Cyberweerbaarheid in de Rotterdamse Haven: ‘Eén taak, één team
De Rotterdamse Haven is als een groot huis: er hoeft maar een klein (digitaal) achterdeurtje open te staan, en criminelen zijn binnen. In 2016 werd FERM opgericht, een publiek-private samenwerking op het gebied van het verhogen van het bewustzijn rondom cyberweerbaarheid in de Rotterdamse haven. FERM is de Rotterdamse vertaling van de term resilience, dat ook wel vertaald wordt als ‘weerbaarheid’. FERM deelt kennis en kunde met bedrijven in de Rotterdamse haven.
In één minuut:
|
We spreken Sarah Olierook, sinds 2016 betrokken bij FERM als adviseur bij de divisie havenmeester van het Havenbedrijf Rotterdam. In 2016 werd cybersecurity een serieus onderdeel van het havenbedrijf, met de aanstelling van havenmeester René de Vries als Port Cyber Resilience Officer. ‘Dit was eigenlijk het begin van cybersecurity in de Rotterdamse haven,’ vertelt Olierook.
De gemeente Rotterdam, de zeehavenpolitie, Deltalinqs (de belangenbehartiger van alle bedrijven in het Rotterdamse havengebied, red.), het Havenbedrijf Rotterdam en de veiligheidsregio Rotterdam Rijnmond zijn oorspronkelijke partners van FERM. Later zijn het OM en de Milieudienst Rijnmond aangesloten. Tot 2021 was FERM een project van het Havenbedrijf Rotterdam. Vanaf 1 januari 2021 is FERM een stichting, waarbij ook bedrijven zich kunnen aansluiten en gebruik kunnen maken van de dienstverlening van FERM (scans, trainingen en oefeningen).
‘FERM is er voor alle bedrijven in het Rotterdamse havengebied’, vertelt Olierook. Dat zijn er ongeveer 700. ‘Sommige bedrijven hadden al iemand die verantwoordelijk was voor digitale veiligheid, denk aan een cyber security officer. Bij andere bedrijven werd bijvoorbeeld de persoon die zich bezighield met fysieke veiligheid naar voren geschoven.’
Maar misschien wel de meest effectieve bewustwordingscampagne voor cybersecurity kwam op 27 juni 2017.
‘De publieke partners van FERM financieren het programma vanuit hun maatschappelijke verantwoordelijkheid’.
Instant awareness
Op die dag werd Maersk slachtoffer van een cyberaanval. Van de vijf grote containerterminals in de Rotterdamse haven lagen er twee plat. Eén terminal lag voor tien dagen stil, de andere zeven. Maersk heeft al haar computers moeten vervangen. De totale kosten voor Maersk als gevolg van deze aanval worden geschat op 300 miljoen dollar.
‘Dit had een enorme impact. De aanval op Maersk zorgde voor een soort instant awareness over cybersecurity. Een concreet voorbeeld: voor het incident was er nog geen cybermeldpunt. De ontwikkeling van het meldpunt is daarna in een stroomversnelling gekomen. Wanneer we aan het incident refereren, zegt iedereen gelijk: Natuurlijk is het belangrijk om in cybersecurity te investeren.’
Het programma van FERM veranderde ook inhoudelijk na het incident. ‘We hebben toen de overgang gemaakt van een awareness programma naar het leveren van diensten: van awareness naar cyberweerbaarheid. Deze diensten proberen we zoveel mogelijk aan te sluiten bij de behoeftes van de bedrijven.’
'Eén ding is zeker: iedereen wordt een keer slachtoffer van cyberaanvallen.'
Zwakste schakel
En deze behoeften lopen nogal uiteen. Een kleine toeleverancier heeft bijvoorbeeld andere diensten nodig dan een groot bedrijf als Shell, dat al veel aan cyberweerbaarheid doet. Toch is het voor grote bedrijven ook belangrijk om mee te doen: ‘De grote bedrijven maken onderdeel uit van de keten. Wanneer er iets misgaat in deze keten, bij één van de kleinere bedrijven, zal een bedrijf als Shell hiervan ook de dupe zijn. Wij willen FERM gebruiken als platform om de hele keten sterker te maken. De keten is zo sterk als de zwakste schakel.’
Eén van de diensten van FERM is het cybermeldpunt. Bij dit meldpunt worden meldingen verzameld van bedrijven die gehackt zijn, maar ook als een terminal even stil ligt als gevolg van een technische update. ‘Alle zaken die impact kunnen hebben op het operationele proces worden bij ons gemeld.’
‘Wij als publieke partners hebben de private partners hard nodig. Het echte werk gebeurt uiteindelijk bij de bedrijven zelf.’
Partners
Begin 2020 is de veiligheidsregio Rotterdam Rijnmond bij FERM aangesloten als financierend partner, en daarnaast zijn ook het OM en de Milieudienst Rijnmond aangesloten als meedenkende partners. ‘De publieke partners bij FERM financieren het programma vanuit hun maatschappelijke verantwoordelijkheid’.
Olierook: ‘Wanneer het gaat om veiligheid in de haven, zien we vaak dat dezelfde partners zich verenigen. Er is ook niet één partij of organisatie die de leiding heeft. Als publieke partners hebben we een gemeenschappelijk belang, het gaat daarom echt om de samenwerking met elkaar.’
‘De techniek verandert constant en criminelen innoveren. Daarom is het niet zo dat je eenmalig iets aan cybersecurity kunt doen als bedrijf. Het is een continu proces.’
Wederzijdse afhankelijkheid
‘Het is nog niet voorgekomen dat het botste tussen bepaalde organisaties of bedrijven, of dat belangen heel ver uit elkaar lagen. Ik denk dat dat komt omdat FERM is begonnen als een organisatie waarbij bedrijven vrijwillig bij ons terecht konden voor informatie. Omdat het op vrijwillige basis is, trekken we alleen bedrijven aan die echt iets willen verbeteren en willen investeren in cyberweerbaarheid,’ zegt Olierook.
Daarnaast is er sprake van een wederzijdse afhankelijkheid: ‘Wij als publieke partners hebben de private partners hard nodig. Het echte werk gebeurt uiteindelijk bij de bedrijven zelf. Wij hebben hen nodig om de collectieve weerbaarheid te versterken, en zij hebben ons nodig omdat wij FERM mede-financieren waardoor de dienstverlening voor een aantrekkelijk bedrag kan worden uitgevoerd.
Volwassen worden
Op 1 januari 2021 is FERM een stichting geworden, met Evelien Bras als directeur-bestuurder. Olierook: ‘Het is nu de taak van Bras om actief bedrijven te gaan werven om zich aan te sluiten bij FERM. Eind 2023 willen we rond de 100 bedrijven aangesloten hebben. FERM gaat de volwassen fase in.’ Bedrijven die zich aansluiten bij stichting FERM betalen een bijdrage en mogen in ruil daarvoor gebruik maken van de dienstverlening. ‘Enerzijds ontvangen bedrijven informatie van elkaar, maar ook vanuit andere (nationale en markt-) partijen ontvangen ze vitale dreigingsinformatie,’ stelt Olierook.
‘De techniek verandert constant en criminelen innoveren. Daarom is het niet zo dat je eenmalig iets aan cybersecurity kunt doen als bedrijf. Het is een continu proces. Eén ding is zeker: iedereen wordt een keer, direct of indirect, slachtoffer van cyberaanvallen of digitaal falen. De vraag is alleen wanneer. Daarom is het van groot belang dat je als bedrijf weerbaar bent.’
Meer informatie over Evelien Bras als directeur-bestuurder van FERM lees je hier.