Interview met Arjen Littooij Algemeen directeur Veiligheidsregio Rotterdam-Rijnmond, uit het onlangs verschenen boek Cyber aan de Maas

De Veiligheidsregio Rotterdam-Rijnmond kan jouw volgende grote digitale verstoring niet voorkomen, stelt algemeen directeur Arjen Littooij. “Wij kunnen er wel op wijzen dat het nodig is je digitale poort net zo goed te beschermen als je fysieke poort. En als er een crisis uitbreekt, dan zijn wij er uiteraard om de effecten ervan te bestrijden. Wat het alleen zo lastig maakt, is dat de crises van nu andere gevolgen hebben dan de klassieke crises.

“Wij wonen en werken in het gebied met het hoogste risicoprofiel van ons land. Altijd hebben we ons in ons werk geconcentreerd op fysieke dreigingen in en op haven, stad, wegen en luchthaven, maar er is een nieuwe dreiging en dat is cyber, of liever digitale verstoring. Dit staat hoog op de risicokaart van de veiligheidsregio. Niet omdat wij een hack bij een bedrijf kunnen helpen voorkomen, want daar zijn wij niet voor. Maar wel omdat verstoringen gevolgen hebben voor alles en iedereen in onze regio. Wanneer de veiligheid in gedrang komt, gaan wij aan de slag. Dus die gevolgbestrijding, daar zijn wij wel van.

Kijk naar de grote hack in 2017 van de Maersk terminal op de Maasvlakte. Wat volgde was een kettingreactie in de hele logistieke keten van Europa. De vraag die wij op dat moment moeten beantwoorden, waar wij op moeten handelen, is wat die digitale verstoring betekent voor de veiligheid in onze regio. Ik zie dat we in deze regio die gevolgen, ook na deze hack, nog altijd onderschatten. Er is een natuurlijke neiging bij bedrijven alleen naar zichzelf te kijken en veel te weinig oog te hebben voor de effecten op de omgeving. Dat bemoeilijkt ons werk.”

Rimpeleffect

“Hoe het rimpeleffect voor je omgeving werkt, zagen we bij de grote brand die Vodafone in 2012 trof. Het was niet Vodafone waar de brand ontstond, maar er was onvoldoende rekening gehouden met de buren in het pand waar ze gehuisvest waren. Een brand bij de buren leidde vervolgens tot een verstoring van het telefoonnet die dagenlang duurde.

Voor mij is cyberveiligheid een domein waar precies hetzelfde gebeurt. Als een bedrijf al kijkt naar de eigen veiligheid, dan kijkt ze over het algemeen niet over de schutting naar de buren. Ook al is dat nu juist cruciaal om onze veiligheid écht goed te organiseren. FERM probeert die plek te zijn waar je van elkaar kunt leren door ervaringen en kennis te delen: dat dwingt je om verder te kijken dan tot je eigen digitale voordeur.”

Geopolitieke verbanden

“Cybercriminaliteit mogen we niet onderschatten. De Rotterdamse haven ligt continu onder vuur van criminele actoren en statelijke actoren die proberen de boel te ontwrichten. Voor hun eigen gewin of voor een betere concurrentiepositie van het land waarvoor ze werken. Vergis je niet, toen de Nederlandse minister van Defensie aankondigde dat ons land F16’s gaat leveren aan Oekraïne zagen wij een toename van het aantal aanvallen op bedrijven in deze regio. We kunnen dit soort geopolitieke verbanden niet langer negeren. Daar moeten we alert op zijn en het is wellicht geen slecht idee om deelname aan FERM minder vrijblijvend te maken dan nu het geval is.

Ik vind dat er op dit moment te weinig bedrijven lid zijn van FERM om goed met elkaar op te kunnen trekken in onze gezamenlijke strijd tegen cybercriminaliteit. Natuurlijk lost FERM je probleem niet op, maar het helpt jouw bedrijf en ons allemaal in het weerbaarder maken van de Rotterdamse haven tegen cyberaanvallen. Aanvallen die in aantallen blijven toenemen, alleen al door de opkomst van artificial intelligence. Het wordt gewoon steeds eenvoudiger om bij bedrijven binnen te komen.”

“FERM probeert die plek te zijn waar je van elkaar kunt leren door ervaringen en kennis te delen: dat dwingt je om verder te kijken dan tot je eigen digitale voordeur.”

Arjen Littooij Algemeen directeur Veiligheidsregio Rotterdam-Rijnmond

Zwarte zwaan

“De vraag is hoe we de zwakste schakel in de keten met zijn allen kunnen verstevigen. Dat is volgens mij de opgave waar we voor staan. Om het simpele feit dat we allemaal aan elkaar vastzitten. We zijn zo verweven met elkaar, dat je niet meer in je eentje kunt opereren. We weten dat er een omvangrijke digitale ontwrichting aan zit te komen. Dit is een van de grote crises van onze nabije toekomst, alleen weten we niet wanneer deze crisis zich precies voordoet. Maar als die hack van de Maersk terminal een tipje van de sluier is, dan staat ons iets zeer omvangrijks te wachten.

