Het was even schrikken tijdens de laatste editie van de Singapore Maritime Technology Conference. Itai Sela was het podium opgeklommen en wond er in zijn daaropvolgende lezing geen doekjes om. De topman van het Israëlische beveiligingsbedrijf Naval Dome stelde vast dat cybercriminelen serieus de scheepvaart onder vuur nemen.

‘Door het infecteren van computers van maritieme organisaties die in direct contact staan met schepen, kunnen criminelen het scheepvaartverkeer in het honderd laten lopen en schepen zelfs als wapen inzetten om in havens chaos en destructie aan te richten.’ Sela voegde eraan toe dat de scheepvaart het overgrote deel van de brandstoffen, grondstoffen en goederen vervoert waarop de wereldeconomie draait. Om met precieze cijfers te spreken: 90% van de wereldhandel vindt plaats via vervoer over zee. Daarvoor zijn zo’n vijftigduizend zeeschepen actief, geregistreerd in meer dan 150 landen en bemand door meer dan een miljoen zeevarenden van vele nationaliteiten.

Zich bewust van de ernst van de situatie is ook de International Maritime Organization (IMO). Vanuit haar verantwoordelijkheid voor internationale regels voor de scheepvaart op zee, raadt de IMO de lidstaten (waaronder Nederland) sinds kort ten sterkste aan cyberrisico’s te adresseren in het Safety Management System (SMS) van een schip. Deze dienen dan door de vlaggenstaat meegenomen te worden in de eerste jaarlijkse controle na 1 januari 2021 van het Document of Compliance (DOC) van de rederij.

Mankracht

Cathelijne Bouwkamp, woordvoerder van belangenbehartiger Koninklijke Vereniging van Nederlandse Reders (KVNR), licht toe dat met dit advies de bal richting de overheid rolt. ‘Wij praten met de overheid over onze standpunten en laten haar weten hoe onze sector werkt. Zo werken we ook aan cybersecurity, want de overheid moet invulling geven aan de adviezen van de IMO. Door de overheid inzicht te geven in onze werkwijze en aan te geven wat op welke termijn haalbaar is voor onze leden, proberen we dit zo praktisch mogelijk in te vullen.’

Gevraagd naar hoe het bij de leden staat met de cyber awareness (het inzicht in potentiële cyberdreigingen en hoe deze te vermijden), antwoordt Bouwkamp dat die er zeker is, maar dat veel leden niet goed weten wat nu de beste manier is om cybersecurity op hun schepen aan te pakken. ‘Sommige reders zijn al wél heel ver in dit proces. Die hebben vol ingezet op cyberveiligheid, mankracht vrijgemaakt, bedrijfsbrede veranderingen doorgevoerd en systemen aangepast’, stelt ze gerust. Doorvragen leert dat het hier hoofdzakelijk gaat om de grotere reders. ‘Aangewezen personen die alleen maar werken aan dit onderwerp, hebben veel meer kennis en overzicht dan iemand die dit naast zijn dagelijkse bezigheden moet doen die niet IT-gerelateerd zijn.’

Een van die ‘grotere reders’, en lid van de KVNR, is de Spliethoff Group. Dat bedrijf laat bij monde van Hansje Dahmen-Verkade weten dat cybersecurity ‘hoog op de agenda staat’ en dat er ‘op dit gebied diverse trajecten lopen’. Maar omdat ‘het Spliethoffs taak is goederen over zee te vervoeren en niet om media een beetje te helpen aan artikelen’, wenst de communicatiespecialist verder geen uitspraken te doen over de inhoud hiervan. Ook een ander lid van de KVNR wil na een aanvankelijke toezegging niets zeggen ‘uit angst voor represailles uit de hoek van cybercriminelen na publicatie’. Het valt te hopen dat de sector zijn schroom om cybersecurity te bespreken, enigszins overwint. Het is een te urgent thema om in de schaduw te houden.

Robert Tom is werkzaam als systems engineer bij Fortinet, een functie die hem regelmatig over de vloer bij maritieme partijen brengt. Zijn ervaring leert hem dat de awareness bij maritieme organisaties onderling enorm verschilt. ‘Sommige maritieme organisaties mogen dan volwassener in security zijn dan anderen, wel moet de héle maritieme wereld de grote slag nog maken’, vat hij samen. Niet dat hij daarover verbaasd is. ‘Schepen zijn continu in beweging. Het is logistiek nogal een uitdaging om een infrastructuur bij te houden als je er niet fysiek bij kan. Denk alleen al aan simpele operaties als het plaatsen van een firewall of een server. Daarbovenop: wanneer een schip gebouwd wordt, dient de daarop aanwezige apparatuur voor soms wel enkele decennia te blijven werken. Deze schepen bevatten meer en meer IT-componenten. Vergelijk dit met hedendaagse IT-apparatuur, dat na een paar jaar echt het museum in kan.’

