Vanmiddag vond de laatste editie van het FERM Port Cyber Café van dit kalenderjaar plaats. Geen hybride sessie helaas, maar vanuit de actuele maatregelen weer een vertrouwde virtuele bijeenkomst, zoals altijd -en net zo vertrouwd- geleid door Chris van ’t Hof. Samen met gastsprekers van onder meer FERM-partner DCMR en FERM-participanten Shell en Vopak stonden we stil bij cyberveiligheid bij gevaarlijke stoffen. We komen voor deze laatste editie van 2021 graag weer met jullie samen voor een digitale bijeenkomst. Gezien de laatste maatregelen van de overheid zal het weer een volledig virtuele bijeenkomst zijn.

Cyberveiligheid bij gevaarlijke stoffen

Regelmatig is wereldwijd sprake van cyberaanvallen bij bedrijven, onderwijs-instellingen en overheden. Dat roept de vraag op hoe kwetsbaar bedrijven zijn die met gevaarlijke stoffen werken. Daarom heeft Fox-IT in opdracht van DCMR Milieudienst Rijnmond onderzocht hoe het staat met de digitale weerbaarheid bij de risicovolle bedrijven in het eigen werkgebied.

In september, daags na de vorige editie van het Port Cyber Café, heeft DCMR de resultaten van dat onderzoek gepubliceerd. Daaruit is gebleken dat bij een relatief groot deel van de onderzochte bedrijven, ook in de Rotterdamse Haven, de aandacht voor cybersecurity verder versterkt moet worden. Je leest hier meer over het onderzoek, waar inmiddels ook Kamervragen over gesteld zijn. Tijdens onze bijeenkomst vanmiddag werden de onderzoeksresultaten verder toegelicht.

Voor dat we naar dat onderzoek gingen, hadden we eerst een korte intro door Evelien Bras, onze directeur. Die bracht onder meer het mooie nieuws dat DCMR met directe ingang is toegevoegd aan ons fraaie rijtje publieke partners. Naast Havenbedrijf Rotterdam, Deltalinqs, Politie en Gemeente Rotterdam en natuurlijk Veiligheidsregio Rotterdam-Rijnmond is nu ook DCMR Milieudienst Rijnmond een van onze publieke steunpilaren! DCMR houdt zich onder meer bezig met vergunningverlening, toezicht & handhaving, monitoring en (data)kennis, advisering en incident- en crisisbestrijding.

Puur toeval, deze timing – maar aansluitend was het podium voor Ramón Dohmen, adviseur cybersecurity van DCMR!

Digitale weerbaarheid bij risicovolle bedrijven

Vanuit de bevindingen van het onderzoek zijn overheid en bedrijfsleven met elkaar in gesprek om te bekijken welke best practices al worden toegepast en moeten worden ontwikkeld om bijvoorbeeld oneigenlijke toegang tot de operationele besturingssystemen te voorkomen, en daarmee de kans op een incident als gevolg van een hack klein te houden. Daarbij wordt uiteraard gebruik gemaakt van de bestaande regionale en landelijke cybersecurity en veiligheidsinitiatieven (waaronder FERM, maar ook de Olie & Chemie ISAC- en Safety Delta Nederland) om informatie te delen over de cyberdreigingen, de risico’s hiervan en hoe deze te beheersen.

Ook verschillende bedrijfsbranches ondernemen met hun leden acties om te zorgen dat cybersecurity structurele aandacht krijgt zodat de juiste maatregelen kunnen worden genomen. Al deze acties moeten leiden tot een digitaal weerbare sector. DCMR zal samen met zijn BRZO+-partners – Inspectie Sociale Zaken en Werkgelegenheid, de Veiligheidsregio’s en Rijkswaterstaat – kijken hoe we de bij dit onderzoek opgedane kennis en andere (nationale en Europese) handreikingen, kunnen vertalen naar handelingsperspectief voor bedrijven.

Maar wacht eens, BRZO? Wat is dat ook weer? Concreet staat dat voor ‘Besluit risico’s zware ongevallen’, wat betrekking heeft op bedrijven die met veel gevaarlijke stoffen werken. Ramón neemt ons daartoe even mee in de geschiedenis; op 10 juli 1976 vond in Meda, Italië een zware ontploffing plaats bij een productielijn van trichloorfenol, wat leidde tot nieuwe, Europabrede regelgeving, de voorloper van de huidige BRZO 2015. Het BRZO 2015 stelt eisen aan de meest risicovolle bedrijven in Nederland ten aanzien van de preventie en de beheersing van de gevaren van zware ongevallen waarbij gevaarlijke stoffen betrokken zijn.

Voor het onderzoek werden 70 BRZO-bedrijven aangeschreven, waarbij 39 respondenten in totaal 33 vragen verdeeld over 4 categorieën heeft beantwoord: Governance, Preventie, Detectie, Response. Ook werd bij een deel van hen een aantal diepte-interviews uitgevoerd. De hoofdvraag: hoe volwassen zijn de maatregelen per niveau?

