.V.
    c. Juridische/publieke verantwoordelijkheid van DHMR

  2. Het belang (impact) van het onderwerp voor het Havenbedrijf Rotterdam c.q. het goed functioneren van de haven: Laag, Middel en Hoog.

  3. De mate waarin we het onderwerp goed beleggen en borgen en/of het extra aandacht vraagt:

De focus voor de komende periode ligt op de onderwerpen met een hoog belang en met een juridische of publiekrechtelijke verantwoordelijkheid voor het Havenbedrijf Rotterdam.

Dilemma: Cybersecurity

Cybersecurity is een randvoorwaarde voor het goed functioneren van de nautische en logistieke processen en de verdere digitalisering van de haven. Deze processen worden geleverd vanuit een keten van organisaties. Bij onderwerpen die cybersecurity in de haven raken, spelen organisatorische, keten- en maatschappelijke belangen die soms tegenstrijdig kunnen zijn. Organisaties maken vanuit hun eigen positie en vaak vanuit hun eigen belang afwegingen over cybersecuritymaatregelen. Het afgelopen jaar toonde de dreiging en de gevolgen van cyberaanvallen meer dan ooit aan en bevestigde nogmaals het belang van het nemen van adequate maatregelen. We hadden te maken met twee grootschalige cyberaanvallen met ransomware. Deze aanvallen troffen wereldwijd bedrijven. Ook terminals in Rotterdam waren slachtoffer. Het Havenbedrijf Rotterdam ondervond zelf geen hinder van de aanvallen. De Divisie Havenmeester binnen het Havenbedrijf Rotterdam speelde een rol bij het melden van dit incident en het beheersen van de gevolgen en effecten ten behoeve van een veilige en vlotte afwikkeling van het (scheepvaart)verkeer.

Om de publiek-private samenwerking op het gebied van cybersecurity in de haven tot stand te laten komen, heeft de havenmeester (Rene de Vries) eind 2015 in de haven van Rotterdam de rol van Cyber Resilience Officer (CRO) gekregen van de (grote) Driehoek, c.q. de burgemeester van Rotterdam. Deze rol is toegevoegd aan zijn huidige rollen als Rijkshavenmeester en bestaat voornamelijk uit het verhogen van het bewustzijn omtrent cyberrisico’s en kwetsbaarheden in de systemen. Hiervoor is het programma FERM opgestart. Het doel van het programma is het creëren van awareness bij bedrijven in de Rotterdamse haven (ongeveer 700) met betrekking tot cyber resilience en de risico’s en kwetsbaarheden van cybersecurity en –crime. Het programma richt zich nadrukkelijk op samenwerking en kennisuitwisseling.

Na 27 juni 2017 groeit de vraag of bewustzijn voldoende is of dat er ook juridisch meer verplichtingen moeten worden opgelegd aan bedrijven. Op het gebied van het ontwikkelen van wetgeving lopen er enkele initiatieven vanuit de Rijksoverheid, zoals de Wet Gegevensverwerking en Meldplicht Cybersecurity die geldt voor cyberincidenten op de digitale systemen die het proces afwikkelen scheepvaartverkeer in de Rotterdamse haven ondersteunen. De cybersecuritywet bestaat naast een meldplicht ook uit een zogenaamde beveiligingszorgplicht voor de aanbieders van deze systemen. Deze initiatieven zijn voornamelijk gericht op aanbieders van deze digitale systemen en beperkt van toepassing op individuele bedrijven in de haven.

Wat vinden stakeholders?
De bedrijven in de Rotterdamse haven hebben verschillende volwassenheidsniveaus van informatiebeveiliging. Aandacht vragen voor cybersecurity is na 27 juni 2017 niet moeilijk. Bijna iedereen ziet in dat ook zij kwetsbaar zijn voor een cyberaanval. Niet alleen als gerichte aanval op hun bedrijf, maar ook als de zogenaamde ‘bijkomende schade’, omdat ze onderdeel zijn van een nautische of logistieke keten. Maar de vraag is: moeten er normen worden gesteld op het gebied van cybersecurity voor bedrijven? En wat betekent dat dan concreet? Moet een bedrijf verplicht worden gesteld om zijn response te organiseren? Het havenbedrijfsleven ondersteunt in ieder geval de huidige ontwikkeling van een meldpunt voor cyberincidenten.

Wat vindt het Havenbedrijf Rotterdam?
We bevinden ons in een beginnend stadium als het gaat om ontwikkelingen in wet- en regelgeving omtrent cybersecurity in de Rotterdamse Haven. Vergelijk het met de ontwikkeling en vlucht die wet- en regelgeving heeft genomen na 9/11. Anno 2017 bestaat er een uitgekristalliseerd volwassen systeem van wet- en regelgeving voor schepen en terminals, de ISPS (International Ship and Port Security).
Het Havenbedrijf Rotterdam vindt dat digitale- en informatieveiligheid primair een verantwoordelijkheid is van de individuele bedrijven. Gezien de informatieafhankelijkheden van bedrijven in verschillende ketens zien we in dat we met elkaar wel een minimumniveau van beveiliging en maatregelen moeten bepalen. De komende periode benutten we om onze rol, stimulerend of wetgevend, hierin verder te duiden.