Fortinet vindt dat zeevaart haast moet maken met cybersecurity

Cybersecurity is voor iedere bedrijfssector tegenwoordig een eerste levensbehoefte. Dit geldt ook voor de zeevaartsector. Niet alleen voor commerciële vrachtvaart, maar ook voor de zogeheten ‘superjachten’. Toch is de staat van cybersecurity volgens Fortinet binnen deze sector best zorgwekkend. Nieuwe beleidsmaatregelen en een doordachte beveiliging ‘by design’ moeten hierop een antwoord geven.

Net als in andere industriële sectoren, worden binnen de zeevaartsector steeds meer operationele systemen van vrachtschepen tot de zogeheten ‘superjachten’ aangestuurd door IT-systemen. Door deze IT-systemen te koppelen met de operationele systemen aan boord en aan wal en deze weer met het internet te verbinden, veranderen deze schepen in ‘slimme platformen’.

Met de varende slimme toepassingen -je kan eigenlijk ook wel spreken van varende IoT-endpoints- hopen rederijen en eigenaren veel voordeel te halen. Zo kan het de milieuvriendelijkheid ten goede komen en kan er bespaard worden op brandstofkosten. Daarnaast kunnen rederijen en andere scheepseigenaren ook op de operationele kosten, zoals het beheer van vracht en bemanning, met behulp van deze slimme systemen besparen.

Gevaren en risico’s

Dit klinkt natuurlijk allemaal erg mooi, maar het koppelen van al deze systemen aan boord, en vooral met het internet, brengt vanzelfsprekend ook gevaren en risico’s met zich mee. Volgens Global Technology Leader- Smart Ships Najmeh Masoudi van certificatie- en inspectienormenspecialist Bureau Veritas zijn deze risico’s vooral een combinatie van technologie, mensen en processen.

Op technologisch gebied raken volgens haar systemen steeds verder met elkaar geïntegreerd waardoor de complexiteit toeneemt. Bovendien, zo gaat ze verder, gaan operationele systemen aan boord van schepen wel 40 jaar mee en draaien vaak nog op verouderde software. Windows XP of oudere software aan boord van vrachtschepen is nog heel gewoon. Dit brengt natuurlijk ook verdere gevaren met zich mee.

De bemanningen beschikken vaak nog niet over de juiste kennis om met deze complexe systemen overweg te kunnen. Daardoor zorgen ze mogelijk onbewust voor calamiteiten of worden ze slachtoffer van cyberaanvallen. Tot slot ontbreekt het aan de juiste processen en plannen om eventuele incidenten goed te kunnen managen.

Cyberaanvallen realiteit in zeevaartsector

Dat de zeevaartsector kwetsbaar is voor cybercriminaliteit blijkt wel uit de bekende NotPetya-aanvallen die de Deense rederij Maersk trof in 2017. Deze aanval was duidelijk een gevolg van verouderde software die werd gebruikt in de processen van de rederij; meer specifiek het niet patchen van kwetsbaarheden van Windows. Dit kostte het zeevrachtbedrijf uiteindelijk in totaal ongeveer 300 miljoen dollar en er moesten 4.000 servers, 45.000 pc’s en 2.500 applicaties opnieuw geïnstalleerd of vervangen worden. Andere zeevaartincidenten waren een aanval in 2018 op de Amerikaanse rederij COSCO Shipping en havens als die van Antwerpen, San Diego en Barcelona.

Volgens systems engineer Robert Tom van Fortinet wordt hiermee aangetoond dat de zeevaartsector echt gevaar loopt als het gaat om cyberaanvallen. Dit levert hen niet alleen verloren business op, maar kan ook leiden tot boetes en straffen van regelgevende instanties, reputatieschade, problemen met de supply chain en wereldwijde dalende inkomsten. Dit nog afgezien van hoe cyberincidenten een bedreiging kunnen vormen voor de gezondheid en de veiligheid van de opvarenden.

Maatregelen op beleidsmatig en fysiek terrein

Deze kwetsbaarheden laten zien dat het tijd wordt voor de zeevaartsector om zich serieus met cybersecurity te gaan bezighouden en als standaard practice gaat zien. Zowel op beleidsmatig terrein als fysiek aan boord van de schepen.

Wanneer het om beleid gaat, bijvoorbeeld wet- en regelgeving en inspectienormen, moet er volgens Masoudi door alle belanghebbenden in de zeevaart worden samengewerkt. Dit betekent dat rederijen, havenbedrijven, brancheorganisaties en overheden de handen ineen moeten slaan om hiervoor een goed model te ontwikkelen. Het liefst op basis van standaardprotocollen, voor uniformiteit rond het uitwisselen van gegevens en de bescherming hiervan.

Inmiddels zijn er op dit terrein al veel initiatieven, onder meer door de mondiale brancheorganisatie International Maritime Organization (IMO) en andere belangenorganisaties. Ook afzonderlijke landen komen steeds meer met (aanvullende) regelgeving op cybersecuritygebied voor de zeevaartsector. De Verenigde Staten, Frankrijk, het Verenigd Koninkrijk, maar ook Nederland zijn hiervan een goed voorbeeld.

