Belle Webster zal rustigere dagen gekend hebben. Ze is als hoofd IT & Cybersecurity bij Port of Amsterdam begaan met de cybersecurity van de havenregio. Die regio staat al niet bekend als vooruitstrevend, maar de recente gewelddadige geopolitieke ontwikkelingen schudden de kussens helemaal op. De vrees voor hackers bestond al, maar door de oorlog in Oekraïne moeten we ook serieus rekening houden met andere actoren. Ofwel cybersoldaten die in opdracht van Poetin infrastructurele werken in het Westen op de korrel nemen om de weg vrij te maken voor de infanterie. Daar zit Webster dan op de negende etage van het Havengebouw in Amsterdam. Ze kan zich troosten met de gedachte dat de hoofdstad niet de eerste geplaagde havenregio zal zijn.
Antwerpen
Meer het aantal cyberaanvallen, dat laat sinds jaren weer een ernstige toename zien. Zo gingen na hackaanvallen op olie- en chemieterminals in de havens van Antwerpen, Gent en Terneuzen, maar ook in Duitsland de it-systemen bij bedrijven plat. Opvallend: betrokken partijen houden de oorzaak en de gevolgen voor zich en kunnen of willen daar niets over zeggen. De zwijgmentaliteit contrasteert met het punt dat Webster vervolgens maakt. De havensector mag in termen van cyberveiligheid, zo bevestigt ze, achterlopen op andere sectoren van de industrie nu deze door de nationale overheid niet erkend is als kritieke infrastructuur, die situatie verandert door de media-aandacht, de politiek – zie de oprichting van een heus ministerie van Digitale Zaken – en de al genoemde spanningen tussen statelijke actoren. Meer, in veel verschillende sectoren speelt dezelfde uitdaging van ketenafhankelijkheden en het delen van cyberdreigingsinformatie. Ofwel, de monden lijken wél open te gaan.
Meer aandacht
Webster schetst eerst de praktijk van Port of Amsterdam en het NZKG. Dit gebied doorkruist diverse gemeentes en veiligheidsregio’s. ‘De uitdaging is om over deze geografisch verspreidde ligging ook cyberrisico’s te mitigeren. Tot een tiental jaar geleden was er weinig geregeld voor havenbeveiliging in het algemeen. Sinds een aantal jaren is er meer aandacht voor de fysieke veiligheid op haventerreinen, zoals hekwerken en toegangscontroles. Daarna volgde de bewustwording en informatie-uitwisseling en het beveiligingsniveau ten behoeve van de digitale weerbaarheid van partijen in het havengebied.’ Point taken, maar wat nu? Volgens Webster is cyberdreiging inmiddels een standaardonderdeel van de risicoanalyse bij bedrijven. ‘Het besef groeit dat security niet alleen iets is van de ‘cyberexpert binnen een bedrijf’. We dragen met z’n allen de verantwoordelijkheid om de organisatie veilig te houden. Niet alleen binnen de IT-afdeling maar ook erbuiten. De openbaarheid van de systemen, de migratie naar de cloud en de daarbij behorende shiftleft-beweging (het delen van informatie van experts breder in de organisatie – red.) is onderdeel van het werken. Niet alleen binnen Port of Amsterdam maar binnen veel bedrijven.’ Webster voegt eraan toe dat iedereen moet letten op bijvoorbeeld phishing-mails en ze moet herkennen. ‘Immers, onachtzaamheid kan genoeg zijn om ransomware binnen te halen.’