Enkele overkoepelende resultaten:
– de volwassenheidsscore verschilt sterk per bedrijf, maar: hoe groter, hoe volwassener;
– 25 procent van de respondenten is onvoldoende in staat om risico’s te mitigeren;
– cybersecuritymaatregelen voor OT lopen achter op IT;
– 33 procent heeft de OT-omgeving niet geïsoleerd (of weet niet of dat zo is);
– 25 procent van de bedrijven heeft een hoge volwassenheid;
– de diepte-interviews lieten overwegend datzelfde beeld zien.

Een aantal grote bedrijven geeft concreet invulling aan cybersecurity en heeft maatregelen genomen. Een aantal andere bedrijven weet echter niet om te gaan met cyberdreigingen. Zij moeten worden geholpen om digitaal weerbaar te worden.

Let wel: met dit onderzoek is niet aangetoond dat er acuut gevaar is voor het ontstaan van zware ongevallen. Een tweede kanttekening heeft betrekking op het onderdeel Toezicht; cybersecurity bij risicovolle bedrijven is niet specifiek benoemd in wet- en regelgeving zoals BRZO. Om die reden is er onduidelijkheid over welke inspectiedienst toezicht moet houden. Betrokken ministeries en provincies starten daarom een project gericht op een boost van bewustwording (bij zowel bedrijven als overheid) en een juridisch onderzoek naar mogelijkheden binnen vigerende wet- en regelgeving.

Hoe verder? DCMR legt de onderwerpen waaraan met voorrang gewerkt wordt vast in een Meerjarenprogramma 2021-2024. Het rapport ‘Eindrapportage cybervolwassenheidsonderzoek’ is hier in te zien en te downloaden.

Cybersecurity in OT/ICS

Voor het tweede gedeelte van de bijeenkomst switchen we naar Engels, want we gaven de microfoon aan Michael Weng in Kopenhagen, Principal Security Consultant bij de NCC Group (waar Fox-IT ook onderdeel van is) en gespecialiseerd in OT/ICS. In zijn presentatie nam hij eens mee in zijn ervaringen binnen zijn laatste 10 jaar in cybersecurity voor onder meer Pharma, Oil&Gas, Critical Infrastructure, Chemicals en Mining.

Een vraag als aftrap: ‘Waarom cybersecurity?’. Om dat te beantwoorden noemt Michael een aantal concrete aanleidingen, waaronder cybercrime (ransomware, CEO-fraude), industriële spionage, hacktivisme (politiek gemotiveerd) en random ‘script kiddies’, die zich om allerlei redenen mengen op het cybertoneel.

In de categorie cybercrime maakt hij onderscheid tussen ‘computer assisted crime’ (zoals fraude, spionage en terrorisme) en ‘computer aimed crime’ (zoals hacking, DoS-aanvallen en malware). Door naar cybersecurity in OT/ICS heeft Michael het over CIA (Confidentiality, Integrity, Availability – of AIC, als je een andere volgorde wil hanteren), de verschillende onderdelen waar je binnen het domein OT/ICS op kunt focussen. Wat hij daarmee wil aangeven, is dat er op management- en organisatieniveau besloten moet worden waar de prioriteiten liggen, gegeven het feit dat preventieve maatregelen vroeg of laat een keer tekortschieten. Dat bewustzijn begint bij Know Your Network, weten wat je hebt: ‘You can’t defend what you don’t know you have’. Wil je monitoren wat er speelt en waar de (potentiële) dreigingen vandaan komen, zorg dan dat het volledige netwerk naar behoren in kaart is gebracht én dat je weet waar de kwetsbaarheden zitten. In de woorden van Sun Tzu (The Art of War): “If you know the enemy and know yourself, you need not fear the results of a hundred battles…”

De uitdagingen binnen de veiligheid en bescherming van OT/ICS houden daar niet op. Michael noemt onder meer het bestaand van oude systemen (legacy technologies), onvoldoende ondersteuning vanuit management (onvoldoende begrip), beperkte kennis van het vakgebied en de ontwikkelingen daarin, en beperkte capaciteit (met andere woorden, (te) veel verantwoordelijkheid en taken bij een (te) klein team.

Een tip van Michael tot slot: ‘Assume breach, always. ‘Companies and individuals will be attacked sooner or later and get compromised/breached. It can’t be stopped! All companies are interesting, have a value, and can & will attract attention from attackers eventually.’ Dus: ga altijd uit van de mogelijkheid van een databreuk. Iedere organisatie is een relevant, potentieel en zelfs waarschijnlijk doelwit, dus een aanval (en het hopelijk succesvol afweren daarvan) is onvermijdelijk.

