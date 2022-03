Claudia de Andrade, directeur Digitaal & IT van het Rotterdamse havenbedrijf, maakt zich grote zorgen over de digitale weerbaarheid van de Rotterdamse haven. Met de oorlog in Oekraïne in het achterhoofd vreest ze dat de haven het slachtoffer kan worden van een ontwrichtende cyberaanval. „Als één bedrijf in onze logistieke keten plat gaat, kan de hele haven vastlopen.”

Als het conflict in Oekraïne verder oplaait, zal de Rotterdamse haven – de grootste van Europa – vermoedelijk een grote rol gaan spelen in de aanvoer van militaire apparatuur. „Hackers zijn nu vooral actief in Rusland en Oekraïne, maar de inschatting van het Nationaal Cybersecurity Centrum (NCSC) is dat als het conflict internationaal escaleert de kans op gerichte aanvallen reëel is”, zegt De Andrade, tevens lid van de Cyber Security Raad, een adviesorgaan van het kabinet op het gebied van digitale veiligheid.

Volgens De Andrade zijn veel bedrijven in het havengebied onvoldoende voorbereid op digitale aanvallen. „De IT is bij veel partijen niet op orde. Ik heb weinig zorgen om de hele grote bedrijven. Het gaat om kleine en middelgrote bedrijven als depots, transportbedrijven, binnenscheepvaart en de havenagenten.”

Onderdeel van het probleem is dat van alle circa drieduizend bedrijven die direct of indirect in het havengebied actief zijn, slechts één door de overheid aangewezen is als ‘vitaal proces’: het scheepsafhandelingsproces van de havenmeester van het havenbedrijf zelf. Bedrijven met zo’n vitale status krijgen informatie van NCSC over digitale bedreigingen, bijvoorbeeld over nieuwe kwetsbaarheden in veelgebruikte software. „Je hebt dan ook een wettelijke meldplicht voor cyberincidenten en sinds kort ook een zorgplicht. De toezichthouder – in ons geval de Inspectie Leefomgeving en Transport (ILT) – voert inspecties uit om te kijken of de cyberveiligheid van voldoende niveau is.”

Bedrijven zonder die status kunnen die informatie niet direct van het NCSC krijgen, terwijl in de complexe logistieke keten van de Rotterdamse haven eigenlijk veel meer bedrijven vitaal zijn, zegt De Andrade. Schepen lossen onder hoge tijdsdruk hun vracht. Andere bedrijven transporteren die vracht vervolgens ogenblikkelijk per vrachtwagen, trein of binnenvaartschip verder naar de plaats van bestemming. Verstoringen bij het ene bedrijf hebben zo al snel gevolgen voor de rest van de haven. „De logistieke keten door onze haven is zo sterk als de zwakste schakel.” De Andrade schat – vooruitlopend op Europese regelgeving die de definitie van een ‘vitaal proces’ zal verruimen - dat eigenlijk zo’n 150 tot 200 bedrijven essentieel zijn. „Als ik nu formeel aan het NCSC vraag: kunnen we voor deze bedrijven een uitzondering maken omdat we nu in een crisissituatie zitten?, dan is het antwoord: dat mogen we niet, ook al zouden we anders willen.”

Containerterminal plat

Voor voorbeelden van een grote cyberaanval hoeft de Rotterdamse haven niet verder terug te kijken dan 2017. Toen richtte de hackersgroep Sandworm, gelieerd aan de Russische militaire inlichtingendienst GROe, zich op de Oekraïense financiële sector. In het kielzog van de aanval kwam de containerterminal van Maersk in de Rotterdamse haven een week stil te liggen. De totale schade voor het concern liep in de honderden miljoenen.

Bas Janssen, directeur van Deltalinqs, de ondernemersvereniging voor bedrijven in het havengebied, erkent dat de staat van de cybersecurity „wisselend” is. Oorzaken zijn, volgens hem: gebrek aan kennis, onderschatting van de mogelijke gevolgen of er ten onrechte van uitgaan dat de digitale veiligheid op orde is. „Soms zie ik een vorm van opportunisme: een gevoel van dat het mij toch niet zal overkomen.”

Om de digitale weerbaarheid van de Rotterdamse haven te vergroten, richtte het havenbedrijf met de veiligheidsregio, politie en Deltalinqs in 2016 samenwerkingsverband FERM op. Bedrijven kunnen bij FERM bijvoorbeeld terecht voor specialistisch advies over hun cybersecurity en ontvangen via de stichting wél dreigingsinformatie van het NCSC. Een lidmaatschap kost een paar duizend euro.

Slechts enkele tientallen bedrijven in het havengebied zijn lid geworden van FERM. „Storm loopt het nog steeds niet”, verzucht directeur Evelien Bras. „De bedrijven kijken voornamelijk naar hun eigen winst en verlies. Zo’n een op de vijf bedrijven, groot en klein, wordt jaarlijks getroffen door cyberaanvallen. Dat kost ook geld, om over reputatieschade nog maar te zwijgen. Maar het blijft voor sommige bedrijven een abstract onderwerp.”

„Digitale weerbaarheid is een kostenpost: daar verdien je geen geld mee”, zegt Janssen van Deltalinqs. „Het is een lastig dilemma. De sterke ondernemingsgeest heeft de Rotterdamse haven groot gemaakt. Maar in de discussie over de andere kant van digitalisering – zijn we wel voldoende beschermd? – zijn we naïef geweest. Het is best hard wakker worden nu.”

Claudia de Andrade: „Roep het havengebied wat mij betreft uit tot crisisgebied.”

Digitaal afweerschild

Op regelgeving uit Brussel of een verandering van de bestuurscultuur bij kwetsbare bedrijven kan het havengebied niet langer wachten, zegt De Andrade. „In de huidige situatie, met het perspectief dat het erger kan worden, moeten we nú iets doen. Roep het havengebied wat mij betreft uit tot crisisgebied. Bedrijven die essentieel zijn voor de logistieke keten moeten hun digitale veiligheid aantoonbaar op orde hebben. Met een lidmaatschap van FERM moeten ze de informatie krijgen die ze nodig hebben. Ook moeten we zo snel mogelijk een Computer Emergency Response Team regelen voor de haven, dat bedrijven die getroffen zijn door een digitale aanval bij kan staan. En we moeten een Security Operations Center inrichten, een soort digitaal afweerschild op het hele havengebied dat continu in de gaten houdt of iemand probeert in te breken.”

Alleen een lidmaatschap van FERM is onvoldoende, waarschuwt De Andrade. „Als bedrijven naar die dreigingsinformatie handelen, hebben ze als het ware de voordeur goed op slot. Maar als de achterdeur of ramen openstaan, heeft dat geen zin. Bedrijven moeten tot in de bestuurskamer doornemen welke deuren of ramen op slot moeten en ongemakkelijke gesprekken voeren over een kennistekort of verouderde IT. Als een bestuurder nu nog in paniek raakt van het woord ‘malware’, dan heeft zo iemand echt de boot gemist.”