Cyber Security: geen panklaar recept

Gastheer van de themamiddag was het Havenbedrijf. Ronald Paul, COO bij het Havenbedrijf en bestuursvoorzitter van NGinfra, noemde in zijn welkomstwoord “data onze vijfde modaliteit. Zonder datamanagement geen logistiek”, stelde hij. "Betrouwbare data zorgen ervoor dat je efficiënt kunt werken. Het gaat er niet om dat je data hebt, het gaat erom dat je ze gebruikt: datamanagement. Door data te delen en door samenwerking kun je van 1+1 3 maken. Dataveiligheid is daarbij essentieel”, aldus Ronald.

Plan-do-check-act ook tegen cyberdreiging
Tom Rijgersberg, senior manager Cybersecurity bij Deloitte, lichtte negen “ingrediënten” toe die tezamen een recept vormen tegen cyberdreiging. “Voor ieder is het recept anders”, hield hij de deelnemers voor. “Elk van de negen ingrediënten weeg je af, zodat je voor jouw organisatie de ingrediënten in de juiste balans kunt toepassen. Denk niet dat je dan klaar bent. Cyberdreigingen veranderen; er komen steeds nieuwe bij. Dat betekent dat je via de bekende ‘plan-do-check-act’ cyclus moet blijven afwegen of jouw recept voor cybersecurity nog het juiste is.”

Negen ingrediënten tegen cyberdreiging

  1. Bepaal welke dreiging er is: wie zou jouw organisatie willen bedreigen, wat willen ze van jouw organisatie en waarom en hoe kunnen ze er aan komen?
  2. Wat zijn de kroonjuwelen van jouw organisatie: wat mag er echt niet mis gaan? Waarover wil je niet worden wakker gebeld midden in de nacht? Kies een top 3 of 5 van kroonjuwelen; maak geen eindeloze lijst.
  3. Bepaal de kwetsbaarheden. Ga je technische systemen na. Maar dat niet alleen. Houd goed voor ogen dat de mens vaak het zwakke punt is. Hackers hebben hele slimme trucs om mensen te benaderen en komen op die manier binnen in jouw systemen. Tijdens de bijeenkomst werd dit geïllustreerd door een live demo van een hacker-aanval.  
  4. Valorisatie: waardeer de bevindingen van stap 1, 2 en 3. Als je een dreiging hebt geïdentificeerd, maar het betreft geen kroonjuweel, dan hoef je niet zo heel veel te doen. Omgekeerd geldt hetzelfde: een kroonjuweel met kwetsbaarheden, maar waarvoor de buitenwereld totaal geen belangstelling heeft, hoef je niet optimaal tegen dreiging van buitenaf te beschermen.
  5. Prioritering: via stap 4 heb je urgenties bepaald. Voor prioritering in aanpak kun je bovendien kosteneffectiviteit meenemen (waarbij het natuurlijk reuze handig is als je aansluit bij lopende acties).
  6. Mitigatie: aan de slag…of niet… Kies of je risico’s accepteert, of je ze elimineert of dat je het risico overhevelt. Een voorbeeld: je kunt je huis op en top beveiligen en in ieder venster onbreekbaar glas plaatsen (= elimineren). Je kunt ook accepteren dat een inbreker een ruitje intikt en je inboedel verzekeren tegen diefstal (= accepteren en risico overhevelen).

De zes ingrediënten vormen de hoofdbestanddelen van ieder cybersecurity-recept. Voor extra smaak kun je nog iets verder gaan:

  1. Ga de ketens na die je hebt met leveranciers: wat doen zij om ellende te voorkomen? Maak gezamenlijk een afweging van dreigingen, kroonjuwelen en kwetsbaarheden.
  2. Zelfde stap, maar dan met partners waarmee je samenwerkt.
  3. Zelfde stap, maar dan met de combinatie van leveranciers, partners en jouw organisatie.

