Een digitaal luchtafweergeschut in de Rotterdamse haven

In een tijd waarin steeds meer digitaal gebeurt en waarin alles en iedereen met elkaar verbonden is, is het investeren in cyberveiligheid en digitale weerbaarheid een absolute noodzaak. Tenminste, als we die slimme, veilige haven willen blijven, stelt Evelien Bras, directeur van FERM. “Neem je verantwoordelijkheid. Niet alleen voor jezelf, maar óók voor je omgeving.”

Storage spoofing. CEO-fraude. Phishing. DDoS-aanvallen. Ransomware. Abacadabra voor een leek wellicht, maar het zijn wel degelijk realistische risico’s in onze haven, waar we ons tegen moeten wapenen. “Sorry als het allemaal wat technisch klinkt”, verontschuldigt Evelien Bras zich alvast glimlachend vanachter haar beeld- scherm. “Wij gebruiken onderling best wat jargon. Onder- breek me gerust als iets onduidelijk is.” Nog maar een paar werkdagen te gaan tot haar vakantie naar Jordanië, maar Bras wilde graag een uurtje vrijmaken voor het interview. Het is immers voor de goede zaak. Cyberveiligheid en digitale weerbaarheid zijn twee van de belangrijkste thema’s in de Rotterdamse haven, maar gelijk- tijdig zijn nog lang niet alle bedrijven zich daar bewust van. Bras: “We zijn als land, als Europa, zo afhankelijk van de Rotterdamse haven. En voor de logistieke keten zijn we weer afhankelijk van digitalisering – we kunnen niet meer zonder. Alles en iedereen is in het systeem met elkaar verbonden. Als zo’n systeem kwetsbaar is, kan dat hele dure en zelfs rampzalige gevolgen hebben voor klanten en partners en uiteindelijk de buitenwereld.” Bij cyberveiligheid denk je wellicht eerst aan het tegen- gaan van criminele aanvallen, maar het gaat verder dan dat. Bras: “Het gaat ook over weerbaarheid. Denk aan menselijke fouten die gemaakt worden, stroomuitval… Dat kan gebeuren, maar we moeten voorkomen dat het systeem geheel plat komt te liggen.”

17 december 2020 werd Bras, met een achtergrond in digitalisering en specifiek een oog voor cybersecurity, privacy en compliance, gevraagd om FERM op te zetten. Niet verwonderlijk; eerder was Bras – met een master in IT- al verantwoordelijk voor de oprichting van Cybersecurity Centrum Maakindustrie (CCM). Ze hoefde niet lang na te denken, want die Rotterdamse haven, waar bijna alles wat we dagelijks gebruiken binnenkomt, leek toch wel machtig interessant.

FERM is onderdeel van het Port Cyber Resilience Programma. Doel van het programma is het stimuleren van samenwerking tussen bedrijven in de Rotterdamse haven en het verhogen van het bewustzijn met betrekking tot cyberrisico’s om zo de best digitaal beveiligde haven van de wereld te worden. Aangesloten partners zijn Deltalinqs, Gemeente Rotterdam, Veiligheidsregio Rotterdam-Rijn- mond, politie Rotterdam-Rijnmond, DCMR, het Havenbedrijf en provincie Zuid-Holland.

Wat doen jullie precies?
“We doen veel op verschillende niveaus. We gaan langs bij bedrijven in de haven om hun cyberveiligheid en digitale weerbaarheid te onderzoeken – een zogenaamde nulmeting – en te kijken hoe ze dit kunnen verbeteren. Dat doen we samen met externe partners. We werken ook samen met ethische hackers die voortdurend naar lekken in het systeem zoeken. We houden onze leden op de hoogte van acute dreigingen – onder andere middels vertrouwelijke informatie afkomstig van het Nationaal Cyber Security Centrum – en voorzien hen van informatie over de nodige updates en patches. We hebben daarnaast een blacklist voor storage spoofing (een verzamelterm voor alle vormen van verkoop van niet-bestaande opslagcapaciteiten en voorraden van grond- stoffen en materialen in terminals, red.). En we organiseren regelmatig de Port Cyber Cafés; dan duiken we samen met experts uit het vak dieper in een actueel onderwerp rond cybersecurity in de haven. Daar kan iedereen bij aansluiten.”

‘‘Met elke nieuwe sanctie wordt de vrees voor digitale sabotage vanuit Rusland groter.’’