Binnen het veiligheidsdomein noem je zo’n ongekende crisis een zwarte zwaan: je moet je voorbereiden, al weet je niet precies wat er op je afkomt. Dat betekent dat digitale verstoring op de directietafel van élk bedrijf en élke instantie thuishoort. Dat staat het bij ons ook en daar handelen we naar. Zo hebben wij ook onze systemen laten testen en, ik vond het confronterend. De digitale veiligheid bleek een watermeloen: hard aan de buitenkant en zacht van binnen. De zwakste schakel was de mens. Het liet ons zien dat je met veiligheidsmaatregelen alleen er niet bent. Je moet net zo goed investeren in het gedrag van je medewerkers.

We zijn onmiddellijk aanvullende maatregelen gaan nemen en sommige waren eenvoudig om door te voeren: compartimentering, redundantie in je maatregelen. En we zijn nog meer gaan oefenen om het menselijk falen er ook zo veel mogelijk uit te halen. Want zoals het gezegde luidt: if you think safety is expensive, try an accident. Soms vraag je je af waarom je zoveel investeert in zaken als beveiliging en gedragsverandering, maar je moet. De kosten als het misgaat, zijn echt niet te overzien.”

Veel te winnen

“En als die crisis uitbreekt, is onze rol eenvoudig: dan zijn wij aan zet om te kijken of we die crisis in kunnen dammen. Of we het beheersbaar kunnen maken door de effecten te bestrijden. Daarin nemen wij het voortouw. Maar dan heb ik het dus over de effecten; wij zijn niet de oplossing van je probleem.

Om ons werk goed te kunnen doen, hebben we transparante samenwerking nodig. Daarmee bedoel ik een situatie waarin bedrijven in vertrouwelijke setting durven te vertellen wat er gebeurd is zonder angst op gezichtsverlies of andere reputatieschade, zodat wij samen kunnen handelen. Er is nou eenmaal een gigantisch netwerk van onderlinge afhankelijkheden, een verstoring in dat netwerk levert iedereen in dat netwerk problemen op. En helaas zie ik dat er nog veel te winnen is als het gaat om de bewustwording dat we informatie moeten delen in de keten.

Kijk alleen maar naar de deelname aan FERM. Nog lang niet alle bedrijven zijn daarbij aangesloten, terwijl je er echt voor een dubbeltje op de eerste rang zit als het gaat om het delen van informatie en kennis rond cyberveiligheid. Wat ik niet wil, is dat bedrijven zich pas aansluiten nádat zich bij hen een crisis heeft voltrokken. Dan ben je te laat. Cyber is geen ver-van-je-bedshow; het overkomt vandaag je buurman, morgen kan het zomaar jouw beurt zijn. Leg dus niet alleen goede sloten op je poorten, zorg ervoor dat ook de digitale poorten goed afgesloten zijn.”

Bovenstaand artikel komt uit ‘Cyber aan de Maas‘, een boek dat FERM samen met partners, participanten en andere organisaties en bedrijven uit het havengebied heeft ontwikkeld. Fotografie: Roderik van Nispen.

‘Cyber aan de Maas – Digitale weerbaarheid in de Rotterdamse haven’ is per direct verkrijgbaar. Neem contact op met contact@ferm-rotterdam.nl voor meer info, of om direct een bestelling te plaatsen.

Sluit je aan bij FERM

Blijf alert. Installeer updates en let op phishing mails. Gebruik MFA. En – voor alle bedrijven in de Rotterdamse haven – sluit je aan bij FERM. Zodat je daarnaast ook acute dreigingsinformatie kunt ontvangen, vragen kunt stellen aan de vertrouwde community om je heen, en ondersteund kunt worden in de stappen richting NIS2.

Kijk voor meer informatie op ferm-rotterdam.nl/lid-worden
Aan deelname is altijd een kosteloze proefperiode van 3 maanden verbonden.
Ook krijg je direct en zonder voorwaarden een voucher van 500 euro voor diensten uit ons portfolio.

En wist je dat je als participant mee kunt doen aan onze cybercrisistrainingen in mei en Cybernautics-FERM in juni? Volgens experts uit het veld is de waarde van de training en de oefening gelijk aan het tienvoudige van je deelname aan FERM. Directe value for money dus! | Lees meer op ferm-rotterdam.nl/cybernautics

Vind FERM ook op LinkedIn | Twitter

Deel dit bericht