Een varend schip is een varende bom. Met het opschuiven van de maritieme sector richting de digitale wereld is het ontwikkelen van cyberveiligheidsvoorschriften daarom tegelijk een dringende noodzaak als een grote punt van zorg.
Het kasteel van de wereldeconomie heeft een zwakke plek: de maritieme industrie, met het accent op de zéévaart, op de schepen op zee. Met de constatering dat de bewustwording rondom security in de maritieme wereld toeneemt, komt tegelijk aan het licht dat deze sector unieke uitdagingen kent. Immers, in geval van een cyberhack staat de rederij niet voor enkel falende security en zo mogelijk financiële schade, maar ook voor veiligheidsproblemen rond het schip en de bemanning, waarna ook nog eens het milieu volgt.
Dat ook de maritieme industrie niet gevrijwaard blijft van aanvallen, bevestigen bevindingen van Bureau Veritas, het Parijse classificatiebureau met ook een vestiging in Amsterdam. In een recente rapportage staan twee it-rampen te boek als wake-up calls. Ronduit een shock was de NotPetya-aanval op de Deense containergigant Maersk Line in juni 2017. De rekening: driehonderd miljoen dollar (de werkelijk schade zal een factor hoger liggen) en de vervanging van vrijwel het complete it-systeem, bestaande uit een slordige vierduizend servers, 45.000 pc’s en 2.500 applicaties. Topman Jim Hagemann Snabe gaf achteraf toe dat de beveiliging van de Maersk-systemen voor de aanval van ‘gemiddeld niveau’ was.
De wekker ging een jaar later, juli 2018, voor een tweede keer af. Nu was het de beurt aan de Amerikaanse tak van de Chinese scheepsmultinational Cosco Shipping Lines. Een hackersaanval legde de operaties van het bedrijf volledig lam waarna de communicatie met klanten, leveranciers, terminals, maar óók met de schepen wegvielen. Niet dat er opeens bommen op zee ronddobberden, maar dat de maritieme industrie op de radar van cybercriminelen staat, zoveel werd duidelijk.
Chaos en vernietiging
Dat de stap naar ‘een varende bom’ overigens niet groot is, is op te maken uit de woorden van topman Itai Sela van het Israëlische beveiligingsbedrijf Naval Dome. In een lezing op de Singapore Maritime Technology Conference stelde hij onomwonden vast dat cybercriminelen zeer serieus bezig zijn de scheepvaart onder vuur te nemen. ‘Door het infecteren van computers op hoofdkantoren van scheepvaartbedrijven die in direct contact staan met schepen, zouden criminelen het scheepvaartverkeer in het honderd kunnen laten lopen en schepen zelfs als wapen kunnen gebruiken om in havens chaos en vernietiging teweeg te brengen’, aldus Sela. Hij voegt eraan toe dat de scheepvaart het overgrote deel van de brandstoffen, grondstoffen en goederen vervoert waarop de wereldeconomie draait. Ofwel een succesvolle cyberaanval heeft verstrekkende gevolgen.
Hij heeft een punt, zeker omdat het niet bijzonder ingewikkeld is een schip digitaal te kapen, zoals ook blijkt uit het genoemde rapport van Bureau Veritas. Aanzienlijke zwakheden van de cyberveiligheid, aldus het bureau, liggen in de kritieke technologieën nodig voor de navigatie. Zoals het GNSS (Global Navigational Satellite Systems (GNSS), waarvan gps een onderdeel is, maar ook het Europese Galileo, het Russische Glonass en het Chinese BeiDou. Daarnaast bestaat het AIS (Automatic Identification System), een wereldwijd systeem om schepen te identificeren en te volgen. Detail: de communicatie die via het AIS verloopt, is in het geheel niet versleuteld. Verder nog het ECDIS (Electronic Chart Display Information System), wat in de kern een computer is om zeekaarten te bekijken, draaiend op kwetsbare besturingssystemen, niet zelden Windows XP of ouder (!). Niet minder ongevoelig is het ICS (Industrial Control System) dat de machines aan boord van het schip aanstuurt en verbonden is met het (zwakke) netwerk.
Data manipuleren
Een dergelijke omgeving maakt het voor hackers mogelijk de data te manipuleren teneinde een botsing tussen schepen of met de wal te forceren of nepnoodsignalen uit te zenden en nepschepen te plaatsen om een schip naar een bepaalde locatie te lokken. Ook is via de elektronica door te dringen tot de scheepsmotoren, om bijvoorbeeld het mengproces van de brandstoffen te beïnvloeden of om ze te oversturen.
