Als CFO van het Havenbedrijf Rotterdam en ook verantwoordelijk voor de informatievoorziening in de haven hoef je oud-KPN-topman Paul Smits niet te vertellen hoe belangrijk cyber security is. “Eigenlijk is het een wonder dat er nog niets uitzonderlijks is gebeurd,” aldus Smits op de in juni dit jaar gehouden Port Cyber Top. “De toekomst van de Rotterdamse haven is digitaal”, wat volgens Smits niet kan zonder dat je cyber security zeer serieus neemt.
Want de afgelopen jaren hebben cybercriminelen wel degelijk geprobeerd om in te breken in de computersystemen van bedrijven in de haven. Op de door Management Producties georganiseerde topontmoeting voor CEO’s en CIO’s over een digitaal veilige en weerbare haven vertelde Smits dat er inmiddels diverse gerichte cyberaanvallen zijn gepleegd op bedrijven in de Rotterdamse haven. En ook zijn er valse phishing mails namens het Havenbedrijf rondgestuurd. Cybersecurity is nu een vast onderdeel in alles wat het Havenbedrijf doet. Bij elk systeem wat nieuw wordt aangeschaft wordt gekeken hoe veilig het is tegen misbruik door cybercriminelen. Rijkshavenmeester René de Vries is door het Havenbedrijf Rotterdam aangesteld als Port Cyber Resilience Officer, een functie waarin hij moet waken voor de weerbaarheid van de haven tegen cybercriminaliteit. Tegelijkertijd biedt cybersecurity volgens Smits ook een kans want door in eigen huis de zaak goed op orde te hebben, kan dat ook een concurrentievoordeel ten opzichte van andere havens opleveren.
Toegangscontrole op orde
Wat de Rotterdamse haven in ieder geval nu al beter op orde heeft is de toegangscontrole. Want door de toepassing van biometrie in de vorm van het maken van een scan van de hand en een vingerkootje is het een stuk moeilijker om binnen te komen bij bedrijven in de Rotterdamse haven. Moeilijker dus dan op de containerterminals in de haven van Antwerpen waar nog steeds wordt gewerkt met toegangscontrole door middel van een vingerafdruk. Wie geregeld naar CSI New York kijkt weet dat het niet zo moeilijk is om te frauderen met een vingerafdruk. Cybersecurity in havens is een hot item sinds drie jaar geleden bleek hoe diep criminelen waren geïnfiltreerd in de systemen van twee grote containerterminals in de haven van Antwerpen. Zo diep dat ze containers precies konden volgen en onderscheppen om de aanwezige waardevolle drugslading er uit te halen. Terminalmedewerkers verbaasden zich er over dat steeds vaker containers van de terminals verdwenen die ogenschijnlijk onschuldige lading als bananen en hout bevatten. Containers die vervolgens wel op de eindbestemming werden afgeleverd. Die containers bleken dus gewoon met de juiste codes van de terminal te zijn afgehaald voordat de daadwerkelijke ladingeigenaar dat had kunnen doen. Totdat een bonafide chauffeur wel als eerste de container op zijn truck laadde. Toen grepen de criminelen in en overvielen mannen met machinegeweren in januari van 2013 in Belgisch Limburg een nietsvermoedende chauffeur die onderweg was met een container met artisjokken uit Peru. Want in die container zat dus ook nog een fikse lading cocaïne en de overvallers dachten dat de chauffeur tot een rivaliserende drugsbende behoorde. De trucker kwam er gelukkig zonder kleerscheuren vanaf.
Illegale software
Uit onderzoek bleek toen dat er al geruime tijd daarvoor op de terminals was ingebroken. Daarbij bleken op de computers van de containerterminals speciaal gefabriceerde apparaatjes met illegale software te zijn geplaatst. Daarmee konden de criminelen in de bedrijfsprocessen van de terminals meekijken en de codes achterhalen die nodig zijn om de containers ogenschijnlijk legaal vanaf de terminal mee te krijgen. Dat is misschien iets wat criminelen kunnen bedenken maar wat de meesten niet kunnen maken. Daarvoor kregen de criminelen hulp van twee tot dan toe hele nette Belgische whizzkids die alle apparatuur en programmaatjes voor ze in elkaar sleutelden, ongetwijfeld tegen grof geld. Zonder deze hulp was deze vorm van computercriminaliteit niet mogelijk geweest, stellen opsporingsambtenaren vast. Uiteindelijk deden de Belgische en Nederlandse politie in juni 2013 in een gecoördineerde operatie invallen in meer dan twintig woningen en kantoren. Er zijn vijftien personen gearresteerd waaronder de twee hackers die de criminelen behulpzaam waren. Sindsdien weet de haven- en scheepvaartwereld dus dat cybercrime ook in hun business geen fictie meer is maar een keiharde werkelijkheid. Inmiddels heeft ook in de Rotterdamse haven een overslagbedrijf aangifte gedaan van een aanval van een hacker. Een aanvaller die vervolgens ook schijnt te zijn opgespoord.
