Roundtable: Cybersecurity

Bewustwording, van elkaar leren en actie

Het Havenbedrijf Rotterdam ziet cybersecurity als een randvoorwaarde voor het goed functioneren van de belangrijkste nautische en logistieke processen en de verdere ontwikkeling van de digitalisering van de haven. Daarom krijgt het thema veel aandacht binnen de organisatie. De gevolgen van een grootschalige cyberaanval in de haven werden duidelijk tijdens het incident in juni 2017 waarbij terminals werden getroffen door malware. Welke rol moet het Havenbedrijf Rotterdam spelen als het gaat om cybersecurity? Een rondetafel met experts en stakeholders.

Inge Philips werkte onder meer voor de AIVD en andere overheidsdiensten. Tot 2016 was zij plaatsvervangend hoofd van de Landelijke Recherche. In die functie was zij onder andere verantwoordelijk voor het Team High Tech Crime en de invoering van de nieuwe Wet Computercriminaliteit III. In 2016 werd Inge Philips director van Cyber Risk Services, een van de servicelines van Deloitte Risk Advisory.

Tonne Mulder is gespecialiseerd in informatierisicobeheer, informatiebeveiliging, Identity & Access management, netwerkbeveiliging en IT. Hij werkte van 1994 tot 2013 bij PricewaterhouseCoopers (PwC), waar hij verschillende functies bekleedde. Daarna maakte hij de overstap naar Vopak. Daar is hij, als Corporate Information Security Officer (CISO) verantwoordelijk voor de organisatorische en technische aspecten van informatiebeveiliging.

(Rijks-)Havenmeester Rene de Vries is sinds 2016 Port Cyber Resilience Officer (Port CRO). De Port CRO is verantwoordelijk voor het realiseren van het Port CRO programma. Doel van dit programma is om gezamenlijk de cyber-resilience in de haven te verhogen, de cybersecurity-awareness te vergroten, de geoefendheid van organisaties te intensiveren en risk management op dit vlak op te bouwen. Daarnaast is hij ook het boegbeeld van FERM, het publiek-private samenwerkingsverband in de haven waar kennis en kunde rond cybersecurity met elkaar worden gedeeld. 'In juni 2017 lagen in de Rotterdamse haven twee terminals van een dochteronderneming van het Deense Maersk stil door een ransomware aanval. Het probleem duurde meerdere dagen en had grote gevolgen voor de doorvoer vanuit de desbetreffende terminals. Het Havenbedrijf Rotterdam werd niet geraakt bij de aanval, maar de aanval wees ons wel op onze afhankelijkheid en kwetsbaarheid van systemen. We moeten ons als havengemeenschap beter wapenen.'

Dreiging neemt toe
Inge Philips schetst vanuit haar perspectief de actuele stand van zaken rond cybercrime: 'Deze ransomware golf was niet een gerichte aanval. Het was collateral damage van een aanval op de Oekraïne. Op dit moment steken kwaadwillenden veel energie in het ontwikkelen van ransomware. Het wordt steeds geavanceerder. Het kan tegenwoordig zo in elkaar worden gezet, dat het losgeld afhankelijk wordt gemaakt van het aantal gebruikers (end-points) van een netwerk. Daarmee worden de aanvallen gerichter.' Tonne Mulder vult aan: 'De dreiging neemt toe, omdat we steeds meer met elkaar verbonden raken. Het draait om the internet of things. We sturen veel digitaal aan, waardoor de dreiging zich ook steeds meer richt op primaire processen.'

Rene de Vries: 'Twee terminals lagen anderhalve week plat en de schade was enorm. Dus dat doet het ergste vrezen. Dat is ook precies de reden waarom de gemeente Rotterdam, politie, Openbaar Ministerie en het Havenbedrijf Rotterdam in 2016 met het programma FERM zijn gestart. Experts bevestigen dat de beveiliging in het algemeen achterloopt. We hebben hypermoderne containerterminals en we hebben een port community systeem waarmee we honderdduizenden berichten per maand uitwisselen. Alles is met elkaar verbonden. We hebben 190 bedrijven die zeeschepen ontvangen. In de praktijk merk ik dat we daar onvoldoende bij stilstaan. Je moet wellicht een keer goed worden geraakt voordat je wakker wordt.'

Inge Philips reageert: 'Door de toenemende mate van verbondenheid worden cyberaanvallen ook steeds onvoorspelbaarder. Om je bedrijf goed te beveiligen, moet je voortdurend vooruitdenken. In de techniek en de operationele behoefte verandert veel. De analoge alternatieven verdwijnen, waardoor onze afhankelijkheid van nieuwe technologie relatief groter wordt. Bedrijven met een wat langere historie bouwen voort op een IT-landschap dat al heel lang bestaat. Daar schuilt een gevaar.'

Breed perspectief
Dat laatste bevestigt Tonne Mulder. 'De levensduur van digitale oplossingen is veel korter dan de levensduur van bijvoorbeeld een terminal. Door de levenscyclus van digitale oplossingen goed te organiseren, kun je de beveiliging van de digitale oplossingen sterk verbeteren'. Inge Philips vult aan: 'Binnen bedrijven bestaat de neiging om in silo's te denken. Cybersecurity is bij uitstek een onderwerp om vanuit een breed perspectief te benaderen. Het is niet het exclusieve domein van een afdeling IT, maar gaat alle organisatieonderdelen aan.'

