Partner in een complex speelveld
Foto: Pierre Crom
FERM staat bedrijven in het Rotterdamse havengebied op verschillende manieren bij om hun cyberweerbaarheid te vergroten. Directeur Evelien Bras zou graag zien dat meer bedrijven zich bij FERM aansluiten. “Als je ziet wat wij bieden, dan is de contributie een koopje.”
[ihc-hide-content ihc_mb_type=”show” ihc_mb_who=”2,4″ ihc_mb_template=”3″ ]
Je bent ruim een jaar directeur bij FERM. Wat heb je in die tijd geleerd over cyberveiligheid in de haven wat je nog niet wist?
“Ik had hiervoor al publiek-private samenwerkingen opgericht, waaronder het Cyber Security Centrum voor de Maakindustrie en het Fieldlab The Garden. Ook had ik publiek-privaat samengewerkt, onder andere rondom smart industry. Toch voelde dat als droog oefenen toen ik in de haven terecht kwam. De haven is wel heel groots en er gebeurt ontzettend veel. Ik heb met name geleerd wat de cyberdreiging in het havengebied zo bijzonder maakt. Cybersecurity is natuurlijk een heel complex speelveld dat bestaat uit actoren, dreigingen, kwetsbaarheden, belangen, implicaties, de gevolgen over verschillende assen, systeemprocessen en natuurlijk mensen. Wat de haven bijzonder maakt, is allereerst de impact in de logistieke ketens. Die is heel anders dan bijvoorbeeld in Eindhoven, waar intellectual property right meer leidend is. Ten tweede is storage spoofing een havenspecifiek probleem en als derde is de statelijke dreiging in Rotterdam als gevolg van de oorlog in Oekraïne meer voelbaar dan elders. Ten vierde heb ik geleerd dat het havengebied vitaal is voor Nederland, terwijl het in de cyberwereld niet als zodanig wordt gezien. De haven draagt 6,2 procent bij aan het Bruto Binnenlands Product, maar het Nationaal Cyber Security Centrum (NCSC) heeft maar één bedrijf in het havengebied als vitaal aangemerkt. Dat is het Havenbedrijf Rotterdam. De rest van het havenecosysteem wordt als niet vitaal beschouwd. Dit is best raar en vraagt om actie.”
Wat maakt cybersecurity voor jou een interessant werkveld?
“Cyberveiligheid trekt mij aan omdat je wat stappen nodig hebt om tot begrijpbare taal te komen. Een telefoon kun je vastpakken, een kopje koffie kun je proeven, maar cyberveiligheid is moeilijker tastbaar. Ik vind het een uitdaging om cyberveiligheid op tafel te krijgen.”
Is het met cyberveiligheid niet lastig dat het initiatief per definitie altijd bij de bad guys, de aanvallers, ligt?
“Je kunt ook best leidend zijn. Neem het scenario ransomware, waarbij aanvallers vaak bestaande kwetsbaarheden gebruiken. Potentiële slachtoffers kunnen leidend zijn door alvast een patch te installeren en niet te wachten totdat een aanval je overkomt. Ook ben je leidend als je een plan B hebt dat je kunt uitvoeren op het moment dat je systemen down zijn.”
In januari 2021 is FERM een stichting geworden. Waarom is dat gedaan en wat is er daarmee veranderd?
“Tot 1 januari 2021 was FERM een project dat werd gedraaid door het Havenbedrijf Rotterdam met partners. Samen met de participanten van deze pilot zagen zij de noodzaak om FERM op een andere schaal op de kaart te zetten. Daarom heeft het stuurteam besloten er een aparte stichting van te maken, juist om FERM meer body en een gezicht te geven. Daarvoor ben ik aangetrokken. Daar zijn we daar goed mee bezig, al mag je dat eigenlijk niet van jezelf zeggen.”
Wat ervaar je als het moeilijkste aan je missie om de haven van Rotterdam weerbaar te krijgen?
“Ik vind het het lastigste om op voorhand de meerwaarde van participeren van FERM duidelijk te maken. Zodra bedrijven participeren, zijn ze allemaal blij en tevreden, maar het vooraf kwantificeren van de meerwaarde blijft lastig. Wij hebben veel inhoudelijke informatie, ook hebben wij in het vizier wat in de haven speelt en wij kunnen bedrijven helpen. Maar wij mogen en kunnen dit alles niet voor niet-leden doen. Het is dus belangrijk dat bedrijven zich bij ons aansluiten.”
Hoe kunnen jullie bedrijven helpen om meer weerbaar te worden?