Internet of things
Hackers zijn gevaarlijk maar ze kunnen ook bijzonder handig zijn om cyber criminaliteit te bestrijden. Een van de bekendste is ongetwijfeld Ronald Prins, die ooit als hacker begon maar tegenwoordig topman is van Fox-IT, het cyber security bedrijf dat tal van grote bedrijven en de overheid adviseert over de beveiliging van hun IT-systemen. Hij stelt vast dat met een voortschrijdende digitalisering en het aan elkaar knopen van allerlei bedrijfsprocessen, het Internet of Things, dit internet een heel andere rol en ander karakter krijgt. Willen wij verder digitaliseren dan trekken we ook heel veel shit aan,” aldus Prins. En we staan volgens hem dus nog maar aan het begint van het Internet of Things. Haven- en scheepvaartbedrijven zullen het voorbeeld moeten volgen van banken. Die hadden in de jaren 2011/’12 heel veel last van fraude met internetbankieren totdat ze half 2012 massaal detectiesystemen invoerden om de fraude te stoppen. Die fraude is in de jaren 2013/’14 en stuk teruggelopen. Nul zal de fraude nooit worden, voorspelt Prins maar er is dus wel iets aan te doen. Detectiesystemen moeten volgens Fox echter voortdurend worden uitgedaagd om te ontdekken hoe steeds weer nieuwe vormen van fraude werken om er voor te zorgen dat ze tijdig kunnen worden herkend. Maar er is volgens Prins ook een rol weggelegd voor de overheid. Politie moet de pakkans verhogen want nu nog worden cybercriminelen slechts zelden gepakt. En wij moeten ons met ons allen beseffen dat oorlog niet alleen maar een fysiek iets is maar dat vijandige staten als Iran en Noord-Korea cybercommando’s trainen om industriële spionage te plegen en ook onderzoeken hoe ze vitale infrastructurele en economische systemen kunnen platleggen.
Engelse aanpak
De Engelse overheid is zich volgens Prins veel beter bewust van alle gevaren van cybercriminaliteit en cyber oorlogsvoering dan de Nederlandse. Die Engelse overheid publiceerde op 28 juni bijvoorbeeld een door het Institution of Engineering and Technology (IET) opgestelde Code of Practice voor Cyber Security for Ports and Port Systems. Eigenaren van havens en gebruikers van havenfaciliteiten moeten cyber security begrijpen en het belang hiervan promoten bij alle belanghebbenden. Dat geld ook voor ontwerpers, bouwers, operations teams en de ondersteunende supply chains, zegt de IET. Het is de bedoeling dat de in deze Code of Practice vervatte adviezen en bepalingen in de nabije toekomst zelfs kracht van wet kracht krijgen en bovenop de bepalingen komen van de in 2002 door de IMO ingevoerde ISPS-code, de International Ship and Port Facility Security-code. De Engelsen laten er wat dat betreft geen gras over groeien. Nederland heeft sinds 2011 een Nationale Cyber Security Strategie. Daarin is onder meer afgesproken dat het NCTV (Nationaal Coördinator Terrorismebestrijding en Veiligheid) een Nationaal Cyber Security Centrum opzet dat onder meer als expertisecentrum fungeert en vragen vanuit de private sector ondersteunt. Uitgangspunt hierbij is publiek-private samenwerking. Zo zijn er een veertiental ISAC’s gevormd, wat staat voor Information Sharing and Analysis Center voor cruciale sectoren als luchthavens, drinkwater, energievoorziening, financiële instellingen, keren en beheren, verzekeringswezen, multinationals, nucleaire sector, retail, rijksoverheid, telecommunicatie, transport, zorg en dus ook de havens. Voorzitter van de Haven-ISAC is Jaap Halfweeg, de Global Information Security Officer (CIO) van APM Terminals. “Ten opzichte van brandpreventie staat cyberpreventie nog in de kinderschoenen…Een brandweer is er niet en detectie is er ook niet,” aldus Halfweeg in zijn presentatie tijdens de Port Cyber Top. Bedrijven in de haven moeten volgens Halfweeg hun netwerken beter monitoren en hun IT-systemen periodiek scannen op kwetsbaarheden. In het Haven-ISAC nemen overheden en belangrijke havenbedrijven deel om hun kennis te delen en ervaringen uit te wisselen waar ook andere bedrijven weer hun voordeel mee kunnen doen.