NeKo Ship Supply, gevestigd in Rotterdam en Algeciras, is leverancier van maritieme diensten aan reders, scheepsmanagers en cateraars. Het bedrijf zorgt voor de behoeften van koopvaardij- en cruiseschepen, megajachten en offshore booreilanden. Voor die continue uitdaging steunen ze uiteraard op geavanceerde computersoftware als hulpmiddel. Onder meer om die reden sloot NeKo zich aan als participant van FERM.

“Zo blijven we scherp en op de hoogte, en kunnen we samen met onze leveranciers en partners in de keten in de gaten houden of we het inderdaad goed voor elkaar hebben.”

In gesprek met Edwin Reedijk, IT Director bij NeKo Ship Supply.

Digitalisering en slimme software

Service, kwaliteit en veiligheid zijn sleutelwoorden binnen de dienstverlening van NeKo. “Dat maakt dat de digitalisering ook aan ons niet voorbij is gegaan,” zegt Edwin. Als IT Director is hij al decennia aan NeKo verbonden, waarbij hij uit persoonlijke interesse én autodidactische ontwikkeling van lieverlee bij IT terecht kwam. “Ooit hield ik me bezig met allerlei bedrijfsonderdelen, van magazijn en spare parts tot administratie en declaratie. Uiteindelijk ben ik zelf een programma gaan ontwikkelen, wat op zijn beurt de nieuwsgierigheid in en de expertise met IT verder heeft gestimuleerd.”

“Kijk je binnen onze organisatie naar informatieveiligheid en de doordachte manier waarop we onze systemen en netwerken hebben ingericht, dan mag je stellen dat we veel gedaan hebben op het vlak van cybersecurity. Dat hebben we echt een onderdeel van de organisatie gemaakt. Maar in algemene zin – en inderdaad in de keten – zijn er nog wel wat stappen te maken. Dat is ook wat ons bewoog om ons bij FERM aan te sluiten.”

Ketenafhankelijkheid

Een andere taak voor FERM is het meenemen van de kleinere organisaties in die ‘grote’ ketenweerbaarheid. “Bij het midden- en kleinbedrijf overheerst nog altijd een gevoel van ‘dat overkomt ons niet’, dus daar valt nog veel te winnen. Iederéén kan de dupe worden, en daarom is het voor iedereen een agendapunt. Althans, dat zou het toch moeten zijn. Maar hoe krijg je dat voor elkaar? Ik zie daarin ook een rol voor de NVVS (de Nederlandse Vereniging Van Scheepsleveranciers, red.), als hub in het verlengde van FERM – zoals Deltalinqs dat als publieke partner naar haven- en industriële bedrijven ook is.”

“Kijk, wat wij in de basis doen is scheepsbevoorrading. Alles wat nodig is aan boord, dat leveren we. Dat zijn 300.000+ artikelen in een database, van aardappelen en afwasborstels tot vitale machineonderdelen. Dat maakt dat we een gigantisch netwerk van leveranciers hebben. En een selectie van die producten – en dan natuurlijk niet de aardappelen – maken je wel leveranciersafhankelijk. En dus ook kwetsbaar als het ergens misloopt, want je kunt niet alles op voorraad hebben natuurlijk. Voor iedere individueel item is er een IMPA code. Deze codes komen uit het International Maritime Purchase Association-boek, en worden in de scheepvaart wereldwijd gebruikt. Dat zorgt voor hele expliciete leveranciers soms. En dus voor expliciete afhankelijkheid.”

AEO & ISO

NeKo Is AEO-gecertificeerd, wat in het kort inhoudt dat ze elk jaar geauditeerd worden door de douane of er nog volgens de AEO regels gewerkt wordt met betrekking tot veiligheid in de breedste zin van het woord. AEO  staat voor Authorised Economic Operator, uit de regelparaplu van de nadagen van de 11 september-aanvallen.

“Onze ISO is ook gebaseerd op het AEO-handboek. Maar elders in de keten is dat niet zo evident. Dat zou eigenlijk veel breder moeten zijn, maar dat is voor de gemiddelde mkb-organisatie niet haalbaar. Bovendien zitten daar ook veel leveranciers tussen die ook elders leveren, buiten de haven, en dus het belang van AEO minder inzien.”

