Elk jaar een grote ‘ramp’: zo blijft de Rotterdamse haven weerbaar

Elk uur krijgt de Rotterdamse haven, belangrijke schakel in de Nederlandse logistiek, wel een cyberaanval te verduren. Maar de systemen zijn weerbaar, mede dankzij een jaarlijkse grote oefening. Private en publieke partijen trainen dan hun samenwerking. ‘In andere wereldhavens kennen ze dit niet.’

De Rotterdams Waalhaven, dicht bij het centrum van Rotterdam, oogt rustig deze middag. Achter de rug van Bas Janssen ligt een vrachtschip voor anker. Het wordt omringd door kleinere schepen die af en aan varen. Aan de hardblauwe lucht prijken enkele witte wolken.
Maar de directeur van Deltalinqs, de ondernemersvereniging van de Rotterdamse haven- en industriebedrijven, ziet ze niet. Hij heeft het over andere wolken, donkere, die boven het havencomplex samentrekken, namelijk de verstorende gevolgen van cybercriminaliteit. Het is een zorgelijk vraagstuk, herhaalt hij een paar keer gedurende het interview.

‘Bendes én statelijke actoren proberen hier rotzooi te trappen’
‘Het zijn niet alleen criminele bendes die willen infiltreren voor losgeld of voor storage spoofing (de online verkoop van niet-bestaande opslag van goederen, red.). Het zijn ook statelijke actoren die rotzooi willen trappen door de boel plat te leggen. Of ze willen om economische redenen spioneren. Mijn nachtmerrie is een grote verstoring die als een olievlek door de haven gaat en uiteindelijk de maatschappij ontwricht.’

It-systemen ontwricht

Dat gevaar is niet denkbeeldig. In 2017 werden de it-systemen van containeroverslagbedrijf APM gehackt, met een eenvoudig boekhoudprogramma uit Oekraïne met een link naar Rusland. Laden en lossen ging niet meer. De schade liep uiteindelijk in de honderden miljoenen euro’s, om nog maar te zwijgen van de reputatieschade.
Janssen: ‘Cyberdreiging komt dus uit een heleboel hoeken. Er staat ook geen hek om het havencomplex en er is er niet één baas van de haven, om het zo te zeggen. Het maakt de aanpak van computercriminaliteit uitdagend. Het is dan ook goed dat we vanuit Deltalinqs nauw samenwerken met publieke partijen als politie, douane, gemeente en het Havenbedrijf Rotterdam. We zijn in Rotterdam vrij goed in publiek-private samenwerking, het poldermodel. In andere wereldhavens kennen ze dat niet. Samen met FERM, het Port Cyber Resilience-programma van de Rotterdamse haven, maken we ondernemers bewust dat hun ict-systemen de ruggengraat zijn van hun bedrijf. Zo maken we de totale haven weerbaarder.’ Over FERM zo meer.
Wat Janssen signaleert, bracht de Nationaal Coördinator Terrorismebestrijding en Veiligheid, Pieter-Jaap Aalbersberg, vorig jaar oktober in het Cybersecuritybeeld Nederland 2024 al naar buiten. ‘Eén van de belangrijkste bevindingen in dit beeld is dat statelijke actoren hun cyberactiviteiten intensiveren en hun cybercapaciteiten verbreden’, zei Aalbersberg bij de presentatie. ‘Het tempo en de complexiteit van statelijke cybercampagnes wordt opgevoerd. Ook zetten ze andere actoren in, zoals bedrijven of hacktivisten, om digitale aanvallen uit te kunnen voeren.’

DDoS-aanvallen

In het Cybersecuritybeeld valt te lezen dat in Australië grote havens al te kampen hadden met een cyberaanval: ‘DP World, de op een na grootste havenbeheerder van dat land, had uit voorzorg het internetverkeer stilgelegd nadat er een cyberaanval was ontdekt. In Nederland werden websites van havens in juni 2023 tijdelijk onbereikbaar door DDoS-aanvallen. De website van de Groningse Zeehavens was twee dagen niet te bereiken. De aanvallen zijn opgeëist door een pro-Russische hacktivistische groepering.’
Marijn van Schoote kijkt net als Janssen uit over zijn werkgebied. Vanuit het World Port Center op de Wilhelminapier, met aan de voet de voorbijstromende Maas, bestuurt hij de stichting FERM. Dat is geen afkorting, maar de Rotterdamse vertaling van het begrip resilience. ‘Wij helpen bedrijven en daarmee de Rotterdamse haven weerbaar te maken tegen digitale verstoringen’, legt Van Schoote uit.
‘In FERM gaat het om bewustwording. Met cruciale bedrijven maken we daarom afspraken over het beveiligingsniveau en de noodzaak van het delen van kennis. Daarom hebben we ook een verbinding met het Hit And Run Cargo-team. Dat is een samenwerkingsverband van douane, FIOD, zeehavenpolitie en het Openbaar Ministerie. Zij houden zich bezig met ondermijningsonderzoeken in en rondom de Rotterdamse haven. Ze weten veel over het opsporen en aanpakken van een insider threat, een kwetsbare medewerker.’

