Gevaar op zee na hack bij maritieme dienstverlener

Ongeveer een kwart van de olieplatforms in het Nederlandse deel van de Noordzee wordt op afstand bewaakt door Royal Dirkzwager. De maritieme dienstverlener uit Maassluis noemt zichzelf ‘24/7 de ogen en oren van de maritieme wereld’. Met geavanceerde monitoringsystemen ziet het bedrijf erop toe dat er geen scheepvaartverkeer in de buurt van de booreilanden komt. Maar stel je voor dat de systemen uitvallen als gevolg van een cyberaanval? Nicolas Maes, Head of Product & IT, vertelt zijn verhaal.

“Er zijn een hoop mensen wakker gebeld die nacht”

Er moest er razendsnel geschakeld worden in die nacht van maandag 6 maart. Nicolas Maes, Head of Product & IT, was nog maar twee maanden in dienst toen hij uit bed werd gebeld, omdat de monitoringsystemen niet meer werkten. Het bedrijf nam onmiddellijk contact met de desbetreffende olieplatformen en al snel werden er helikopters met bemanning naar de eilanden gestuurd om zelf de bewaking over te nemen. “Er zijn een hoop mensen wakker gebeld die nacht”, zegt Nicolas.

Het monitoren van belangrijke infrastructuur op zee is niet de enige activiteit van Royal Dirkzwager. Een deel van de dienstverlening draait om Software-as-a-Service (SaaS), zegt Nicolas: “Wij verzamelen informatie over alle scheepsbewegingen in een haven. Die informatie delen we met onze klanten, zodat zij hun logistieke processen kunnen optimaliseren.” Op dat gebied timmert Royal Dirkzwager stevig aan de weg. Steeds meer havens delen hun gegevens.

Nicolas: “Hoe meer havens we connecteren, hoe beter wij bijvoorbeeld voorspellingen over mogelijke vertragingen kunnen doen. Als rederijen dat weten, kunnen ze schepen langzamer laten varen, waardoor ze brandstof besparen.” Maar ook de systemen waar deze software op draait, lagen er in die nacht van maandag 6 maart uit. “We hebben nog wat noodprocedures kunnen inrichten, maar het was een heel groot probleem. Bij veel klanten liepen de logistieke processen in de soep.”

Cyberaanval na ‘brute-force attack’

Royal Dirkzwager heeft die nacht zo goed en kwaad als mogelijk oplossingen ingericht voor het wegvallen van de automatisering. De betrokkenheid van medewerkers was daarbij heel groot. Er is zelfs samengewerkt met een van de concurrenten om te zorgen dat de belangrijkste processen onverstoord door konden gaan. En bovenal is er vanaf het begin zo helder mogelijk gecommuniceerd over de ontstane situatie. Problemen die – zo bleek al snel – het gevolg waren van een cyberaanval.

Hoe dat heeft kunnen gebeuren, is simpel, zegt Nicolas. “Onze beveiliging was op dat moment niet goed. Er waren geen beperkingen op het aantal keer dat iemand een wachtwoord kon invoeren. Daardoor konden cybercriminelen toegang tot de server forceren, door een eindeloze hoeveelheid wachtwoorden in te voeren. Vervolgens konden ze alle bestanden op de servers versleutelen.”

Royal Dirkzwager schakelde de hulp in van IT-beveiligingsspecialist Northwave om de situatie te herstellen. “Ze hebben server voor server helemaal opgeschoond en uiteindelijk back-ups kunnen terugplaatsen die enkele dagen voor de aanval gemaakt waren. Dat was gelukkig onze redding.”

Terugval op het oude DataDirk IT-systeem

Daarnaast vertelt Nicolas over een oud IT-systeem waar Royal Dirkzwager op terug kon vallen. “DataDirk is een systeem dat gebouwd is in 1983. Dat systeem is gelukkig blijven draaien, want het werkt volledig offline op Linux. Het systeem verwerkt data op basis van xml-bestanden. Hiermee hebben we toch nog scheepvaartverkeer kunnen registreren en dit telefonisch met klanten gedeeld.”

Het duurde al met al tien dagen tot Royal Dirkzwager weer volledig operationeel was. Gelukkig kon het bedrijf op heel veel steun en vertrouwen rekenen van de klanten. Daarnaast was er veel contact met het Nationaal Cyber Security Centrum (NCSC), omdat de dienstverlening de vitale sector betreft.

Open communicatie

Op het moment van de hack was Royal Dirkzwager nog maar net in handen van een nieuwe eigenaar. Nicolas: “Er was ontzettend veel geïnvesteerd in het bedrijf. Het allerbelangrijkste was dat we geen klanten zouden verliezen.” Nicolas denkt dat de open communicatie met klanten heeft geholpen om de klanten aan boord te houden. “We hebben elke dag via de e-mail één of meerdere updates gestuurd. Daarnaast hebben onze collega’s steeds telefonisch met klanten in contact gestaan, om vragen te beantwoorden en te helpen met alternatieve oplossingen.

Zero trust

Of er fouten zijn gemaakt? “Achteraf gezien misschien wel. We waren in die tijd met een migratie naar de cloud bezig, en we hadden sneller moeten inzetten op security. Dat is nu wel anders. Security staat bovenaan. We hebben een extreem veilige omgeving gecreëerd, gebaseerd op zero trust. We willen te allen kosten vermijden dat zoiets weer kan gebeuren.” Toch is Nicolas ook reëel: “Het kan iedereen overkomen. We zijn niet het eerste en laatste softwarebedrijf dat gehackt is, helaas.”

Tips van Nicolas Maes:

• Een cyberaanval kan iedereen overkomen. Zorg dat je goed bent voorbereid en wacht niet tot het te laat is. Het kan sneller gebeuren en via meer kanalen dan je denkt.
• Verlaag je kans op een hackaanval door goede beveiliging op je servers in te schakelen. Denk bijvoorbeeld aan tweefactorauthenticatie, een maximum aantal inlogpogingen en zo min mogelijk verkeer tussen servers.
• Zorg voor een goed back-up plan.
• Communiceer snel en zo open mogelijk met je klanten. Onderzoek welke dienstverlening je alsnog kunt bieden. Denk mee met je klanten en help ze waar je kan.
• Doe altijd aangifte van een cyberaanval.

Dit artikel is oorspronkelijk gepubliceerd op de website van Digital Trust Center.