Reacties op het DCMR-onderzoek

In het derde en laatste blokje van vanmiddag grepen we terug naar het eerste gedeelte, namelijk het onderzoek dat DCMR heeft laten uitvoeren en de reacties vanuit de industrie. Daartoe schoof Maarten Oosterink van FERM-participant Shell bij Chris aan tafel aan, om samen met onze gastheer te bespreken hoe een organisatie zoals FERM kan helpen bij de noodzakelijke stap die bedrijven in onze branche moeten zetten om gehoor te geven aan de ondubbelzinnige conclusie dat de weerbaarheid verder versterkt moet worden.

“Je ziet dat cybersecurity voor veel partijen toch nog altijd een ver-van-m’n-bed-show is”, zei Maarten om te beginnen. “Binnen de BRZO-wereld zijn er volop kleine bedrijven die wel serieuze risico’s lopen, maar waarbij het op zich niet vreemd is dat de capaciteit of de kennis onvoldoende is om de cybersecurity op orde te hebben.”

Bovendien is het niet vanzelfsprekend dat grote bedrijven, waaronder degenen die hun volwassenheid op orde hebben, grotere risico’s lopen. Ook de kleinere partijen zijn doelwit, zoals ook Michael Weng zojuist betoogde. “Daarom is het van groot belang dat een partij zoals FERM daarin ondersteuning biedt.”

Een vraag uit het publiek tussendoor: is er een relatie tussen BRZO en de vitale sector (zoals door de AIVD ingekaderd om vooral dreigingen in sectoren en processen die van vitaal belang zijn voor Nederland in kaart te brengen, red.).

Maarten: “Er is geen directe relatie, maar er is zeker een overlap tussen diverse BRZO-bedrijven en organisaties en infrastructuren die als vitale sector worden gezien.”

Aansluitend werd er gesproken over de implicaties van het rapport en de logische vervolgstappen van DCMR, maar ook van de overheid en een collectief zoals FERM. “Samenwerking is daarin cruciaal. Elkaar helpen, want iedereen is daarbij gebaat.” Samen staan we FERM? “Zeker, volg de Port Cyber Café’s en sluit je aan bij FERM, want daar worden de handvatten uitgereikt en de eerste stappen gezet om de cyberweerbaarheid collectief op orde te krijgen.”

In diezelfde lijn sluit Evelien de laatste Port Cyber-bijeenkomst van 2021 af. “Nog even terug naar de conclusie, zijnde ‘grote bedrijven hebben het op orde, een aantal anderen moet echt nog aan de slag’; hoe doe je dat, en waar begin je? Ik denk dat we daaraan toe moeten voegen dat toezicht een belangrijke rol gaat krijgen, omdat cyberweerbaar-zijn zelfs qua wetgeving mogelijk verplicht gaat worden.” Dat zagen we deze week nog in een stuk van het AD over de NIS-2 directive (regelgeving vanuit Europa), waarbij we nog maar eens willen adviseren om je daar tijdig op voor te bereiden. Vanuit FERM bieden we volop praktische handreikingen, dus doe daar je voordeel mee.”

Over de FERM Port Cyber Café’s
FERM is onderdeel van het Port Cyber Resilience Programma. Doel van het programma is het stimuleren van samenwerking tussen bedrijven in de Rotterdamse haven en het verhogen van het bewustzijn met betrekking tot cyberrisico’s om zo de best digitaal beveiligde haven van de wereld te worden. De FERM Port Cyber Cafés zijn bedoeld om met experts uit het vak samen in een informele setting dieper in een actueel onderwerp rond cybersecurity in het Rotterdamse Havengebied te duiken.

Je leest alle verslagen van de voorgaande bijeenkomsten op ferm-rotterdam.nl/port-cyber.

Vandaag was de laatste editie van 2021, maar de vijf donderdagen van komend jaar mogen alvast in de agenda: 10 maart, 14 april, 30 juni, 15 september en 17 november 2022.

Sluit je aan bij FERM

Blijf alert. Installeer updates en let op phishing mails. Gebruik MFA. En – voor alle bedrijven in de Rotterdamse haven – sluit je aan bij FERM. Zodat je daarnaast ook acute dreigingsinformatie kunt ontvangen, vragen kunt stellen aan de vertrouwde community om je heen, en ondersteund kunt worden in de stappen richting NIS2.

Kijk voor meer informatie op ferm-rotterdam.nl/lid-worden
Aan deelname is altijd een kosteloze proefperiode verbonden.

En wist je dat je als participant mee kunt doen aan onze cybercrisistrainingen in mei en Cybernautics-FERM in juni? Volgens experts uit het veld is de waarde van de training en de oefening gelijk aan het tienvoudige van je deelname aan FERM. Directe value for money dus! | Lees meer op ferm-rotterdam.nl/cybernautics

Vind FERM ook op LinkedIn | Twitter

Deel dit bericht