Kritieke infrastructuur
Pratend over waar die verantwoordelijkheid en het veilig houden van havenorganisaties maakt Webster nog een interessant punt. De situatie in de maritieme sector namelijk is dat alleen het Rotterdamse havenbedrijf door de overheid is aangewezen als ‘onderdeel van de kritieke infrastructuur’. Op grond van de Wet beveiliging netwerk- en informatiesystemen (WBNI) kan alleen aan bedrijven die onderdeel uitmaken van deze kritieke infrastructuur zoals dat heet ‘proactief specifieke dreigingsinformatie’ vanuit het Nationaal Cyber Security Centum (NCSC) worden verstrekt. Dus aan Rotterdam wel, aan andere (zee)havens, waaronder Amsterdam, niet. Webster: ‘Dat is anders in andere Europese landen. Maar waarschijnlijk zal dit wijzigen met de komst van een nieuwe Europese richtlijn (herziene richtlijn inzake de beveiliging van netwerk- en informatiesystemen; NIS 2-richtlijn – red.), waarin meer sectoren als ‘essentieel’ zullen worden aangemerkt. Maar ook door het wetsvoorstel ‘bevordering digitale weerbaarheid bedrijven’ waarmee de ministerraad op onlangs heeft ingestemd). In afwachting daarvan lopen we wat dat betreft misschien wel achter op andere landen. Wat we nu bijvoorbeeld ook zien in de Oekraïne, is dat infrastructuur kwetsbaar is als we niet zijn voorbereid in termen van preventie, detectie, response en recovery.’
Crisispartners
Natuurlijk zit Webster niet stil. Gevraagd naar de genomen stappen legt ze uit dat Port of Amsterdam het ‘Cybersecurityprogramma Noordzeekanaalgebied’ heeft gelanceerd (zie kader), een programma gericht op het vergroten van de cyberweerbaarheid van bedrijven in het NZKG. ‘Dit was een initiatief vanuit de eigen verantwoordelijkheid en niet vanuit een wettelijke verplichting zoals de eerder genoemde kritieke infrastructuur.’ Vanuit dit programma, zo legt Webster uit, is als eerste stap een publiek-private samenwerking opgezet. Verschillende partijen uit het NZKG nemen daaraan deel. Daarnaast zoeken Webster en haar team ook regionaal en landelijk de verbinding op met crisispartners, het Digital Trust Center en het al genoemde NCSC, dat onder het ministerie van Justitie valt. Daarmee is de koek wat betreft het hoofd van de IT van Port of Amsterdam nog niet op. Met een groot aantal bedrijven in het NZKG vinden zogeheten ISAC (Information Sharing and Analysis Centre)-vergaderingen plaats. ‘Speciaal opgericht om op dit niveau elkaar te versterken. Partijen spreken hier in een vertrouwde omgeving over gevoelige en vertrouwelijke informatie, zoals incidenten of dreigingen. Maar ook over uitdagingen en lessons learned. Juist daarover spreken, vergroot de veiligheid enorm.’
Bad boys
Ah, dat verklaart allicht waarom Klaas Schuytvlot, technology risk & control manager bij Cargill Amsterdam, enigszins nerveus reageert op vragen van Ways to Sea. ‘Nee, ik ga niet melden of Cargill wel of niet last heeft van de bad boys’, zegt hij. ‘Zeker niet als dat gepubliceerd gaat worden.’ Wat Schuytvlot wel kwijt wil is dat bedrijven sowieso voorbereid moeten zijn op een cyberaanval. ‘Is het niet direct, dan wel indirect, ofwel collateral damage.’ Schuytvlot gooit er vervolgens wat jargon tegenaan: ‘En de basis van beveiliging – wachtwoorden, patching, bewustwording, een up-to-date configuratie-managementdatabase, et cetera – goed geïmplementeerd en gemanaged hebben. Dat is voor veel bedrijven al een uitdaging, maar wel key.’
Cybertrainingen
De rol van Port of Amsterdam om de cyberbeveiliging in de regio naar een hoger plan te tillen, is bij de cybersecurityexpert van Cargill in goede handen. Het weerhoudt Belle Webster er niet van om erop te wijzen dat haar organisatie jaarlijks ook cybertrainingen en -oefeningen aanbiedt. ‘Ook is door Port of Amsterdam een meldpunt ingericht waar bedrijven cyberincidenten kunnen melden. Het is belangrijk dat partijen daar gebruik van maken. Als er een cyberaanval plaatsvindt die tot verstorende effecten in de omgeving leidt, dan kan Port of Amsterdam met haar crisispartners in actie komen om deze effecten op te vangen. Het getroffen bedrijf kan zich dan richten op de eigen it-systemen waar het verantwoordelijk voor blijft.’
