Gevaar op zee na hack bij maritieme dienstverlener
Ongeveer een kwart van de olieplatforms in het Nederlandse deel van de Noordzee wordt op afstand bewaakt door Royal Dirkzwager. De maritieme dienstverlener uit Maassluis noemt zichzelf ‘24/7 de ogen en oren van de maritieme wereld’. Met geavanceerde monitoringsystemen ziet het bedrijf erop toe dat er geen scheepvaartverkeer in de buurt van de booreilanden komt. Het bedrijf heeft al meer dan 150 jaar ervaring met het in de gaten houden van scheepvaartverkeer. Dat begon ooit met een verrekijker en vervolgens met paard en kar naar de haven. Nu is Royal Dirkzwager een databedrijf.
Maar stel je voor dat de systemen uitvallen en er geen enkel signaal meer binnenkomt op de controlekamer, gelegen aan de Nieuwe Maas. Dan is het gissen naar de nautische omstandigheden rondom de olieplatformen en andere kritische infrastructuur die het bedrijf bewaakt. Een schip met motorproblemen, een niet oplettende kapitein of een zeilboot die de vaarroute wil afsnijden en recht op een olieplatform afkoerst. Een situatie met mogelijk catastrofale gevolgen ligt op de loer.
"Er zijn een hoop mensen wakker gebeld die nacht"
En dus moest er razendsnel geschakeld worden in die nacht van maandag 6 maart. Nicolas Maes, Head of Product & IT, was nog maar twee maanden in dienst toen hij uit bed werd gebeld, omdat de monitoringsystemen niet meer werkten. Het bedrijf nam onmiddellijk contact met de desbetreffende olieplatformen en al snel werden er helikopters met bemanning naar de eilanden gestuurd om zelf de bewaking over te nemen. “Er zijn een hoop mensen wakker gebeld die nacht”, zegt Nicolas.
Het monitoren van belangrijke infrastructuur op zee is niet de enige activiteit van Royal Dirkzwager. Een deel van de dienstverlening draait om Software-as-a-Service (SaaS), zegt Nicolas: “Wij verzamelen informatie over alle scheepsbewegingen in een haven. Die informatie delen we met onze klanten, zodat zij hun logistieke processen kunnen optimaliseren.” Op dat gebied timmert Royal Dirkzwager stevig aan de weg. Steeds meer havens delen hun gegevens.
Nicolas: “Hoe meer havens we connecteren, hoe beter wij bijvoorbeeld voorspellingen over mogelijke vertragingen kunnen doen. Als rederijen dat weten, kunnen ze schepen langzamer laten varen, waardoor ze brandstof besparen.” Maar ook de systemen waar deze software op draait, lagen er in die nacht van maandag 6 maart uit. “We hebben nog wat noodprocedures kunnen inrichten, maar het was een heel groot probleem. Bij veel klanten liepen de logistieke processen in de soep.”
Cyberaanval na 'brute-force attack'
Royal Dirkzwager heeft die nacht zo goed en kwaad als mogelijk oplossingen ingericht voor het wegvallen van de automatisering. De betrokkenheid van medewerkers was daarbij heel groot. Er is zelfs samengewerkt met een van de concurrenten om te zorgen dat de belangrijkste processen onverstoord door konden gaan. En bovenal is er vanaf het begin zo helder mogelijk gecommuniceerd over de ontstane situatie. Problemen die - zo bleek al snel - het gevolg waren van een cyberaanval.
Hoe dat heeft kunnen gebeuren, is simpel, zegt Nicolas. “Onze beveiliging was op dat moment niet goed. Er waren geen beperkingen op het aantal keer dat iemand een wachtwoord kon invoeren. Daardoor konden cybercriminelen toegang tot de server forceren, door een eindeloze hoeveelheid wachtwoorden in te voeren. Vervolgens konden ze alle bestanden op de servers versleutelen.”
Royal Dirkzwager schakelde de hulp in van IT-beveiligingsspecialist Northwave om de situatie te herstellen. “Ze hebben server voor server helemaal opgeschoond en uiteindelijk back-ups kunnen terugplaatsen die enkele dagen voor de aanval gemaakt waren. Dat was gelukkig onze redding.”
Terugval op het oude DataDirk IT-systeem
Daarnaast vertelt Nicolas over een oud IT-systeem waar Royal Dirkzwager op terug kon vallen. “DataDirk is een systeem dat gebouwd is in 1983. Dat systeem is gelukkig blijven draaien, want het werkt volledig offline op Linux. Het systeem verwerkt data op basis van xml-bestanden. Hiermee hebben we toch nog scheepvaartverkeer kunnen registreren en dit telefonisch met klanten gedeeld.”
Het duurde al met al tien dagen tot Royal Dirkzwager weer volledig operationeel was. Gelukkig kon het bedrijf op heel veel steun en vertrouwen rekenen van de klanten. Daarnaast was er veel contact met het Nationaal Cyber Security Centrum (NCSC), omdat de dienstverlening de vitale sector betreft.
Open communicatie
Op het moment van de hack was Royal Dirkzwager nog maar net in handen van een nieuwe eigenaar. Nicolas: “Er was ontzettend veel geïnvesteerd in het bedrijf. Het allerbelangrijkste was dat we geen klanten zouden verliezen.” Nicolas denkt dat de open communicatie met klanten heeft geholpen om de klanten aan boord te houden. “We hebben elke dag via de e-mail één of meerdere updates gestuurd. Daarnaast hebben onze collega’s steeds telefonisch met klanten in contact gestaan, om vragen te beantwoorden en te helpen met alternatieve oplossingen. Vanaf de derde dag hebben we stap voor stap weer onze dienstverlening kunnen opstarten. Het was een zeer intensieve periode."
