In de Rotterdamse haven heeft op donderdag 2 november een grootscheepse cyberoefening plaatsgevonden. Onder de naam ‘CyberNautics2017’ hebben verschillende partijen die in de haven betrokken zijn bij de afwikkeling van het scheepvaartverkeer gezamenlijk hun cyberweerbaarheid getest.
Als grootste zeehaven van Europa ontvangt de Port of Rotterdam jaarlijks bijna dertigduizend zeeschepen en meer dan honderdduizend binnenvaartschepen. Bij al dat verkeer zijn veel partijen betrokken, waaronder Divisie Havenmeester Rotterdam, de rederijen en terminals, het Loodswezen Rotterdam-Rijnmond, de Koninklijke Roeiers Vereeniging Eendracht, sleepdiensten en de Douane.
Het scheepvaartverkeer in de Rotterdamse haven is door de rijksoverheid als vitaal proces benoemd. Dat betekent dat het voor Nederland van groot belang is dat deze afwikkeling zo goed en vlot mogelijk verloopt. Dat was in april het startpunt van een collectieve crisisaanpak op het gebied van cyber in de Rotterdamse haven. ‘CyberNautics2017’ is een mijlpaal in die ontwikkeling, bedoeld om ondernemingen en bewuster en weerbaarder te maken voor digitale dreigingen. De uitkomsten worden geanalyseerd en de lessen hieruit worden gedeeld met de deelnemers, dit verslag is bedoeld als eerste terugblik.
FOCUS VAN DE OEFENING
CyberNautics is gericht op de structuur en werkwijze die binnen de Rotterdamse haven wordt gehanteerd bij een (cyber)crisis met effecten op de nautische en logistieke keten. Om alle informatiestromen in deze keten in goede banen te leiden, worden diverse applicaties, databases en systemen gebruikt. De partijen in de haven zijn sterk van elkaar afhankelijk in informatie-uitwisseling. Een cyberaanval op of ICT-verstoring van één van de schakels in die keten heeft daardoor potentieel grote gevolgen voor de hele haven.
Wanneer zich een ICT- of cyberincident voordoet dat inderdaad gevolgen heeft voor meerdere ketenpartijen in de haven en overleg over nautische en logistieke gevolgen en maatregelen nodig is, wordt een Nautisch Crisisteam (NCT) geactiveerd. In het NCT zijn partijen uit de haven vertegenwoordigd.
Hoewel een verstoring een solide ICT-aanpak vraagt, is er voor het aanpakken een robuuste crisisorganisatie nodig die niet alleen toeziet op een technische oplossing, maar ook aandacht heeft voor de diverse keteneffecten en waarin overzicht, verbinding en samenwerking centraal staan.
SCENARIO
Zonder teveel in de details van de daadwerkelijke oefening te treden, is het interessant om kort naar het scenario te kijken. De basis daarvan wordt vanzelfsprekend gelegd met een cyberaanval en de verstrekkende gevolgen daarvan, maar dát de Rotterdamse haven onder vuur ligt, wordt niet direct duidelijk. Het is aan het NCT om vanuit de initiële storingen en calamiteiten naar een crisissituatie op te schalen waarin er niet simpelweg met een ICT-incident omgegaan wordt, maar met een daadwerkelijke aanval van buitenaf.
De oefening startte concreet met de mededeling dat er twee dagen eerder is ontdekt dat data in HaMIS niet overeen kwam met de daadwerkelijke situatie. HaMIS is het havenmanagementsysteem voor het administreren, begeleiden en inspecteren van de scheepsbezoeken.Enkele uren voor de start van de oefening is bij het HCC de melding binnengekomen van het Loodswezen dat enkele schepen de verkeerde afmeerlocatie hebben doorgekregen. Dit is de aanleiding om het NCT bijeen te roepen voor overleg.
Tijdens de eerste ronde van de oefening bleek data in HaMIS gemanipuleerd te zijn. Bij aanvang van de tweede ronde merken agenten dat zij een foutmelding ontvangen wanneer zij in Portbase een ‘melding schip procedure’ willen afronden. Kort daarna valt HaMIS uit, naar het lijkt voor langere tijd. Dan komt de cyberaanval aan het licht: er wordt een nieuw ransomware virus ontdekt dat zich heeft verspreid en de processen in de haven ernstig heeft ontregeld.
DOEL
Het scenario moet het NCT in werking stellen en ruimte bieden aan betrokkenen om hun rol en taken te kunnen oefenen. Het cyberincident raakt daarom een informatieknooppunt waarvan meerdere organisaties qua informatievoorziening afhankelijk zijn. Zowel administratieve als fysieke processen in de haven worden er door geraakt, waarna het NCT samen met de ketenpartijen tot een integraal beeld van de situatie moet komen om op basis daarvan een gezamenlijke aanpak te ontwikkelen. Het NCT ziet daarbij als tactisch/strategisch crisisteam toe op de uitvoering van de operationele aanpak in de haven en coördineert de samenhang.