Cybersecurity in industriële processen
Dina Hadziomanovic is manager Cyber Risk bij Deloitte met ruime ervaring in systeemveiligheid, met een focus op industriële controlesystemen (ICS). Zij betoogt dat de industriële revolutie sinds de 19e eeuw eigenlijk nooit meer is gestopt. Op dit moment zitten we midden in de digitale revolutie en zijn we op weg naar ‘smart industry’, waar je via het internet de samenstelling van een product ingeeft en de fabriek het product in elkaar zet, zonder dat er nog een mens aan te pas komt.
Dat kan nu al, maar de meeste industrie zit nu in de fase van ‘controller based automation’ (geautomatiseerde processen gecontroleerd door mensen). Geautomatiseerde processen kunnen worden verstoord door inbreuk op programma’s en de angst dat dit gebeurt is niet alleen reëel, maar ook al bewaarheid. “Het goede nieuws is dat je daar iets aan kunt doen. Computers zijn niet alleen steeds beter in staat om hun eigen patronen te herkennen, maar ook om te herkennen als die patronen niet meer kloppen”, aldus Dina.
Binnen het industriële landschap is het bewustzijn van systeemveiligheid nog zeer divers. Er zijn ondernemingen die van mening zijn dat ze geen probleem hebben. Anderen zoeken naar ‘de verantwoordelijke’: ‘ik ben er niet van, dat doet een andere afdeling’. Weer anderen kopen tooltjes om ellende te voorkomen en leggen de fabriek even plat als die geïmplementeerd worden. Anderen gaan een stap verder en monitoren zo ongeveer alles wat er te monitoren valt. Een kleine groep ondernemingen heeft een visie en beleid, maar loopt er tegenaan dat het lastig is om het te verankeren in de organisatie.
Het is ook niet zo eenduidig wat gedaan moet worden aan systeemveiligheid. Systemen van net na de 2e Wereldoorlog zijn eigenlijk behoorlijk betrouwbaar. Ze zijn totaal niet aangesloten op de digitale wereld en dus niet gevoelig voor cyberaanvallen. Technologie van de jaren ’80 blijkt wel bijzonder kwetsbaar. In die tijd werden de eerste schreden gezet op het digitale pad en bestond er geen enkel bewustzijn van welke onveiligheid of kwetsbaarheid dan ook. Sinds het gebruik van internet een vlucht heeft genomen, groeit het besef dat er ook nadelen kleven aan de digitale wereld en worden ondernemingen zich bewuster dat zij maatregelen moeten nemen voor hun eigen veiligheid.

Cyber resilience in de haven
Marijn van Schooten van het Havenbedrijf illustreerde hoe cruciaal dataveiligheid is voor het haven-industrieel complex. In juni 2017 verschenen in de media alarmerende berichten over een ransomware aanval op een grote containerterminal in de Rotterdamse haven (APM). “In de media leek het alsof de hele haven was gehackt. Dat was niet het geval, maar deze aanval had wel flinke impact”, aldus Marijn. “Niet alleen op de terminal zelf, maar voor een hele keten. Zo had het bijvoorbeeld tot gevolg dat containers niet op tijd werden uitgeladen, waardoor ontvangers hun goederen te laat kregen, met waardevermindering tot gevolg.”
Marijn noemt de aanval een wake-up call voor het hele haven-industrieel complex. “Het maakt in één keer duidelijk dat het echt iedere onderneming kan overkomen en dat het heel veel tijd, inzet en geld kost om te herstellen van zo’n aanval. We waren ons al zeer bewust dat voorkomen beter is dan genezen, maar naar aanleiding van deze aanval zijn we nóg eens met een kritische blik door onze eigen maatregelen heen gegaan en hebben we zaken aangescherpt. En we zijn ons ervan bewust dat we scherp moeten blijven.”
Sinds 2016 investeert het Havenbedrijf samen met partners in het project FERM-Rotterdam. Dit project is erop gericht om de weerbaarheid van de Rotterdamse haven tegen cyberaanvallen te verhogen. Het doel van FERM is awareness creëren bij bedrijven in de haven van Rotterdam (ongeveer 700) met betrekking tot cyber resilience en de risico’s en kwetsbaarheden van cybersecurity en cybercrime Daarnaast wordt binnen dit project een omgeving gecreëerd waarin samenwerking en kennisuitwisseling op het gebied van cyber resilience tussen bedrijven in de haven centraal staan. Ook worden gezamenlijke oefeningen georganiseerd. www.ferm-rotterdam.nl