“Wij delen dreigingsinformatie van het NCSC, maar ook van de bedrijven zelf. Wij delen best practices, bedrijven krijgen toegang tot het portal zodat ze zien wat andere bedrijven doen en wat ze zelf kunnen doen. Wij houden leden op de hoogte van veranderende wet- en regelgeving en bieden handelingsperspectieven in geval van een incident of dreiging. Verder helpen wij met trainingen, oefeningen en kennissessies.Op deze manier leren de participanten elkaar kennen en bouwen ze aan vertrouwen om op basis daarvan met en van elkaar te leren.”
Bedrijven betalen daar een contributie voor?
“Ja, leden betalen 3.500 euro per jaar. Een deel daarvan krijg je gelijk weer terug in de vorm van een voucher om aan je eigen cyberweerbaarheid te besteden. Als je ziet wat je ervoor krijgt, is dat dus een koopje. FERM is een partner die naast je staat in een complex, dagelijks veranderend speelveld.”
Zijn alle sectoren in jullie ledenbestand evenredig verdeeld?
“Ja. Wel zijn met name grotere bedrijven participant, en de kleinere nog minder. Dat terwijl we juist voor kleinere bedrijven van waarde kunnen zijn, omdat die nog niet precies weten waar ze moeten beginnen en wat relevant voor hen is.”
Heeft de Russische inval in Oekraïne jullie werk veranderd?
“Jazeker, de dreiging wordt bijna voelbaar. Naarmate de situatie in Oekraïne en Rusland verder escaleert, is het havengebied natuurlijk een beoogd doelwit. Daar zijn we best angstig voor. In gesprek met Nieuwsuur heb ik aangegeven dat we eigenlijk digitaal luchtafweergeschut over de hele haven zouden moeten hebben. Ik reageerde daarmee op europarlementariër Bart Groothuis (VVD), die in datzelfde programma zei dat we niet alle wapens naar Oekraïne moeten sturen, maar dat we in het eigen havengebied luchtafweergeschut moeten neerzetten.“
Digitaal luchtafweergeschut klinkt als een krachtige metafoor, maar wat bedoel je daar precies mee?
“Ik zie dat voor me als de combinatie van een Security Operating Center (SOC), een soort commandocentrum waarbij alle bedrijven zijn aangesloten, en een Computer Emergency Response Team (CERT). Dit zodat je kunt ingrijpen als er wat gebeurt.”
Komt de meeste cyberdreiging voor de haven van staten of criminele bendes?
“Dat is een goede vraag. Kijk, risico is kans maal gevolg. Eén op de vijf bedrijven wordt jaarlijks door een ransomware-aanval geraakt. Die kans is dus twintig procent, maar het gevolg beperkt zich vaak tot één bedrijf, hoewel dat voor het bedrijf zelf natuurlijk vreselijk is. Het maakt ook duidelijk dat je jezelf moet weren. De kans op een staatkundige dreiging bevindt zich vlak onder het oppervlak omdat de NAVO niet officieel bij het conflict is betrokken. Mocht dat wel gebeuren, dan schiet die kans omhoog. Het gevolg wordt dan groot, omdat waarschijnlijk wordt beoogd om het hele havengebied te raken. Dus ja, wat is de grootste dreiging? Voor individuele bedrijven is dat ransomware, maar voor het hele havengebied is dat misschien wel een aanval vanuit Rusland.”
Hoe cyberveilig is de haven nu?
“De grote bedrijven hebben al veel gedaan aan veiligheid, al weten ze niet precies hoe kwetsbaar ze in de keten zijn. Er zijn ook bedrijven die cybersecurity bij IT hebben neergelegd. Die zijn wat kwetsbaarder omdat IT’ers niet altijd de businesskant zien en uiteindelijk zit je kwetsbaarheid in je business continuity.”
Hoeveel cyberveiligheidsincidenten zijn er jaarlijks in de haven?
“Het havengebied wijkt niet af van wat er landelijk speelt. In Nederland wordt één op de vijf bedrijven jaarlijks geraakt door een bepaalde vorm van cybercriminaliteit, waartoe ook datadiefstal en verlies van persoonsgegevens behoren.”
En valt hier een trend in te ontdekken?
“Ransomware begint nu wel de vorm aan te nemen van een epidemie. Dat kun je ook lezen in het NCSC Cybersecuritybeeld. Storage spoofing neemt ook langzaam toe tot serieuze vormen. Het aantal incidenten gaat in stapjes omhoog. Toen veel mensen tijdens de coronapandemie thuis werkten, namen de incidenten significant toe. Het wordt eigenlijk nooit minder. De trend is dus dat het voortdurend blijft groeien.”
En dat terwijl de weerbaarheid toeneemt.