“Overigens vind ik dat de overheid meer zou moeten doen. Als de BV Nederland getroffen wordt door een grootschalige cyberaanval, of als het havengebied geraakt wordt, dan heeft dat overal gevolgen. Of ik dáár ook een rol voor FERM in zie? Zeker, vooral als Den Haag erin meegenomen kan worden. Want je kan het in de haven goed geregeld hebben, maar als bijvoorbeeld de NS platligt – zoals recent nog het geval was – dan kun je je containers ook niet afvoeren. ‘De keten’ is landelijk, vervolgens EU-breed en uiteindelijk mondiaal.”

Ketenweerbaarheid

Het veelgebruikte voorbeeld van de cyberaanval die Maersk/APM en daarmee de Rotterdamse Haven trof, is ook NeKo niet onbekend. “We zijn zelf een keer slachtoffer geweest van een incident, maar dat is langer geleden, 2015, en gelukkig vrij snel in de kiem gesmoord. Een verkeerde e-mail bij iemand, gelukkig door ons snel gedetecteerd en ook dit zelf op kunnen lossen. Maar sindsdien staan we collectief natuurlijk wel voor meer uitdagingen. Dat maakt ook dat we daar scherp op zijn. Hoe zeker zijn we? Wat kunnen we daaraan doen?”

“Zo is cyber steeds hoger op de agenda gekomen. 2017 gaf vervolgens die volgende duw. Maersk is een grote klant, waardoor ook bij ons de business stil kwam te liggen. Ook een voorbeeld van collateral damage dus, en een extra reden om samen op te trekken. Vervolgens kwamen we via de Port Cyber Café’s op het pad van FERM.”

De rol van FERM

“Hoe doen anderen het? Wat kunnen we beter doen? Dat is voor mij één van de meerwaarden van een netwerk als FERM. In de basis is het vooral een informatiecentrum, maar die netwerkfunctie is natuurlijk cruciaal. We moeten de hele keten bewust maken van de risico’s die er zijn, én daar iets mee doen. Ik zou dan ook graag met FERM bedenken hoe we dat verder op kunnen gaan pakken, samen met de NVVS, om onze achterban te bereiken. Wij komen er uiteindelijk wel uit, het is vooral belangrijk dat we het leeuwendeel van de organisaties, ook kijkend naar onze leveranciers en andere ondernemingen die een partij als FERM echt nodig hebben, naar het juiste niveau brengen.”

“Over het juiste niveau gesproken, in het verlengde daarvan zou ik in het portal graag meer praktische oplossingen zien, met name in relatie tot dreigingsinformatie. We weten het nodige op onze afdeling, maar om alles echt buiten de deur te houden heb je specialisten nodig, en daarin hebben ook wij een partij als FERM nodig. Wat speelt er, maar ook: wat moeten we er praktisch mee, hoe kunnen we het tegenhouden. De bewuste kwetsbaarheid is soms onduidelijk: raakt het ons ook? Waar? Hoe kunnen we het traceren?”

“Ook de organisaties die [al] wel met cyber bezig zijn maar niét de kennis hebben, die kunnen wat meer hulp gebruiken om te achterhalen of er actie ondernomen moet worden, en wat er moet gebeuren om het sneller te kunnen tackelen.”

Sluit je aan bij FERM

Blijf alert. Installeer updates en let op phishing mails. Gebruik MFA. En – voor alle bedrijven in de Rotterdamse haven – sluit je aan bij FERM. Zodat je daarnaast ook acute dreigingsinformatie kunt ontvangen, vragen kunt stellen aan de vertrouwde community om je heen, en ondersteund kunt worden in de stappen richting NIS2.

Kijk voor meer informatie op ferm-rotterdam.nl/lid-worden
Aan deelname is altijd een kosteloze proefperiode verbonden.

En wist je dat je als participant mee kunt doen aan onze cybercrisistrainingen in mei en Cybernautics-FERM in juni? Volgens experts uit het veld is de waarde van de training en de oefening gelijk aan het tienvoudige van je deelname aan FERM. Directe value for money dus! | Lees meer op ferm-rotterdam.nl/cybernautics

Vind FERM ook op LinkedIn | Twitter

Deel dit bericht