Meer concreet zijn de aandachtsgebieden van de branchevereniging van classificatiebureaus voor de zeevaart sector, de International Association of Classification Societies (IACS). Deze komt met een twaalftal aanbevelingen voor cybersecurity om de gehele lifecycle van vaartuigen te kunnen waarborgen. De aanbevelingen variëren van de fysieke toegang tot en beveiliging van deze systemen aan boord tot het uitvoeren van data assurance, netwerkbeveiliging en beveiligen van de connectiviteit. En niet geheel onbelangrijk: er moet een plan bestaan voor wat er moet gebeuren als het toch onverhoopt iets fout gaat.

Menselijke factor ook belangrijk

Naast al deze wet- en regelgeving voor cybersecurity vraagt de specialiste van Bureau Veritas ook nog aandacht voor de menselijke factor. Het is noodzakelijk dat voor een goede implementatie van cybersecurity ook de menselijke factor wordt meegewogen. Zoals hierboven al gezegd kunnen medewerkers fouten maken en staan er aan de andere kant zeer gemotiveerde hackers klaar. Kortom, wanneer je een effectief maritiem securitybeleid wil voeren, moet je je ook deze groepen personen goed leren kennen.

SD-WAN mogelijke oplossing

Naast het beleidsmatige deel, is er natuurlijk ook het daadwerkelijke technische deel dat de cybersecurity aan boord kan verbeteren. Uit de verschillende presentaties bleek dat huidige oplossingen als een UTM of alleen antivirus- of malware-software niet meer volstaan. Er moet nu naar de hele stack worden gekeken, zo gaf directeur Edwin Edelenbos van de technische specialist voor superjachten FWD Innovations in zijn presentatie aan. Zeker nu er, naast de vele communicatienetwerken, steeds meer geïntegreerde systemen aan boord komen in de plaats van diverse losse applicaties en appliances.

De toevoeging van SD-WAN-oplossingen aan boord van schepen kan hiervoor in zijn ogen een mogelijke oplossing zijn. Netwerken kunnen hiermee op een intelligente manier worden beheerd en van de benodigde beveiliging worden voorzien. Zo kan makkelijker onderscheid worden gemaakt tussen niet-kritieke netwerken en de juist kritieke netwerken.

Verdeling tussen communicatie en overige netwerken

Het apart beveiligen van de diverse netwerken aan boord van schepen is ook volgens Robert Tom belangrijk. Aan de ene kant ziet hij op dit gebied beveiligingsmaatregelen voor de communicatienetwerken, inclusief het toevoegen van Quality of Service (QoS). Met dit laatste kan onder meer beschikbare bandbreedte worden bepaald, de priorisering van netwerkverkeer en het intelligent laten verlopen van verkeer via de diverse communicatie-links als satelliet, directe datalinks met het hoofdkantoor, wifi of mobiele verbindingen. Verder vallen hieronder het beheer van LAN-, WLAN- en WAN-toegang en de daarbij behorende authenticatie.

Aan de andere kant gaat het volgens Tom om beveiligingsmaatregelen voor de operationele omgevingen. Onder meer gaat het hierbij om het verzorgen van deep visibility en analytics, virus scanning, web filters, DNS-filters, intrusion detection en intrusion prevention, het beveiligen van de ICS-systemen, LAN-segmentatie, en het uitvoeren van mail- en endpointbeveiliging. En dit alles moet natuurlijk vanuit een enkel punt kunnen worden ingezien en beheerd.

Fortinet en Spliethoff

Fortinet levert hiervoor vanzelfsprekend diverse oplossingen en toepassingen, zoals de FortiGate next generation firewalls, software als FortiAnalyzer en FortiSandbox Cloud en de FortiMail-toepassing.

In een pilottraject van de beveiligingsspecialist heeft rederij Spliethoff inmiddels dit soort oplossingen en toepassingen aan boord van zijn schepen geïnstalleerd. De belangrijkste doelen hierbij waren het beveiligen van niet alleen de operationele systemen van de schepen, maar ook de diverse netwerkverbindingen van en naar de schepen en het optimaal verdelen van de bandbreedte en dus het verbeteren van de QoS.

Cybersecurity van begin meenemen

Cybersecurity staat steeds hoger op de agenda van de zeevaartbranche. Zeker omdat hiermee -gezien de enorme legacy die nog steeds binnen de branche aanwezig is- snel vaart moet worden gemaakt. Het is daarom goed dat voor de zeevaartsector zowel op (internationaal) beleidsmatig terrein als met daadwerkelijke technologische maatregelen steeds meer initiatieven ontstaan en dat ook daadwerkelijke actie wordt genomen. De opkomst van SD-WAN kan hierbij wellicht goed helpen, evenals het scheiden van de netwerken voor de communicatie en die voor meer operationele diensten binnen schepen.

Vanzelfsprekend moet daarnaast ook de menselijke factor niet worden vergeten en moeten medewerkers goed worden getraind in en bewust worden gemaakt van cybersecurity om deze vaak zwakste schakel tot een minimum te kunnen beperken.

Maar het belangrijkste is dat met dit alles haast wordt gemaakt. De incidenten die zich mogelijk voordoen kunnen niet alleen de sector, maar mogelijk ook de mondiale economie in zijn geheel veel schade berokkenen. Het is daarom absoluut raadzaam om cybersecurity vanaf het begin in alle nieuwe zeevaartprojecten mee te nemen, of dit nu de bouw van een vrachtschip, boorplatform of van een superjacht is. Want eerlijk gezegd; Windows XP aan boord dat kan toch echt niet meer?