Let op de romein!

Weerbare havens waren in de oudheid al een relevant onderwerp. Met de opkomst van digitalisering en automatisering is er een nieuwe dimensie bijgekomen: beveiliging van informatie en aansturing van assets. Wilco Vahrmeijer (ShipLogic) neemt u mee op reis door de geschiedenis, projecteert lessen uit het verleden op het heden en werkt dit uit aan de hand van een case study.

Inleiding

We bevinden ons in de 4e eeuw voor Christus, in de bloeiende havenstad Carthago. De stad floreert dankzij handel en nijverheid, met een bevolking vergelijkbaar met het huidige Gent. De haven is strak georganiseerd: er is een buitenhaven, een binnenhaven voor handel, en daarachter een militaire haven – een pentagonachtig bolwerk, met strikt toegangsbeleid. Vreemdelingen zien slechts een hoge muur. Het leger bewaakt het achterland. Alles lijkt onder controle.

Toch wordt Carthago in korte tijd volledig vernietigd. Wat ging er mis? De enige serieuze tegenmacht in die tijd waren de Romeinen. Zij beschikten niet over een vloot en hadden geen nautische ervaring. Toch besloten ze een vloot te bouwen. Met behulp van Griekse scheepsbouwers en een nagemaakt Carthaags schip, bouwden ze in zes maanden tijd 120 oorlogsschepen en trainden 30.000 roeiers.

De Carthagers waren superieur op zee, maar de Romeinen introduceerden een innovatie: de enterbrug. Hierdoor werden zeeslagen omgevormd tot landgevechten – het terrein waarop de Romeinen uitblonken. Carthago verloor zijn overwicht en werd uiteindelijk vernietigd.

Hebben wij risico's in beeld?

Ook in Nederland en België lijkt alles goed geregeld. De handel, logistiek en scheepvaart loopt goed. Douane en marechaussee houden toezicht, overheden werken samen, en havengebieden zijn goed beveiligd. Maar er is een nieuwe, minder zichtbare dreiging: digitale risico’s.

De drie grootste digitale risico’s voor havens zijn:

• Niet kunnen beschikken over data

• Infiltratie in digitale processen

• Manipulatie van data

Iedereen die een opleiding, cursus of training heeft gevolgd met een module risico-management weet: Risico = kans × impact. Daarop volgen mitigerende maatregelen. Grote zeehavens zijn zich hiervan bewust en hebben functionarissen aangesteld. Maar hoe zit het met de binnenhavens in het achterland? En de gemeenten, die de binnenhaven eerder als last zien dan als publikelijke, noodzakelijke voorziening?

Als het achterland niet digitaal weerbaar is, heeft dat directe gevolgen voor de grote havens. Lading blijft staan, schepen kunnen niet lossen of vertrekken, congestie neemt snel toe. De oplossing begint bij bewustwording en samenwerking. En dat is nodig: tijdens een recente webinar over NIS2, georganiseerd voor alle binnenhavens, waren slechts drie havens vertegenwoordigd. Dat is zorgwekkend. De grote jongens moeten de kleine broertjes helpen.

Case study: ShipLogic

ShipLogic is een systeem voor havenmagement voor havens en watergebonden bedrijven. 28 zee- en binnenhavens maken elke dag gebruik van ShipLogic en zeehavens beheren hun haven 24/7 met onze software. Vanaf de start lag de focus op digitale veiligheid. We namen al maatregelen nog voordat er één regel geprogrammeerd was:

• Netwerkarchitectuur: ons netwerk is eenvoudig. We hanteren het model "internet cafe". De line of defence ligt daar waar het hoort: zo dicht mogelijk op data en zo dicht mogelijk op de devices. Ons wifi-netwerk is een teleurstelling voor hackers, er is niets te vinden.

• Dataopslag: we hebben bewust gekozen voor cloudoplossingen vanwege schaalbaarheid, geo-redundantie en beschikbaarheid. Cloudproviders investeren stevig in cybersecurity: Google: bijna 2 miljard euro per jaar; Microsoft: > 3 miljard euro per jaar; AWS investeert meer dan 7 miljard euro in een europese cloud.

• Gebruikersbeveiliging: verplichte multi-factor authenticatie (MFA). Onze gebruikers waren daar bij aanvankelijk niet blij mee, want rompslomp, maar inmiddels is iedereen gewend om te werken met een authenticator-app.

Na het aansluiten van de eerste klanten hebben we penetratietests laten uitvoeren door een externe partij. En zij hebben een stormram losgelaten op ShipLogic: wat kan iemand zonder account bereiken en wat kan een ingelogde gebruiker buiten zijn rechten? We zijn met vlag en wimpel geslaagd voor beide testen. Daarna volgde de stap naar ISO 27001. De interne audit vindt binnenkort plaats, gevolgd door de externe audit. Het traject is intensief, maar noodzakelijk.

Europese cloud?

Amerikaanse cloudproviders liggen onder een vergrootglas, zeker sinds het blokkeren van het e-mailadres van de hoofdaanklager van het internationaal strafhof. Tijdens de Transport and Logistic beurs in München bezochten we een Europese cloud-aanbieder met datacenters in onder andere Duitsland, Oostenrijk en Zwitserland. We onderzoeken momenteel of deze partij een lager risicoprofiel biedt dan onze huidige leverancier. Digitale veiligheid vereist continue evaluatie.

Conclusie

Zijn we onoverwinnelijk? Zeker niet. Maar we kunnen de kans op incidenten aanzienlijk verkleinen. Volledige veiligheid is een utopie – je kunt het benaderen, maar bereiken doe je het nooit volledig.

Net als Carthago kunnen ook wij verrast worden door een nieuwe dreiging. We werden verrast door AI, de volgende verrassing wordt quantum-computing. De technologie is in ontwikkeling, en de impact op bijvoorbeeld cryptografie zal groot zijn. ISO 27001 vereist continue waakzaamheid.

Tot slot kom ik nog even terug op Carthago van eerder in deze blog met de slogan: Let op de Romein!

Laat de enterbrug van toen niet de entertoets van nu worden.

Wilco Vahrmeijer