Serieus nemen
Ook Jeroen Gaiser, coördinerend adviseur cybersecurity bij Rijkswaterstaat, kan niet genoeg benadrukken dat we de cyberkwetsbaarheid van het NZKG zeer serieus moeten nemen. ‘Er zitten veel verschillende organisaties in deze regio en dus zie je ook grote verschillen in de volwassenheid op weerbaarheid’, zegt hij. ‘Door samen te werken in bijvoorbeeld een ISAC, help je elkaar en ben je als geheel weerbaarder dan ieder voor zich.’ Elk bedrijf dat verbonden is met internet zal volgens Gaiser last hebben van generieke en ongerichte aanvallen, zoals phishing en pogingen bekende kwetsbaarheden te misbruiken voor toegang. ‘De motivatie van de ongerichte aanvallen is over het algemeen gericht op geldelijk gewin. Het kan echter ook voorkomen dat criminelen zich richten op specifieke bedrijven of sectoren. Ook hier geldt: door informatie hierover in een vertrouwelijke omgeving met elkaar te delen, ben je als geheel weerbaarder. Elk bedrijf moet zelf een goed dreigingsbeeld vaststellen, maar door samen te werken kan je elkaar helpen. Immers, de grenzen tussen organisaties wordt in leverketens en regio’s steeds meer diffuus door intensieve digitalisering. Een eigen kasteel bouwen met hoge muren is achterhaald en samenwerken voor weerbaarheid is de werkwijze van de toekomst.’
Dreiging het hoofd bieden
Port of Amsterdam pakt dus de rol op die bij haar past: het vergroten van awareness en het delen van informatie tussen partners en als beschikbaar vanuit de overheid om de keten zo te versterken. Webster: ‘Het belangrijkste om cyberaanvallen en dreigingen het hoofd te bieden, is het versterken van ketensamenwerking en de informatiedeling. We verwachten dat als we ook als kritieke infrastructuur worden aangewezen en directer toegang tot dreigingsinformatie krijgen, we deze binnen ook ons netwerk kunnen delen. Op die manier worden wij natuurlijk allemaal direct weerbaarder.’ Om een misverstand te komen, legt ze uit dat de kern van een havenbedrijf natuurlijk de fysieke haven is. ‘We zijn geen it-bedrijf. We kunnen daarom onmogelijk zoveel resources gebruiken om alle it-systemen van alle bedrijven in het NZKG te beschermen zoals de grote globale it-spelers in de markt. Die verantwoordelijkheid blijft bij de bedrijven liggen.’
Maersk
Ook Webster volgt natuurlijk het nieuws en ze heeft de verhalen gehoord over de recente aanvallen op havenbedrijven. ‘Maar kijk ik verder terug, dan staan de aanvallen op Port of Houston, Port of Barcelona, San Diego en Maersk bij mij nog vers in het geheugen’, zegt ze. Maersk Line, de Deense containergigant, daar noemt Webster wat. Zo mogelijk was dat voor de maritieme industrie de wake-up call. De rekening als gevolg van die NotPetya-aanval: geschat driehonderd miljoen dollar (de werkelijk schade zal een factor hoger liggen) en de vervanging van vrijwel het complete it-systeem, bestaande uit een slordige vierduizend servers, 45.000 pc’s en 2.500 applicaties. Maersk-topman Jim Hagemann Snabe gaf achteraf toe dat de beveiliging van de systemen voor de aanval van ‘gemiddeld niveau’ was. Het zegt nog maar eens dat ook de maritieme industrie op de radar van cybercriminelen staat.