“Cybersecurity verdient hoogste prioriteit”

Wat kan de logistieke branche doen om zich weerbaarder te maken tegen cyberaanvallen? Marit Bakker, beveiligingsadviseur bij de Douane, heeft hier heldere ideeën over.

In onze digitale samenleving lijkt bijna alles met elkaar verbonden. De toenemende vervlochtenheid van ICT-systemen en -netwerken biedt vele voordelen, maar maakt de wereld zoals wij die kennen tegelijkertijd steeds kwetsbaarder voor computercriminelen. Die zien ook de logistieke sector als een lucratief doelwit, zo maakte de recente hack in de Rotterdamse haven pijnlijk duidelijk. Wat kan de branche doen om zich tegen cyberaanvallen te beschermen en de schade ervan te beperken? Marit Bakker, beveiligingsadviseur bij Douane Nederland, heeft hier heldere ideeën over.

 Als we Bakker spreken, heeft ze net een drukke week achter de rug. Met een groep collega’s was ze namens de Douane nauw betrokken bij ISIDOOR II, een landelijke ICT-crisisoefening georganiseerd door de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV). Vier dagen lang werd intensief getoetst hoe de communicatie en samenwerking verloopt tussen tientallen publieke en private partijen in geval een grootschalig cyberincident hele bedrijfstakken dreigt lam te leggen. Het draaiboek had voor de Douane een softwarevirus in de scanstraat op de Maasvlakte in petto – plus een besmetting van werkplekken met malware, waardoor allerlei bedrijfskritische systemen niet meer werkten. Een uitgebreide evaluatie van de actie laat nog even op zich wachten, maar ondertussen blikt Bakker alweer vooruit naar een volgende serieuze test: FERM, een praktijkonderzoek naar de digitale weerbaarheid van de Rotterdamse haven (zie kader). Met al die initiatieven lijkt het met het bewustzijn rond e-veiligheid bij overheid en bedrijfsleven wel goed te zitten. Maar betekent dit ook dat organisaties voldoende doen om zich te wapenen tegen cyberaanvallen? “Als je afgaat op het meest recente Cybersecuritybeeld Nederland van de NCTV, is dat klaarblijkelijk niet het geval”, stelt Bakker. “Daarin staat onomwonden dat de cyberdreiging in ons land sterk groeit, en dat het beveiligingsniveau over het algemeen achterblijft.”

Zo sterk als de zwakste schakel
Voor dat laatste voert Bakker – die zelf jarenlang werkzaam was bij de NCTV, waaronder het Nationaal Cyber Security Centrum – een aantal verklaringen aan. Een daarvan is dat veel organisaties het onderwerp nog altijd vooral individueel benaderen, terwijl een meer gezamenlijke aanpak beter op z’n plaats zou zijn. “Samenwerken lijkt logisch en lonend, gezien de grote ICT-ketenafhankelijkheid in vrijwel elke branche. Een keten is zo sterk als de zwakste schakel; de kwetsbaarheid van de een kan incidenten bij een ander tot gevolg hebben. Dat bleek wel bij de wereldwijde geavanceerde ransomware-aanval afgelopen zomer, waarbij ook een rederij en een flink aantal terminals in mainport Rotterdam werden geraakt. Hieronder had een hele reeks bedrijven te lijden, van transportondernemingen tot levensmiddelenproducenten. En evengoed werd de Douane met de consequenties geconfronteerd. Omdat de dienst vaker met calamiteiten te maken krijgt – denk aan verstoringen van de eigen systemen – en extra capaciteit kon inzetten, bleef de schade nog enigszins beperkt. Maar toch… Vanuit de getroffen terminals werden geen geautomatiseerde aangiften meer verstuurd, waardoor aangiften als Excel-bestand binnenkwamen en handmatig moesten worden ingevoerd. En risicobeoordelingen vonden noodgedwongen op de ouderwetse manier plaats – controles aan de poort waren terug van weggeweest. Door dit alles kwam ook de voortgang van zuivering van aangiften in gevaar, een proces waar voor de Douane wettelijke Europese verplichtingen aan vastzitten. Als aangiften niet tijdig zijn gezuiverd, kan dit de dienst op fikse boetes vanuit Brussel komen te staan. Maar we zijn behalve een handhavingsdienst nu eenmaal ook een dienstverlenende organisatie; de verantwoordelijkheid om het bedrijfsleven te ondersteunen wordt diep gevoeld. Niettemin was er een reëel risico dat de afhandeling van containers op de betrokken terminals zou moeten worden stilgelegd – met alle gevolgen van dien. Dit bad case scenario laat zien hoe groot het gedeelde belang is om een dergelijke digi-crisis in de toekomst te voorkomen.”