'Het is niet per se zo dat grote bedrijven daar altijd beter mee omgaan', vertelt Tonne Mulder. 'Snelheid van handelen is bij grotere bedrijven soms lastiger als er sprake is van meer bureaucratie. Het is wel zo dat grotere bedrijven over het algemeen een groter budget voor beveiliging beschikbaar kunnen stellen, waardoor ze hun beveiliging makkelijker kunnen upgraden. We zien ook bedrijven die achterblijven. Simpelweg omdat ze gezien de beperkte budgetten voorrang geven aan andere zaken.'

Dat laatste merkt Rene de Vries ook regelmatig op de FERM-bijeenkomsten. 'Het zijn vooral de kleinere bedrijven die cybersecurity lastig vinden. Veelgehoord: 'Ik moet van de baas iets regelen, maar wat moet ik doen? Help ons een beveiligingsbeleid op te zetten. 'Daar zijn we natuurlijk druk mee aan de slag, alhoewel het de primaire verantwoordelijkheid van de bedrijven zelf blijft.' Inge Philips ziet bedrijven die zo op gebruikersgemak zijn gericht dat ze helemaal niet aan security denken. 'Er zijn natuurlijk ook ondernemingen waar het goed is geregeld. Bijvoorbeeld familiebedrijven die al eens een probleem hebben gehad, geven er prioriteit aan, want het is hun eigen geld. Sommige bedrijven investeren in cybersecurity als intrinsiek onderdeel van hun product om daarmee een concurrentievoordeel te hebben. Het landschap is divers.'

Best practices delen
Blijft de vraag hoe we omgaan met cybersecurity in de haven en wat daarin de rol is van het Havenbedrijf Rotterdam? Rene de Vries geeft zijn rondetafelgenoten een kort overzicht van de stand van zaken. 'Ik denk dat we een redundant systeem hebben. We hebben bijvoorbeeld voor de verkeerbegeleiding alle radarscanners dubbel uitgevoerd. Ook hebben we noodstroom op alle kritische plaatsen en een achtervang voor het havencoördinatiecentrum en de verkeerscentrales. Het loodswezen is goed ingericht en voorbereid op alle mogelijke noodsituaties. Daarnaast hebben we in 2017 in kaart gebracht wat er op ICT-gebied gebeurt als er een schip binnenkomt. Wat zijn de onderlinge afhankelijkheden met de havengemeenschap, loodswezen, sleepdiensten en het Havenbedrijf Rotterdam? Met een grote oefening hebben we in 2017 allerlei scenario’s getest. Ik zeg absoluut niet dat we er zijn, maar ook deze vorm van veiligheid krijgt volop aandacht. Zo zien we ook dat cybersecurity en fysieke beveiliging nauw verbonden zijn. Daarom is het logisch om op het gebied van cyber huidige wet- en regelgeving waar nodig aan te scherpen. Het is ook mooi om te zien dat steeds meer bedrijven en organisaties uit het haven- en industriecomplex met FERM meedoen.'

Inge Philips: 'Oefenen is altijd goed. Daarmee komen zaken aan het licht waarmee je nog geen rekening hebt gehouden. En je leert elkaar ook nog eens beter kennen. Ik denk dat de rode draad moet zijn dat je collectiviteit zoekt in de oplossingen. Daarnaast moeten de in te voeren veiligheidsmaatregelen voorspelbaar, schaalbaar en modulair zijn. Op die manier kun je het als bedrijf eenvoudig aanpassen aan nieuwe omstandigheden.'

Tonne Mulder deelt de mening van Inge Philips: 'De maatregelen die Rene de Vries schetst, zijn natuurlijk prima. Toch zie ik in de praktijk dat veel bedrijven zelf het ‘veiligheids’-wiel proberen uit te vinden. Dit terwijl de maatregelen die je kunt treffen om tot een basis te komen binnen bijna alle bedrijven hetzelfde is. 'Inge Philips: 'Er zijn tal van richtlijnen bekend in de diverse sectoren. Dat is helemaal niet ingewikkeld. Daarnaast zou het goed zijn als de haven als gemeenschap best practices met elkaar deelt. Wellicht kan het Havenbedrijf Rotterdam een richtlijn opstellen. Die moet niet langer zijn dan tien pagina’s, want de mkb’er heeft echt geen tijd om dat allemaal te lezen. En het moet betaalbaar zijn.' Tonne Mulder vult aan: 'Ik denk inderdaad dat je havenbreed veel kunt bereiken door eenvoudige en haalbare oplossingen te bieden. En je moet zorgen voor awareness. Wat dat betreft speelt FERM een belangrijke rol. De bewustwording draait vaak om eenvoudige zaken. Ontvang je zakelijk een bericht via Gmail? Negeren. Phishing? Ik kan het niet genoeg benadrukken: leer medewerkers het te herkennen. En verbiedt het gebruik van privé-mail. Het zijn allemaal bronnen voor ongewenste gasten. Het gaat in de basis ook voor een groot deel om digitale hygiëne.'

Inge Philips besluit: 'Dat onderschrijf ik van harte. Cybersecurity begint op de werkvloer. Het Havenbedrijf Rotterdam kan stimuleren en faciliteren. Samen met initiatieven, zoals FERM ontstaat er in de haven meer bewustwording en actie. Vooral op dat laatste gebied mag er in 2018 en de komende jaren meer vooruitgang worden geboekt.'