Heb je een goed beeld hoe afhankelijk jouw organisatie is van IT-oplossingen in onze sterk gedigitaliseerde samenleving? En hoe relevant de aandacht voor informatieveiligheid en cyberweerbaarheid? In deze showcase geeft Rob Nijman van FERM inzicht in de noodzaak van cyberweerbaarheid in de Rotterdamse Haven.

Ideecafe - Digitalisering Maritieme Industrie - Rotterdam Maritime Capital of Europe
Lees meer over digitalisering in de Rotterdamse regio.

In Rotterdam staat het nog altijd op het netvlies van de haven, de grote cyberaanval in 2017 met als één van de grootste slachtoffers een dochter van logistiekbedrijf Maersk. Een totale schadepost van 300 miljoen euro onderstreepte de afhankelijkheid van IT en de noodzaak om iets te doen aan veiligheid. Toen.

Vandaag de dag is het noodzakelijk om dóór te blijven ontwikkelen en in de snelheid van de ontwikkelingen van incidenten altijd een stap voor te blijven. Anno 2022 zijn cyberaanvallen een risico voor de nationale veiligheid van Nederland, zoals onze partner NCSC optekende in het laatste Cybersecuritybeeld Nederland. Een bruggetje slaand naar nieuwe dreigingen als gevolg van de geopolitieke ontwikkelingen vinden we de voornaamste kwetsbaarheid momenteel in de verstoring van logistieke processen. Kijk maar hoe disruptief het voor de wereldeconomie was dat één schip het Suezkanaal blokkeerde, dan kun je je voorstellen welk effect het heeft als een deel van de haven ontregeld raakt.

Cyberveiligheid in de keten

De digitale revolutie heeft onze manier van werken veranderd. Het heeft onze wereld groter gemaakt, maar ook kleiner. Met alle kansen van dien, maar ook met nieuwe risico's. Risico’s die ons geld kunnen kosten. De Rotterdamse haven is enorm – zowel fysiek als in termen van bruto binnenlands product, met zijn 6,2 procent aandeel in de Nederlandse economie. Het havengebied is een sterk verbonden infrastructuur en daarmee kwetsbaar, van maritiem en logistiek tot energie en chemie. De impact is vaak groot – kijk maar naar APM in 2017, maar ook de recente voorbeelden bij de ‘buren’ in Antwerpen, Gent, Terneuzen en Duitsland in februari en maart, en de gevolgen voor Colonial Pipeline in de VS in 2021.

Cybersecurity is in algemene zin een heel complex speelveld dat bestaat uit actoren, dreigingen, kwetsbaarheden, belangen, implicaties, de gevolgen over verschillende assen, systeemprocessen – en natuurlijk de mensen die uiteindelijk dagelijks met hun werk bezig zijn. Wat de haven bijzonder maakt, is allereerst de impact in de logistieke ketens. Dat maakt ook dat de statelijke dreiging als gevolg van de oorlog in Oekraïne meer voelbaar dan elders. Binnen het Haven Industrieel Complex (HIC) zijn bedrijven sterk afhankelijk van elkaar, en onze processen zijn met elkaar verbonden. We zijn bovendien vrijwel allemaal afhankelijk van informatietechnologie (IT) en operationele technologie (OT).

Realistische dreigingen

Criminele organisaties worden steeds actiever. Het gemiddelde losgeldbedrag na een aanval met ransomware is gestegen naar 150.000 euro, terwijl herstelkosten in een jaar tijd meer dan verdubbelde: van 631.000 naar 1.5 miljoen euro. Vanwege de pandemie, de opkomst van de cloud en de acceleratie van de digitale transformatie maken zowel software (Saas) en producten (PaaS) een enorme groei door. Dat stelt gebruikers in staat om ‘kant-en-klare’ oplossingen aan te schaffen die van begin tot eind door leveranciers worden ontwikkeld of zelfs beheerd. Volgens hetzelfde model stellen groepen cybercriminelen hun tools en technieken beschikbaar aan hen die niet over de middelen of voldoende technische kennis beschikken. Middelen om systemen te penetreren via spam-e-mails worden soms geleverd met een toolkit, een gedetailleerde gebruikershandleiding (hetzij in schrift, hetzij op video). Een gemakkelijkere manier om je eerste stappen te zetten binnen de lucratieve wereld van cybercrime is bijna niet voor te stellen, wat cyberaanvallen enorm laagdrempelig maakt.

Die relatief laagdrempelige beschikbaarheid van ransomware via een RaaS-model gaat hand in hand met de verontrustende opkomst van georganiseerde bendes, die net als in de 'klassieke' onderwereld verregaande samenwerkingen aangaan om cybercrime als een serieuze onderneming uit te rollen. In de voorbije jaren zijn er deels vanwege die ontwikkeling zoveel nieuwe vormen van malware en ransomware bijgekomen, waaronder dus ook het concept 'ransomware-as-a-service', waarbij er aanwijzingen zijn dat de malware werd verspreid via online verkoop van partnerprogramma’s.