Bovenal was het een “crash course” voor Nicolas in zijn nieuwe functie. “Het was geen fijne situatie, maar ik heb me in korte tijd ontzettend goed kunnen inwerken. Ik voel me zeker verantwoordelijk voor wat er gebeurd is. Met name intern naar m’n collega’s. Ik vond het vervelend dat ik niet altijd het volledige plaatje kon geven. Zij kregen vragen die ik ook niet altijd kon beantwoorden.”
Zero trust
Of er fouten zijn gemaakt? “Achteraf gezien misschien wel. We waren in die tijd met een migratie naar de cloud bezig, en we hadden sneller moeten inzetten op security. Dat is nu wel anders. Security staat bovenaan. We hebben een extreem veilige omgeving gecreëerd, gebaseerd op zero trust. We willen te allen kosten vermijden dat zoiets weer kan gebeuren.” Toch is Nicolas ook reëel: “Het kan iedereen overkomen. We zijn niet het eerste en laatste softwarebedrijf dat gehackt is, helaas.”
In de haven van Rotterdam komen cyberaanvallen wel vaker voor. Volgens Evelien Bras van samenwerkingsverband FERM zijn havenbedrijven een interessant doelwit voor geopolitieke doeleinden. “Kijk naar de oorlog in Oekraïne. De eerste grote aanval was op de haven van Odessa. Een aanval op een haven heeft heel veel impact,” vertelde ze eerder in een interview met het DTC.
Lessen delen
Of de aanval op Royal Dirkzwager een gerichte aanval was, durft Nicolas niet met zekerheid te zeggen. “Dat weet je nooit. We hebben het nog proberen uit te zoeken. Maar als ik kijk naar de hoge Bitcoin-eis, dan denk ik dat ze ons verward hebben met een ander bedrijf. Betalen was geen optie.”
Royal Dirkzwager heeft via het netwerk van FERM de lessen van deze cyberaanval met andere bedrijven uit de Rotterdamse haven gedeeld. Nicolas: “We zijn er heel open over. Ook over de fouten die we gemaakt hebben. We hopen eraan bij te dragen dat andere bedrijven die fouten niet maken.”
Er was ontzettend veel geïnvesteerd in het bedrijf. Het allerbelangrijkste was dat we geen klanten zouden verliezen.
Tips van Nicolas Maes:
- Een cyberaanval kan iedereen overkomen. Zorg dat je goed bent voorbereid en wacht niet tot het te laat is. Het kan sneller gebeuren en via meer kanalen dan je denkt.
- Verlaag je kans op een hackaanval door goede beveiliging op je servers in te schakelen. Denk bijvoorbeeld aan tweefactorauthenticatie, een maximum aantal inlogpogingen en zo min mogelijk verkeer tussen servers.
- Zorg voor een goed back-up plan.
- Communiceer snel en zo open mogelijk met je klanten. Onderzoek welke dienstverlening je alsnog kunt bieden. Denk mee met je klanten en help ze waar je kan.
- Doe altijd aangifte van een cyberaanval.
Heb jij de cybersubsidie al aangevraagd?
Schakel de hulp in van een IT-dienstverlener en zorg ervoor dat je bedrijf goed voorbereid is. Via Mijn Cyberweerbare Zaak kun je nu tijdelijk tot 50% subsidie ontvangen voor het laten instellen en testen van back-ups, MFA en andere cybermaatregelen.
Ondernemend Nederland vertelt
Het Digital Trust Center streeft naar een digitaal veilig ondernemend Nederland. Dit doen wij door kennis en informatie te bieden waar ondernemers zelf mee aan de slag kunnen. Net zo belangrijk zijn verhalen van ondernemers uit de praktijk. Wat kun jij leren van ondernemers die met een cyberaanval te maken hebben gehad?
Voedingsmiddelenbedrijf Royal Smilde was het slachtoffer van een ransomeware-aanval, maar gelukkig konden ze de daders op heterdaad betrappen. De schade bleef beperkt, mede dankzij de backups.
Bilthoven Biologicals produceert jaarlijks miljoenen doses poliovaccins. Maar de productie kwam bijna tot stilstand toen het bedrijf in september 2022 slachtoffer werd van een ransomware-aanval.
Cybercriminelen maken geen onderscheid. Dat ondervond de Stichting Samenwerkende Hulporganisaties (SHO) - beter bekend als Giro555 - vlak na de start van hun inzamelingsactie voor de mensen in Oekraïne.
Ervaringen delen
Elk jaar weer worden veel ondernemers getroffen door een cyberaanval of -incident in Nederland. Alhoewel lang niet iedereen hier graag over praat, zijn er wel degelijk ondernemers die hun ervaringsverhalen willen delen met andere ondernemers. Anderen kunnen er hun voordeel mee doen en het draagt bij aan een belangrijk streven: om cyberweerbaarheid van het Nederlandse bedrijfsleven naar een hoger plan te tillen.
Heb jij ook een verhaal dat verteld mag worden? Heb jij een cybersecurity situatie meegemaakt waar andere organisaties van kunnen leren? Dan komen we graag in contact met je.