“Ja, gelukkig wel. Laat ik het vergelijken met de situatie in 2017, toen Maersk werd geraakt. Er werd toen vierhonderd dollar losgeld gevraagd. Dat was fake, want er werd gedaan alsof het een ransomware-aanval was maar het ging eigenlijk om een staatkundige aanval die per ongeluk in de haven was terechtgekomen. Je kon dus betalen wat je wilde, maar de systemen werden niet vrijgegeven. De gevolgschade van die ene aanval op Maersk was driehonderd miljoen euro. Nu zie je dat de bedragen steeds hoger worden die bij ransomware worden gevraagd. Meestal zit het tussen de 0,2 tot 0,4 procent van de jaaromzet. De gevolgschade is echter vele malen kleiner, omdat netwerken beter zijn gesegmenteerd. Dat is ook een belangrijke trend.”
Betalen de meeste bedrijven het gevraagde losgeld als ze zijn getroffen door een ransomware-aanval?
“Ik heb gehoord dat de helft betaalt. Mijn advies is om niet te betalen. Als je je voorbereidt om niet te betalen heb je altijd een plan klaarliggen. Als je zo goed bent voorbereid, dan ben je onafhankelijk.”
Wat voor advies zou je bedrijven verder willen meegeven?
“Dat zijn drie punten. Let op phishing en het scannen van geopende poorten. Daarbij speelt de menselijke factor mee; zorg dat je nergens intrapt. Het tweede is: installeer je updates, verzorg je patches en zorg voor backups. Dit zodat je wat terug kunt zetten als ze binnen komen. Als derde adviseer ik bedrijven om hun netwerk te compartimenteren. De kans is aanwezig dat inbrekers via een kwetsbaarheid binnen kunnen komen. Door te compartimenteren zorg je ervoor dat ze niet in de keuken terechtkomen, maar in het voorportaal blijven hangen.”
Ben je te spreken over de medewerking van de leden van FERM?
“Ja, de meeste leden willen actief meewerken en onderschrijven het belang van cyberweerbaarheid. Daar ben ik heel blij mee, want dat bepaalt ook de meerwaarde van FERM. Je kunt participant worden van FERM, maar daarmee ben je er natuurlijk nog niet. Je krijgt informatie en zult zelf aan de slag moeten.”
Welke drie dingen zou je dit jaar nog willen bereiken?
“Eind vorig jaar hadden wij twaalf betalende deelnemers. We zijn pas halverwege 2021 gaan werven omdat we eerst de dienstverlening op orde wilden hebben. Inmiddels zitten we op dertig participanten. We zijn dus flink gegroeid. Voor het eind van het jaar zou ik graag naar de zestig participanten willen. Daarnaast zien wij in het havengebied een toenemende vermenging van boven- en onderwereld. De cyberaspecten van die ondermijnende activiteiten zouden wij graag met onze partners willen aanpakken. Ten derde zou ik nog meer willen oefenen met de participanten en publieke partners. Nu hebben we één keer per jaar een cyberoefening. Dan simuleren we een incident en oefenen we in hoeverre processen, mensen en informatie bij de bestrijding op elkaar zijn afgestemd. Dat leert je waar nog verbeterpunten zitten en ook dat je rustig moet blijven in panieksituaties. Als het incident binnen één bedrijf blijft, heb je nog een governancelijn. Maar als het buiten het bedrijf komt, is niet duidelijk wie het voor het zeggen heeft. Je moet heel snel partners vinden, met elkaar afstemmen en weten hoe je moet communiceren. Ook moet je weten wat de juridische implicaties zijn. Dat cyberveiligheid al lang niet meer iets is van IT wordt tijdens een oefening echt duidelijk.”
We zijn aan het eind van het gesprek beland. Wil je nog iets meegeven?
“Cyberveiligheid heeft veel aspecten. Zowel voor grote als kleine bedrijven geldt dat je samen sterker staat én sneller leert en daardoor weerbaarder bent. Zie FERM als een netwerk dat in een complex dossier aan jouw kant staat. Samen staan we FERM!”
Wie is Evelien Bras?
Evelien Bras studeerde technische informatica aan de Stenden Hogeschool in Emmen. Ze heeft gewerkt voor verschillende grote organisaties, zoals Thales, en was betrokken bij de publiek-private samenwerking rond het jachtvliegtuig F35. Bras was verantwoordelijk voor de oprichting van het Cybersecurity Centrum Maakindustrie (CCM), wat als het zusje van FERM kan worden beschouwd. Sinds 1 januari vorig jaar is zij directeur van FERM.
Daarnaast geeft ze gastcolleges – onder andere op de universiteit van Leiden & Nyenrode – op het gebied van corporate governance.
[/et_bloom_locked]