In de maritieme industrie worden operationele systemen (OT) steeds meer verbonden met informatieystemen (IT). Deze ‘cyber-fysieke omgeving’ zorgt er volgens Najmeh Masoudi, expert op het gebied van ‘smart ships’ bij Bureau Veritas, voor dat de maritieme industrie een aantrekkelijk, en relatief gemakkelijk, slachtoffer is voor cybercriminelen. “Door een geïntegreerd cyber-fysiek systeem maken we de ook de machinekamer en de navigatieapparatuur kwetsbaar voor cyberaanvallen.” Dat vraagt om aangescherpte richtlijnen en beleidsregels, maar ook om oplossingen die zowel IT als OT beveiligen in de cyber-fysieke omgeving.
Aantrekkelijk doelwit
In de cyber-fysieke omgeving meet en verbetert IT de prestaties van OT door middel van data-analyses, die meestal op afstand plaatsvinden. De voordelen daarvan zijn volgens Masoudi evident: “Het brengt betere fysieke veiligheid doordat er minder menselijke handelingen nodig zijn. Dat voorkomt fouten en stelt de bemanning minder bloot aan gevaarlijke situaties. Daarnaast vermindert de digitale controle van operationele systemen de impact die de maritieme industrie heeft op het milieu. Intelligent beheer vermindert de uitstoot en verlaagt het risico op lekkages. Efficiënt brandstofverbruik en beheer van vracht en bemanning betekent ook een besparing op de operationele kosten. Bij onze klanten zien we dat een cyber-fysieke omgeving leidt tot een kostenbesparing van wel 97%.”
De cyber-fysieke omgeving brengt echter ook risico’s met zich mee, weet Masoudi: “Risico’s worden veroorzaakt door technologie, mensen en processen. Technologisch zijn cyber-fysieke systemen verregaand geïntegreerd en is de communicatie tussen systemen, sensoren, etc. complex. Mensen beschikken vaak niet over voldoende kennis om de cyber-fysieke omgeving te beheren en te beschermen, noch om adequaat te reageren als er iets misgaat. Daarnaast kunnen mensen per ongeluk of opzettelijk zorgen voor calamiteiten. Het is belangrijk om toezicht te houden over het gedrag, bijvoorbeeld om misdragingen door het personeel te voorkomen, of ervoor te zorgen dat men niet het slachtoffer wordt van phishing of social engineering. Wat de processen betreft is er vooral een risico omdat er bij veel organisaties nog een cyber responseplan ontbreekt.”
Verouderde systemen
Een bijkomend probleem van de cyber-fysieke omgeving is dat de OT-systemen veel langer in gebruik blijven dan IT-systemen. “Dat kan oplopen tot wel 40 jaar”, zegt Masoudi. “OT-systemen gebruiken vaak nog Microsoft XP, wat al sinds november 2018 niet meer ondersteund wordt. Vaak komen er nóg oudere versies van besturingssystemen voor.”
Voor Wesley Neelen, ethical hacker bij KPN Security, zijn verouderde besturingssystemen, zelfgemaakte protocollen en open, onversleutelde verbindingen vrij eenvoudig te hacken. “Verouderde software komt bijvoorbeeld veel voor op een schip. Dit vergroot de kans van slagen voor een aanvaller aanzienlijk .”
Het is de taak van een ethical hacker om kwetsbaarheden te vinden in IT-systemen door deze te hacken in zogenoemde ‘penetratietesten’. Ook probeert hij toegangsinformatie te ontfutselen aan gebruikers door social engineering. “Als er een kwetsbare cloudomgeving aanwezig is, dan heeft een kwetsbaarheid in veel gevallen direct een grote impact”, zegt Neelen. “In de maritieme sector zijn de OT- en IT-omgevingen van een schip regelmatig met elkaar verbonden. In het ergste geval kan dit betekenen dat een aanvaller via het IT-netwerk toegang kan verkrijgen tot het OT-netwerk van het schip.”
Voorbeelden van cyberaanvallen
Volgens Robert Tom, systems engineer bij Fortinet, zijn de risico’s daarom voor de maritieme industrie groter dan voor andere marktsegmenten. “Door middel van een IT-aanval op de cyber-fysieke omgeving kan men de OT-systemen verstoren of overnemen, of de ship-to-shore communicatie uit de lucht halen. Zodoende kunnen piraten de route aanpassen, terroristen een schip laten vergaan of activisten een schip stilleggen. Daarnaast kunnen criminelen de vracht manipuleren, bijvoorbeeld om drugs te smokkelen.”
Ook op land hebben cybercriminelen veel succes met ransomware, datalekken en bedrijfsspionage. “We zien zelfs meer aanvallen bij havens en rederijkantoren dan bij schepen op zee”, zegt Tom. “Zo werd Cosco Shipping in de VS in juli 2018 getroffen door ransomware. Het bedrijf had een week lang geen toegang tot de telefoon- en emailverbindingen. Het moest bovendien alle verbindingen met andere vestigingen afbreken om te voorkomen dat de aanval zich zou verspreiden. De aanval met ransomware op reder Maersk in juni 2017 kostte het bedrijf circa 300 miloen dollar. Men moest 4.000 servers, 45.0000 pc’s en 2.500 applicaties opnieuw installeren en configureren.”