Dat klinkt als een technisch excuus. Wat dan schrijnt, is dat zich volgens Tom ook in de maritieme sector een digitale transformatie voltrekt. Tom licht toe: ‘Schepen dienen altijd online te zijn, kritieke systemen aan boord van schepen zijn nu onderdeel van een IT-netwerk en bedrijfsprocessen worden zo veel mogelijk geautomatiseerd dankzij de IT-systemen.’ Toms punt is dat je daarmee een afhankelijkheid creëert en dus gelijk meer druk legt op de beschikbaarheid en betrouwbaarheid van de IT-systemen. ‘En daarmee beland je al gauw in een security-discussie.’

NotPetya

Wat het ‘technisch excuus’ sterker maakt, zo vult security-architect bij maritiem beveiligingsbedrijf RH Marine Ramon Mastenbroek aan, is dat gangbare cybersecurityproducten moeilijk om kunnen gaan met de beperkte bandbreedte aan boord van schepen.

‘Voor een optimale werking vereisen veel cybersecuritysystemen meer dan voldoende bandbreedte voor rapportages, maar ook updates die vaak vanaf de wal worden uitgevoerd. De kunst is de juiste balans te vinden tussen maatregelen aan boord en aan wal. Te veel maatregelen aan boord en de bemanning wordt overspoeld met informatie. Te veel maatregelen aan de wal en je roept een eigen ddos-aanval af over je netwerk.’ Dat brengt hem op NotPetya, de wereldwijde cyberaanval op 27 juni 2017 die volgens hem geldt als de 9/11 van de maritieme industrie, ook al hield de attaque vooral huis in de kantoorautomatisering.

‘Nog te vaak heerst de misvatting dat een schip veilig is vanwege de air gap, of beter sea gap, een soort veilige ruimte waar aanvallers niet kunnen komen. Intrinsiek ontbreekt de motivatie. De wil om cyberbeveiliging toe te passen, komt niet vanuit de klant zelf. Met als resultaat dat de cyberweerbaarheid op zee nog lang niet zo groot is als aan land.’

Beide heren, Tom en Mastenbroek, willen niet te pessimistisch klinken. Zo stelt Mastenbroek vast dat de maritieme industrie cybersecurity langzaamaan begint te zien als een onderwerp dat aandacht verdient. ‘De maritieme industrie bevindt zich nog in de fase tussen bewust onbekwaam en onbewust bekwaam. Maar zolang er buiten de maritieme industrie ‘nog voldoende te halen valt’, is er nog tijd om de achterstand goed te maken.’ Wat aan de inhaalrace volgens hem bijdraagt zijn de adviezen van IMO en van het classificatiebureau DNV-GL (zie ook kader BIMCO). ‘Nu deze partijen richtlijnen opstellen rondom cybersecurity, verwachten we dat het belang aan commerciële zijde ook zal toenemen.’

Tom op zijn beurt verwacht dat security, en eigenlijk IT in z’n algemeenheid, in de scheepvaart alleen maar hoger op de agenda komt te staan. Hij stipt daarbij een interessant aspect aan door op te merken dat scheepvaart wat hem betreft onderdeel is van de kritieke infrastructuur. ‘Denk aan de in- en uitvoer van belangrijke producten. Hiermee is het een potentieel doelwit voor staten. Gezien de toenemende geopolitieke spanningen zou het mij niks verbazen dat een geschil uitgevochten wordt in dit domein.’

Kijkt Tom nog iets verder, dan ziet hij het in het licht van digitale transformatie gebeuren dat schepen uiteindelijk autonoom gaan varen. ‘Ik zie schepen die veelal met robots gaan werken om daarmee aan boord fysieke processen te stroomlijnen. Dat betekent dat er remote monitoring moet plaatsvinden en dat legt weer een verdere druk op de betrouwbaarheid en veiligheid van de infrastructuur aan boord.’

BIMCO

Het Baltic and International Maritime Council (BIMCO, opgericht in 1905) vertegenwoordigt ongeveer 65 procent van de wereldwijde tonnenmaat en is daarmee de grootste internationale redersvereniging ter wereld. Omdat ook zij constateert dat schepen en scheepvaart kwetsbaar zijn voor cyberaanvallen, heeft zij in samenwerking met de industrie richtlijnen voor cyberveiligheid aan boord van schepen ontwikkeld.

Cybersecurity-consortium

Een consortium onder leiding van Capgemini Invent gaat vitale sectoren in de Europese Unie ondersteunen bij overleg en kennisdeling over cybersecurity. In zogeheten Information Sharing and Analysis Centers (Isac’s) wisselen organisaties gevoelige informatie uit over incidenten, dreigingen, kwetsbaarheden en maatregelen. De Europese Commissie treedt daarbij op als opdrachtgever. Een dergelijk overlegorgaan ter versterking van de cybersecurity bestaat in diverse Europese sectoren al – zoals de FI-Isac van de financiële dienstverleners en de EE-Isac van de energiebedrijven. Sectoren die een overlegplatform overwegen, zoals de scheepvaart, maar ook de zorg, kunnen een beroep doen op het consortium. Vanuit de Europese Commissie begeleidt Enisa de sectorale overlegorganen en het consortium. Enisa is het Europese Agentschap voor Cybersecurity.