Integrale aanpak vereist
Binnen de Douane gaat in elk geval veel aandacht uit naar de veiligheid en continuïteit van de eigen systemen, aldus Bakker. Daarbij wordt steeds opgetrokken met het Security Operations Center van de Belastingdienst, waar de Douane deel van uitmaakt. Het SOC monitort en bewaakt de vitale ICT-infrastructuur van het concern 24/7, is verantwoordelijk voor de databeveiliging van alle bedrijfsonderdelen en fungeert als computer emergency response team (CERT). Het hanteert steeds de strengste veiligheidseisen. Bakker: “De nadruk ligt hier volledig op de technische kant van de zaak – firewalls, penetratietesten en dergelijke. Die is essentieel, maar je moet je er als bedrijf niet op blindstaren. Het vraagstuk van cybersecurity is veel breder, en vereist een integrale aanpak. Je moet net zo goed naar bijvoorbeeld de menselijke en organisatorische aspecten binnen je processen kijken. Zoals: maken medewerkers op een veilige en verantwoorde manier gebruik van de beschikbare geautomatiseerde middelen? Om hierbij stil te staan heeft de Douane dit jaar voor het eerst meegedaan aan de landelijke Alert Online-weken, met een uitgebreide interne bewustwordingscampagne. Op die manier willen we duidelijk maken dat het thema echt ieders attentie verdient.”

Aanscherpen AEO-criteria
Bakker benadrukt dat niemand verantwoordelijk is voor de ICT-beveiliging van een organisatie dan de organisatie zelf. Ook de overheid niet. “Dit neemt echter niet weg dat we elkaar op dit vlak kunnen helpen, om gezamenlijk weerbaarder te worden tegen dreigingen van buitenaf. Ik adviseer bedrijven bijvoorbeeld altijd om het onderwerp e-veiligheid boven het operationele en tactische niveau uit te tillen. Geef het prioriteit op het hoogste strategische level, zeg ik dan. Beleg het dossier in de top van de hiërarchie; maak een MT-lid ervoor verantwoordelijk. Dan weet je zeker dat het issue bovenaan de agenda komt en blijft, en dat er budget en mankracht voor wordt vrijgemaakt.”

“Wij denken na over hoe de Douane als sleutelspeler in de logistieke branche een bijdrage zou kunnen leveren aan het versterken van de complete digitale keten”, gaat Bakker verder. “Een van de opties is het aanscherpen en uitbreiden van de cybersecurity-criteria voor het certificaat AEO safety & security – na 9/11 ontstaan om het goederenvervoer van en naar de EU veiliger te maken. Zoals bekend, zijn deze voorwaarden Europees vastgesteld. Vanzelfsprekend wordt ook in Brussel overdacht hoe digitale veiligheid een prominentere plek kan krijgen binnen het certificeringssysteem. Het zou mooi zijn, als Nederland de aanjager in dit proces kan zijn.”

“Natuurlijk zijn meerdere spelers in de sector logistiek en transport bezig met strengere ICT-veiligheidsrichtlijnen”, besluit Bakker. “Het Havenbedrijf Rotterdam bijvoorbeeld, dat allerlei maatregelen heeft ingesteld op basis van de internationale ISPS Code – een raamwerk van regels voor de bescherming van schepen en havenfaciliteiten. Met zulke partijen werken we graag samen aan een overkoepelende cybersecurity-strategie. De mogelijkheden daarvoor gaan we bespreken binnen het Overleg Douane Bedrijfsleven. Er kunnen ook individuele ondernemingen zijn die met de Douane in gesprek willen over dit onderwerp. Daar staan we zeker voor open.”

FERM
Vanuit het Platform Criminaliteitsbeheersing Rotterdam-Rijnmond is in 2016 het programma FERM in het leven geroepen. Doel is samenwerking tussen bedrijven en overheden in de Rotterdamse haven te stimuleren en het bewustzijn rond cyberrisico’s te vergroten. Begin november vond een oefening plaats onder de vlag van FERM, waarbij aan de hand van een gesimuleerde malware-aanval werd bekeken hoe een lokaal nautisch crisisteam tot de beste incident response kan komen. De Douane was een van de deelnemers.

Deel dit bericht