In algemene zin blijven cybercriminelen het digitale aanvalsoppervlak afspeuren naar nieuwe aanvals-mogelijkheden, zoals internetinfrastructuren en protocollen voor netwerkcommunicatie. Een aanval met ransomware is doorgaans geen ramkraak, maar een nauwgezet proces waarin de daders diverse stappen zetten om aan jouw data hun geld te verdienen. Ze weten (1) toegang te verkrijgen, bijvoorbeeld via phishing (een medewerker klinkt op een ongelukkig linkje), waarna ze zich (2) ongezien door het netwerk bewegen om rustig te bekijken wat er te behalen is, of dan pas (3) over te gaan tot het stelen, gijzelen of onbruikbaar maken van bedrijfskritische data.

Storage spoofing

Een ontwikkeling die heel specifiek is voor de haven van Rotterdam is storage spoofing, een verzamelterm die bij FERM wordt gehanteerd voor alle vormen van verkoop van niet-bestaande opslagcapaciteiten en voorraden van brandstoffen in terminals in het havengebied. De doelgroep van deze fraude zijn de (inter)nationale bedrijven die er opslag hebben óf zoeken en alle potentiële kopers van de handel die onder valse voorwendselen aangeboden wordt, maar in de praktijk niet blijkt te bestaan. Het virtuele aanbod is naar schatting een viervoud van de daadwerkelijke opslagcapaciteit in de haven.

Bewijs zoals websites, facturen en allerlei andere valse papieren worden overlegd. Dan de factuur, die natuurlijk per direct overgemaakt moet worden. Bedragen van 100.000 tot 450.000 dollar worden er voor dit soort opslagfacilitering gevraagd. De gebruikte banken zijn obscure banken in vreemde landen. En hiermee is de spoof geboren: De kopers denken een superdeal te hebben gemaakt. Met een geringe investering hebben ze een vracht om op de markt aan te bieden. Maar het fysieke product is nergens te bekennen.

Een projectteam binnen FERM houdt zich bezig met deze hardnekkige variant van fraude. Een blacklist met foute websites bevat inmiddels meer dan 650 domeinnamen. Er worden bijna dagelijks verdachte sites aan deze zwarte lijst toegevoegd, terwijl de whitelist met legitieme organisaties de potentiële klant naar de juiste partijen moet leiden. Daarnaast zijn er inspanningen vanuit FERM en haar partners binnen het netwerk om voortdurend nieuwe strategieën aan het licht brengen die worden gebruikt om bedrijven (door hun websites te spoofen) en ondernemers (door valse deals aan te bieden) tot doelwit te maken.

Awareness als sleutel in de aanpak

Zoals we vaker zien – en vanuit FERM ook verkondigen – is awareness een sleutel voor het vergroten van de digitale weerbaarheid. Feit blijft dat deze bedragen aanzienlijk zijn voor kleine bedrijven. Het verlies van door diefstal verkregen data kan voor MKB’ers veel ernstigere gevolgen hebben dan voor een grote multinational die over voldoende middelen beschikt om een ​​veilige back-up van zijn gegevens te maken, een geavanceerde architectuur heeft opgebouwd of specialisten inschakelt in de strijd tegen bedreigingen. Geconfronteerd met de proliferatie van bedreigingen en potentiële aanvallers is het essentieel dat zowel het MKB als kleinere bedrijven beseffen dat ook zij het doelwit kunnen zijn van ransomware. En is er een plan B voor als het onvermijdelijk een keer misgaat?

FERM werd onlangs uitgenodigd door werkgeversorganisatie VNO-NCW voor een programma over samenwerking in de keten. Een van de opvallende onderdelen – want er zijn ook goede voorbeelden! – was de presentatie van Nederlands Loodswezen over ‘Plan B’. Erg actueel, de dag nadat NS de dienstverlening stop moest zetten als gevolg van een storing. ‘Heb jij er al eens over nagedacht? Wat is jullie plan B? Als controle-systemen wegvallen? Als je internet wegvalt? En is plan B bekend van werkvloer tot directietafel?’

In de zaal werd de link gelegd naar een persoonlijk plan B. Flesjes water in huis voor als de watervoorziening wegvalt. Contant geld. Potten groenten. Je wil niet té afhankelijk zijn van externe factoren. Risico is kans maal gevolg. Eén op de vijf bedrijven wordt jaarlijks door een ransomware-aanval geraakt. Die kans is dus twintig procent, maar het gevolg beperkt zich vaak tot één bedrijf, hoewel dat voor het bedrijf zelf natuurlijk vreselijk is. Het maakt ook duidelijk dat je jezelf moet weren. Je staat fermer met een plan B.

Voor individuele bedrijven zijn de grootste dreigingen vormen van cybercrime zoals phishing en ransomware, maar voor het hele havengebied is dat misschien wel een aanval vanuit Rusland. Deze bedreigingen verdienen onze aandacht en vragen om lef en weerbaarheid. Ook al ben je geen direct doelwit, je kunt gemakkelijk ‘collateral damage’ zijn. Sterker nog, Maersk wordt met de schadepost van 300 miljoen euro bij de cyberaanval in 2017 vaak als voornaamste slachtoffer genoemd, maar was geen rechtstreeks doelwit. Dat onderschrijft de noodzaak voor cyberweerbaarheid in de keten.

Lees meer over FERM