Er gloort hoop. De Internationale Maritieme Organisatie (IMO) noch nationale autoriteiten mogen dan specifieke cyberveiligheidsvoorschriften hebben ontwikkeld voor de maritieme sector, dat gaat in de nabije toekomst veranderen. Vanaf 2021 worden de vereisten inzake cyberbeveiliging zoals dat heet ‘geformaliseerd’ in het – leest u even goed mee – Internationaal Verdrag voor de Beveiliging van Mensenlevens op Zee. Hoewel er nog tal van details over het verdrag zijn te melden, is het punt gemaakt: de koppeling tussen cyberrisicobeheer en een mensenleven.
Fortinet
Een bedrijf dat – om begrijpelijke redenen – begaan is met deze twee grote thema’s is Fortinet. Wat heet, Fortinet organiseerde enkele maanden terug het Cyber Security & Innovations in Maritime-event om de ontwikkelingen op het gebied van maritieme cybertrends te schetsen. Spreker daar was Robert Tom, systems engineer bij de cyberbeveiliger. Hij bevestigt dat het ons niet moet verbazen dat cybercriminelen het ook op de maritieme industrie hebben gemunt. ‘Deze branche vertegenwoordigt miljarden dollars en maar liefst tachtig procent van alle goederen wordt via shipping getransporteerd.’
Volgens Tom bestaan er veel motieven waarom cybercriminelen systemen aanvallen en een groot deel daarvan is gelijk aan die in het bedrijfsleven. ‘Er zijn in het maritieme segment echter ook specifieke motieven. Denk daarbij aan piraterij, activisme en spionage.’ Wie Tom vraagt uit welke hoek de bedreigingen komen, moet pen en papier meenemen. Behalve statelijke actoren noemt hij criminelen, terroristen, piraten, de georganiseerde misdaad, activisten, hacktivisten, cybercriminelen, spionnen, concurrenten, illegale vissers en zelfs werknemers, contractors en partners.
Minutenwerk
Ook Tom beaamt dat het geen rocket science is om bij de aan-boordsystemen te komen. ‘Toegang krijgen gebeurt vaak via malware, waaronder ransomware, dat op diverse manieren naar binnen is te brengen. Maar vaak is malware niet eens nodig, gezien de vele kwetsbaarheden in de systemen en software. We zien ook dat er veel standaardgebruikersnamen en -wachtwoorden worden gebruikt voor apparatuur die middels internet te benaderen is. En anders is het altijd nog mogelijk in de havens via onbeveiligde wifi-netwerken binnen te komen. Ik heb het hier niet over operaties van dagen, weken of langer maar over minutenwerk.’
Tom voegt eraan toe dat de maritieme industrie zich – zoals aangegeven – kenmerkt door verbindingen via een satelliet. ‘Connectiviteit en security zijn aan boord immers even belangrijk.’ Dit brengt Tom op een samenwerking met Spliethoff Group, een wereldwijd opererende, Nederlandse rederij met een vloot van meer dan honderd vaartuigen. Om het beschermingsniveau van de schepen te verhogen, zijn ze sinds 2018 uitgerust met een next generation firewall van Fortinet. Tom legt uit dat deze FortiGate niet alleen de poorten blokkeert, maar ook inhoudelijk het netwerkverkeer beoordeelt en traceert. In de kern monitort het beveiligingsapparaat de it-systemen, maar ook de operationele systemen voor navigatie en voortstuwing. Tom: ‘De schepen van Spliethoff hebben een always-on-netwerk- en internetverbindingen via satellietverbindingen. Het is essentieel een balans te vinden tussen de kosten én capaciteit van de verbindingen en de beveiliging daarvan. Met de Fortigate is sturing aan te brengen welke applicaties welke satellietverbindingen kunnen en mogen gebruiken. Daarvoor is de Secure E-Mail Gateway – SEG – zo aangepast dat als het schip een dure satellietverbinding gebruikt, het alleen de berichten van de kantoren en weerstations doorlaat. Zodra er weer een goedkopere verbinding beschikbaar is, worden de legitieme mails direct doorgestuurd naar de scheepsbemanning. Dit realiseert voor alles een flinke kostenbesparing.’
Toekomst
Dat de maritieme sector nog een hoop stappen te maken heeft als het op cybersecurity aankomt, is een understatement. De grootste horde mag dan zijn genomen – bewustwording – nu nog de praktijk, die om een sector-brede aanpak schreeuwt. Tom: ‘Naarmate we ook in de maritieme sector in sterk toenemende mate afhankelijk zijn van de digitale infrastructuur, heeft dat gevolgen voor het securitybeleid. Dit beleid vraagt om een sterk verscherping. Pas dan is de veiligheid van de nieuwe manier van werken in de scheepvaart te borgen. Duidelijk is dat er werk aan de (drijvende) winkel is om de kans op rampen in de scheepvaart te minimaliseren.’
Dit artikel is ook gepubliceerd in Computable Magazine 2020/#1