Het NCT stelt prioriteiten bij knelpunten en dilemma’s in de haven en is het centrale aanspreekpunt voor externe crisisteams, waar ook de NCSC en de VRR onderdeel van uitmaken. Zo is het NCSC binnen de Nederlandse overheid het expertisecentrum en informatieknooppunt voor cybersecurity. Zij bemannen daartoe onder andere een 24/7 meldpunt voor cyberincidenten. Bij een eventuele dreiging of aanval wordt hulp geboden in de vorm van expertise, advies, probleemanalyse en inzet van gespecialiseerde responsmedewerkers.
Wanneer een (cyber)incident in de haven gevolgen heeft voor de openbare orde en veiligheid, zal de Veiligheidsregio Rotterdam-Rijnmond (VRR) naar aard en omvang van het incident ook opschalen en de crisisaanpak coördineren. Het bevoegd gezag van de veiligheidsregio is de (regio)burgemeester. Als de VRR is opgeschaald zal het NCT informatie uitwisselen en maatregelen afstemmen.
RESULTATEN CYBERNAUTICS2017
Van organisaties wordt tijdens een crisis veel gevraagd. Zeker in geval van het onverwachte is een goede voorbereiding het halve werk. Want hoewel je niet op alles kunt anticiperen, heb je de verantwoordelijk om goed beslagen ten ijs te komen. Als de cyberaanval in juni iets duidelijk gemaakt heeft, is het dat de Rotterdamse haven een zeer realistisch doelwit is. Maar de hack bij APM-T heeft ook de kwetsbaarheid van de haven blootgelegd. We hebben de leerpunten voor de Divisie Havenmeester van deze crisis meegenomen in de ontwikkeling van de crisisaanpak. Hoewel de aanval beperkt bleef tot één onderneming, is het van belang gebleken dat niet alleen individuele bedrijven, maar ook ketens van ondernemingen inzicht hebben in hun digitale afhankelijkheden en wat zij kunnen en moeten doen in geval van nood.
ROL VAN HET NAUTISCH CRISISTEAM (NCT)
De rol van het NCT is om met ketenpartners tot een integraal beeld van de situatie te komen en op basis hiervan een gezamenlijke crisisaanpak (maatregelen en acties) te formuleren. Gedurende de oefening zag het NCT toe op de operationele crisisbeheersing in de Rotterdamse haven en werd de onderlinge samenhang gecoördineerd. Het NCT stelde prioriteiten bij knelpunten en dilemma’s en vormde de liaison met het regionale crisisteam zoals gecoördineerd door de VRR, het NCSC en het Nationaal Crisis Centrum.
Die rol kan samengevat worden op basis van de volgende taken:
- Verzamelen en verwerken van informatie;
- Samenstellen van een situatiebeeld (logistiek en nautiek);
- Samenstellen van een omgevingsbeeld (media en maatschappij);
- Afstemmen en vormgeven van een crisisaanpak voor de haven (welke maatregelen kunnen we nemen om de crisis te beheersen?);
- Signaleren en oplossen van knelpunten (met name logistiek en nautiek);
- Afstemmen en formuleren van een communicatiestrategie voor de haven;
- Identificeren en informeren van relevante stakeholders, zowel intern als extern;
- Afstemmen en informatie uitwisselen met de crisisteams van de Veiligheidsregio Rotterdam-Rijnmond en de Rijksoverheid.
Omgaan met stress en tijdsdruk lukt beter wanneer je goed bent voorbereid: wanneer je hebt nagedacht over je business continuity. Wanneer je beschikt over een crisisorganisatie die is getraind en heeft geoefend met crisissituaties. Crisismanagement is in de eerste plaats ‘samen sterk’, zoals FERM. Dat bereikten we met een gezamenlijke inzet van het Havenbedrijf, het bedrijfsleven en de diverse hulpdiensten.
We zijn vandaag de dag in toenemende mate afhankelijk van elkaar in de onderlinge informatie-uitwisseling, wat tijdens de oefening eens te meer duidelijk werd. Een belangrijk leerpunt van de cyberhack in juni was dat er behoefte is aan contact over de situatie, de logistieke en nautische effecten, de communicatie, et cetera. Het contact kwam vrij ad-hoc tot stand en via veel verschillende contactpersonen. Dat contact is gestroomlijnd in de crisisaanpak.
Port Cyber Resilience Officer René de Vries tot slot: ,,Met grote tevredenheid kijk ik terug op de oefening CyberNautics 2017. Een mooi sluitstuk van een traject waar we in gezamenlijkheid de digitale afhankelijkheden van het scheepvaartproces in beeld hebben gebracht.”
,,Ik dank alle deelnemers voor hun enthousiasme en hun betrokkenheid!”
Vind FERM ook op LinkedIn
