Dat meldt het Deense bureau Improsec, dat een cyberveiligheidsanalyse heeft uitgevoerd bij veertien van de twintig grootste mondiale containerrederijen. Daaruit bleek dat een op de drie rederijen nog steeds wachtwoorden van minder dan acht letters gebruikt. Bij een van hen was het zelfs voldoende om alleen de letter ‘x’ in te typen om het e-mailprogramma te openen.

Man-in-the-middle-aanval

Het bedrijf voerde de analyse al twee keer eerder uit, in 2014 en 2017. Sindsdien blijkt de situatie wel iets verbeterd, maar niet veel. Zes jaar geleden gebruikte de helft wachtwoorden die moeilijk te achterhalen zijn, nu is dat twee derde.

Een kwart van de onderzochte bedrijven gebruikt nog http voor hun klantgerichte webtools in plaats van het veiligere https. Improsec: ‘https is nu juist een van de elementen die gebruikt worden om man-in-the-middle-aanvallen (waarbij een hacker probeert om tussen de communicatie van twee partijen te komen – red.) te verhinderen. Dit type aanval wordt ook in de maritieme sector gebruikt.’

Verder blijkt slechts de helft van de bedrijven het verificatieprotocol Dmarc te gebruiken voor de beveiliging van hun e-mails. Het doel van Dmarc is het herkennen van een aanvaller die zich voordoet als een legitieme afzender van het bedrijf zelf. Volgens Improsec was het verificatieprotocol bij slechts twee van de veertien bedrijf effectief genoeg ingericht om dit soort berichten te kunnen herkennen en blokkeren.

Analyse

Het Deense bedrijf tekent aan dat de analyse niet per se bewijst dat de digitale beveiliging van containerlijnen onder de maat is. ‘Maar het is wel een indicator voor potentiële aanvallers, dat dit een branche is waar cyberveiligheid zwak kan zijn. Want wanneer zulke basiselementen niet op orde lijken te zijn, is de kans groter dat de belangrijkere back-end verdediging ook niet op orde is. Dat kan potentiële aanvallers op het idee brengen dat deze sector de moeite waard is om de pijlen op te richten, aangezien de kans op succes behoorlijk lijkt te zijn’, zegt veiligheidsadviseur Claus Vesthammer van Improsec.

De analyse van het IT-bedrijf is niet gebaseerd op een vragenlijst, en ook niet op een overeenkomst om de IT-systemen van de containerlijnen onder druk te testen door ze te hacken. Het Deense bedrijf heeft slechts eenvoudige, naar buiten gerichte handels- en klantsystemen onderzocht en verder het beleid van de bedrijven op het gebied van wachtwoorden en cyberveiligheid tegen het licht gehouden. Improsec maakt de namen van de onderzochte bedrijven niet bekend en zegt ook niet op basis van welke criteria de betreffende veertien rederijen zijn geselecteerd.

Ruïneren

Van de grote containerlijnen was CMA CGM de laatste die slachtoffer werd van een cyberaanval. De Franse containerlijn werd op 28 september getroffen door een aanval met malware, schadelijke software die niet alleen bedoeld kan zijn om gevoelige informatie te stelen, maar ook om IT-systemen compleet te ruïneren. Dat laatste overkwam de Maersk-groep twee jaar geleden met de beruchte NotPetya-aanval. Die leidde tot een schadepost van honderden miljoenen. Volgens de VS was de aanval op touw gezet door de Russische militaire inlichtingendienst GROe. Justitie in de VS heeft zes officieren in staat van beschuldiging gesteld; het zestal staat nu op een opsporingslijst.

Zo’n vaart liep het bij de Franse containerrederij niet, maar de sites van CMA CGM en een aantal dochters lagen wel dagenlang plat en de groep sloot alle externe toegang tot zijn netwerk af in een poging verdere verspreiding van de malware te voorkomen. Het kostte de groep twee weken om weer volledig online te komen.

CMA CGM heeft niets gezegd over de omvang van de schade of de identiteit van de hackers, maar screenshots tonen schermen met een boodschap van een zich Ragnar Locker noemende groep die losgeld eist in ruil voor een speciale beveiligingssleutel. Of de rederij iets heeft betaald, is evenmin duidelijk.

Vorige maand werd ook de International Maritime Organization (IMO), dat zelf regelmatig aanbevelingen doet om de digitale veiligheid te verbeteren, door een cyberaanval getroffen. De openbare website imo.org ging offline en alle belangrijke systemen moesten worden uitgeschakeld. De IMO zegt te werken aan verbetering van zijn beveiligingssystemen om nieuwe aanvallen te voorkomen. Ook in dit geval is niet bekend gemaakt uit welke hoek de aanval kwam.