Elk jaar een grote oefening

Elk jaar, in september, organiseert FERM voor het havenbedrijfsleven een grote cyberaanval – om te oefenen. FERM-voorman Van Schoote: ‘We hebben een toolkit ontwikkeld waarmee bedrijven hun eigen crisisstructuur kunnen testen. De jaarlijkse oefening betreft altijd een keten: de processen en partners die betrokken zijn bij het afwikkelen van scheepvaartverkeer of de olie- of gasindustrie. Zo leggen we de urgentie van beveiliging vóór een aanval, zoals die bij APM plaatsvond.’
Bij de laatste oefening viel hem op: ‘Op bestuurlijk niveau doen we het goed. Iedereen op dat niveau is wel rolvast. Het knelt echter bij de technisch specialisten om de boel weer op orde te brengen. Veel mensen denken: we herstellen het en twee uur later werkt het weer. Maar in de praktijk kunnen daar best twee tot drie dagen overheen gaan. Dat komt door een tekort aan it-specialisten, de verdere digitalisering als gevolg van het personeelstekort én de complexiteit van de computersystemen.’
Verwachtingen in de samenleving managen is dus nodig, zegt Van Schoote. ‘En we moeten zorgen dat er in het systeem voldoende buffers zijn ingebouwd. Vanuit Defensie hebben we geleerd rekening te houden met het most dangerous scenario: een glasvezel die niet op één maar op 25 plekken is verstoord en waarvan het meer dan een week duurt om deze te herstellen. Hoe zien dan je redundantie (voorzieningen waar je op kunt terugvallen, red.) en back-upplan eruit?’

‘je komt niet meer weg met een firewall en een mannetje voor de ict’

Een firewall is kinderspel

Bas Janssen is nog niet helemaal tevreden als het gaat om die bewustwording op bestuursniveau. ‘De Chief Information Officer (cio) is zich er terdege bewust van, maar de ceo kan nog best wat bewuster worden gemaakt. Op korte termijn laten we dan ook samen met FERM ceo’s serious gamen. Zij moeten echt gaan inzien hoe belangrijk hun digitale backbone is. Je komt niet meer weg met een firewall en een mannetje dat de ict doet.’
De invoering van Europese wetgeving gaat cybermaatregelen deels stroomlijnen. Waarschijnlijk wordt eind dit jaar in Nederland NIS2-richtlijn geïmplementeerd in de Cyberbeveiligingswet. De richtlijn moet de cyberbeveiliging en weerbaarheid van essentiële diensten in EU-lidstaten verbeteren.
In het Rotterdamse havencomplex moeten circa 150 bedrijven aan NIS2 voldoen. Van Schoote: ‘Het is goed dat NIS2 inwerking gaat treden. Het betekent dat je als bestuurder op de hoogte moet zijn van de risico’s. Je kunt niet meer je hoofd in het zand steken. Als bestuurder kun je bij onachtzaamheid aansprakelijk worden gesteld. Het kan leiden tot strafmaatregelen. Cybersecurity is echt geen vrijblijvend onderwerp meer.’

Samenwerking opgeschaald

Het succes van FERM is inmiddels buiten Rotterdam ook gesignaleerd. De organisatie wordt nu opgeschaald naar een landelijke samenwerking van alle zeehavens. Van Schoote is als kwartiermaker belast met de opbouw van deze landelijke cybersamenwerking.
Hij zegt: ‘Amsterdam, Groningen, Moerdijk en North Sea Port (een fusie tussen de zeehavens Gent, Terneuzen en Vlissingen, red.) komen erbij. Want cyberdreiging is complex en zal nooit meer verdwijnen. Door die samenwerking is de financiering van FERM op een goede manier gewaarborgd en kunnen we een robuust systeem opzetten voor al onze zeehavens. Zo kunnen we ook oefeningen doen ‘over de rand van de Rotterdamse haven heen’. Want als de functie Rotterdam wegvalt, zijn we dan ook in staat om schepen over te zetten naar een andere haven?’

Supersamenwerking krijgt vormIn de Rotterdamse haven werken publieke en private partijen al samen aan weerbaarheid. Elders in Nederland kan dat beter. Een groep van 22 organisaties, uit overheid en bedrijfsleven, zet zich daarvoor in.
Zij hebben zich verenigd om bij te dragen aan het versterken van de veiligheid en weerbaarheid van Nederland. Het gaat om publiek-private organisaties en hulporganisaties. Hun initiatief is mede geïnspireerd door een moreel appèl van NAVO-admiraal Rob Bauer.
Veiligheid is niet langer vanzelfsprekend en vereist een integrale aanpak, stellen de organisaties. Overheden, bedrijven en burgers moeten hun verantwoordelijkheid nemen en onderling meer samenwerken. Volgens hen is Nederland, met zijn open samen­leving en economie, extra gevoelig voor dreigingen als geopolitieke conflicten, hybride oorlogsvoering en natuurrampen.
Onder de aangesloten organisaties zijn vertegenwoordigers uit de financiële sector (ABN Amro), de levensmiddelenbranche (Albert Heijn), telecom (KPN), de energie- en watervoorziening (Waternet) de ministeries van Justitie en Defensie, de gemeente Rotterdam en het Havenbedrijf in die stad. Ook VNO-NCW is aangesloten.
Begin november reisden deelnemers naar Finland om te kijken hoe de publiek-private samenwerking daar bijdraagt aan de weerbaarheid van dat land. Nu werken zij drie inzichten uit die ze daar opdeden. Allereerst: de noodzaak voor overkoepelende regie. Die kan vorm krijgen in een nationale raad met brede vertegenwoordiging (overheid, bedrijfsleven, hulporganisaties en kennisinstellingen), zoals het Finse Security Committee. Ten tweede: verbetering van de samenwerking tussen vitale sectoren als het gaat om voorbereiding en respons op dreigingen en gevaren. Finland heeft daar de National Emergency Supply Agency (NESA) voor. Die werkt samen met meer dan 1.500 publieke en private partijen. Tot slot: verbetering van de communicatie met de burgers, om het gevoel van urgentie onder de aandacht te brengen.