Deze aanval met ransomware die Maersk trof is volgens Neelen een goed voorbeeld van misbruik van verouderde systemen. “Deze aanval was mogelijk dankzij een fout die lange tijd onontdekt bleef in de code van de Windows besturingssystemen van de Vista-versie tot Windows 10. Toen dit bekend werd, gaf Microsoft onmiddellijk een patch uit om het lek te dichten. Deze was al maanden lang beschikbaar toen de ransomware-aanvallen WannaCry en NotPetya het lek misbruikten om bedrijven aan te vallen. Veel bedrijven hadden de patch niet geïnstalleerd, waaronder Maersk.”
De haven van Antwerpen is een ander voorbeeld van hoe cybercriminelen te werk gaan. “Hierbij ging het naast een cyberaanval ook om een fysieke inbraak”, vertelt Neelen. “Er werden containers met waardevolle goederen gestolen doordat men toegang kreeg tot pincodes waarmee men het haventerrein kon betreden om containers op te halen. De aanvallers begonnen met phishing mails om deze pincodes te bemachtigen. Phishing mails zijn de meest effectieve manier om gegevens aan bedrijven te ontfutselen. Er is altijd wel iemand die er intuint.”
Vervolgens besloten de cybercriminelen ook tot een fysieke inbraak. “Daarbij installeerden zij malware in een verlengsnoer die ze aansloten op het netwerk”, zegt Neelen. “Zij gebruikten een methode om de gegevens die deze malware verzamelde af te lezen via een wifi-netwerk. Daarvoor moesten zij fysiek binnen het bereik van dat netwerk aanwezig zijn. Ze werden dan ook gearresteerd omdat ze met een auto vol computerapparatuur vlakbij het havenkantoor stonden.”
“Zoals we gezien hebben bij Maersk is ransomware een groot risico, maar het is tenminste direct zichtbaar”, voegt Tom daar aan toe. “Ransomware is minder dan 2% van alle malware die we wereldwijd tegenkomen. Dat betekent dat 98% van de aanvallen veel langer onder de radar blijft en daardoor veel grotere schade veroorzaken. In de haven van Antwerpen had men helemaal niet in de gaten dat er een inbreuk was geweest. Uit onderzoek blijkt dat er gemiddeld 200 dagen verstrijken tussen het moment van de inbreuk en de ontdekking daarvan.”
Dat is zorgwekkend, want de gevolgen van cyberaanvallen zijn in de maritieme industrie niet alleen financieel. “Het leidt weliswaar tot verlies van klanten, tot boetes, reputatieschade en een ontregelde leveringsketen”, zegt Tom, “maar in de maritieme industrie zijn de gevolgen veel groter. De veiligheid van het milieu en van mensen is in het geding. Dat zou de eerste prioriteit moeten zijn. Een aanval kan de economie schaden, het milieu ontwrichten en zelfs mensenlevens kosten.”
Maatregelen
De cyber-fysieke omgeving roept om de ontwikkeling van beveiligingsdisciplines die dataplatformen voor informatie, de OT-omgeving voor machines en de verbonden apparaten van medewerkers en bemanning beveiligen. “Er zijn richtlijnen nodig voor beleid rondom de fysieke toegang tot hardware, de bescherming tegen schade via netwerken, data en code injection, maar ook voor het creëren van bewustzijn door onderwijs en training om schade door gebruikers te voorkomen”, zegt Masoudi.
Bureau Veritas helpt bedrijven bij het opstellen van beleidsregels en het naleven van (inter)nationale wet- en regelgeving en de richtlijnen van (inter)nationale certificatie- en inspectienormen en standaarden, vertelt Masoudi. “Wij staan een model voor op basis van een gezamenlijke aanpak van alle betrokkenen in de maritieme industrie, zoals reders, onderaannemers, brancheorganisaties en overheden. Deze aanpak moet gebaseerd zijn op standaard protocollen zodat gegevensuitwisseling en -bescherming overal en altijd op dezelfde wijze mogelijk is.”
Deze eisen zeggen echter niets over hoe men risico’s moet inschatten of incidenten moet beheren en ze zijn bevatten geen doelstellingen voor de fysieke veiligheid in relatie tot cybercrime. “Cybersecurity staat niet op zichzelf in de cyber-fysieke omgeving”, benadrukt Massoudi. “Safety hoort er ook bij. Als je het ene doet en niet het andere, is er nog steeds een risico. We moeten daarom ook zorgen voor zowel de security als de safety van de cyber-fysieke omgeving. We moeten weten wat de kwetsbaarheid is van software en ons bewust zijn van menselijke fouten om ongelukken te voorkomen. Om misdaad te voorkomen moeten we weten wat een geschikt doelwit is, wat de kwetsbaarheid in de fysieke beveiliging is en dat er zeer gemotiveerde aanvallers zijn.”
Volgens Tom helpt Fortinet bij het uitvoeren van deze richtlijnen met oplossingen voor het beschermen van de cyber-fysieke omgeving. “We beveiligen bedrijfsnetwerken, -gegevens en -gebruikers, maar ook de operationele omgevingen. Als je de taal spreekt, kun je overal mee praten, of het nu gaat om IT-systemen of om machines in productieprocessen, de waterhuishouding of elektriciteitscentrales. Onze beveiligingsoplossingen beschermen hierdoor niet alleen systemen in de cyber-fysieke omgeving, maar ook de mensen die daarvan afhankelijk zijn. Want een mensenleven is het allerbelangrijkste.”