Jullie hebben op dit moment 35 leden. Met welk verhaal hopen jullie meer bedrijven over de streep te trekken? “Ik noem altijd het voorbeeld van de kaas: bij Albert Heijn waren de kaasschappen lange tijd leeg omdat de kaasleverancier gehackt was. Dat kan in de haven ook gebeuren. Dan verliest een bedrijf niet alleen geld uiteindelijk raakt het ook anderen in de keten. Je digitale systeem moet veilig, maar uiteraard ook flexibel zijn. En niemand kan het meer alleen, we zijn afhankelijk van elkaar. Je moet dus niet alleen voor jezelf je veiligheid op orde hebben, dat doe je ook voor je omgeving. En vice versa. Daarom is dit samenwerkingsverband zo belangrijk.”

Hoe doe je dat? Hou houden we al die systemen veilig?
(Lachend) “Ik heb grote dromen, maar voor we daarop vooruitlopen zeg ik altijd: zorg dat je basis op orde is. Veel inbrekers komen binnen door simpelweg beschikbare e-mailadressen te gebruiken en eenvoudige wachtwoorden uit te proberen. Van de tweehonderd medewerkers gebruikt altijd wel iemand welkom1234, of een ander makkelijk te achterhalen wachtwoord. Train je mensen! Maar zorg ook voor multifactorauthenticatie. En ‘dubbel’ je authentica- tieprocessen om bijvoorbeeld CEO-fraude te voorkomen (een vorm van oplichting waarbij er geprobeerd wordt om mensen geld te laten overmaken naar de bankrekening van de oplichter door zich voor te doen als een CEO of andere hooggeplaatste functie van een bedrijf, red.) Installeer je patches en updates. Segmenteer je netwerk. Controleer je toegang, zorg voor back-ups… Het is eigenlijk zo simpel.”

Maar blijkbaar toch een uitdaging…
“Zeker. Een tijdje terug hadden we een kwetsbaarheid in Apache Log4j – dat is software die veel gebruikt wordt in webapplicaties en allerlei andere systemen. Toen de oplos- sing voorhanden was, bleek dat veel bedrijven die de soft- ware hadden, de update niet eens installeerden. Dat is best frustrerend. Hoe dat komt? Ik denk dat veel mensen denken dat het allemaal wel losloopt. Of een bedrijf gaat ervan uit dat de toeleverancier het wel heeft gedaan en verifieert vervolgens niet meer.”

Toen Poetin Oekraïne binnenviel, was FERM op het nieuws. Helpt Rusland in deze om bewustzijn te creëren?
“De Rotterdamse haven schijnt zelfs genoemd te zijn op Russische televisie – dat is bedreigend. Met elke nieuwe sanctie wordt de vrees voor digitale sabotage groter, die digitale sabotage kan grote gevolgen hebben voor de toe- voer van onze brandstof, voedsel en andere producten. Met DDoS-aanvallen kunnen ze een website onbereikbaar maken door een groot aantal computers opdracht te geven die site te bezoeken. Daarnaast dringen ze binnen in computer- systemen door ze te hacken, om daarna data te wissen. Het heeft zeker geholpen de ogen te openen, maar ik geloof eerlijk gezegd dat we de fase van bewustwording voorbij zijn. We moeten nu gaan dóen. Samen. Ook voor de Russische dreiging geldt: zorg dat de basis op orde is. En misschien is er dan nog meer nodig, maar met die basis ben je al een eind.”

In dat interview noemde jij de digitale versie van een luchtafweergeschut.
“Precies, dat hebben we nodig. Een permanente monitor die digitale informatiestromen naar en in het havengebied veilig houdt. Maar dat lukt alleen als álle bedrijven in de Rotterdamse haven zich daarvoor inzetten. Als een hacker eenmaal bij een bedrijf in het systeem zit, is het al een stuk eenvoudiger om bij een klant of partner binnen te komen. We moeten allemaal onze verantwoordelijkheid nemen.”

‘‘Ik denk dat veel mensen denken dat het allemaal wel losloopt.’’

Op naar de honderd leden, kortom.
“Honderdvijftig, voor het eind van het jaar. Dat is mijn missie. Ik wil overal in gesprek. Als ik eenmaal aan tafel zit of bedrijven horen via via wat we doen, lukt het vaak wel mensen te overtuigen. Het werk van FERM beschouw ik als een marathon, eentje van een lange adem. We zijn op weg naar dat luchtafweergeschut en dat kost tijd. Maar de weg naar de honderdvijftig leden wordt een sprint. En die moeten we gaan halen.”