Havenbedrijf Rotterdam maakt zich zorgen over cyberaanvallen op en de digitale weerbaarheid van de Rotterdamse haven. Slechts een deel van de bedrijven die daar hun kantoor hebben, valt binnen de scope van de Wet beveiliging netwerk- en informatiesystemen (Wbni). Dat houdt in dat zij niet onder toezicht staan op het gebied van cybersecurity en geen toegang hebben tot actuele dreigingsinformatie. Dat vormt een gevaar, zowel voor de logistieke keten als het imago van de haven als geheel.
Dat schrijft Havenbedrijf Rotterdam in een position paper, die op dinsdag 6 september wordt besproken in de Tweede Kamer bij een rondetafelsessie over digitale weerbaarheid.
Onderlinge digitale verbondenheid
Havenbedrijf Rotterdam (HbR) houdt zich dagelijks bezig met het reilen en zeilen van de Rotterdamse haven. Zo’n 3.000 bedrijven hebben daar hun kantoor, wat werkgelegenheid biedt aan ongeveer 565.000 werknemers. De bedrijven zijn nauw met elkaar verbonden, zowel fysiek als digitaal, omdat ze onderdeel uitmaken van de logistieke keten.
Onderling worden er grote hoeveelheden informatie uitgewisseld: denk aan actuele voorspellingen over weersomstandigheden, data over de infrastructuur zoals aankomsttijden van schepen en bezettingstijden van terminals, en logistieke gegevens zoals transportdocumenten van bedrijven in de logistiek. “In de logistieke ketens wordt deze informatie-uitwisseling tussen partijen steeds belangrijker en processen en systemen worden efficiënter, maar tegelijkertijd ook afhankelijker van goede informatie”, zo schrijft het havenbedrijf.
Rotterdamse haven als strategisch doelwit voor hackers
Vanwege de positie van de Rotterdamse haven voor Nederland en Europa, is het een strategisch doelwit voor statelijke actoren of andere kwaadwillenden. Het havenbedrijf maakt zich dan ook zorgen om de digitale weerbaarheid van het havengebied.
“Een cyberaanval kan ervoor zorgen dat (kritieke) systemen van bedrijven in de haven, waaronder die van HbR, uitvallen en informatie niet beschikbaar en/of betrouwbaar is voor het bedrijf zelf en anderen. Dit verstoort de logistieke ketens en scheepvaartafwikkeling en zorgt mogelijk voor risico’s op het gebied van veiligheid (incidenten en integriteit), bereikbaarheid (congesties) en het imago van de betrouwbaarheid van de haven als geheel”, zo waarschuwt het havenbedrijf de Tweede Kamer.
Onduidelijkheid over eisen digitale weerbaarheid
Door de onderlinge digitale verbondenheid tussen de bedrijven, vormt cyberaanval “een reëel risico” voor de continuïteit van de Rotterdamse haven. Van de 3.000 bedrijven die de haven telt, zijn er slechts een aantal aangemerkt als vitaal. Dat betekent dat ze aan extra strenge veiligheidsnormen en -eisen dienen te voldoen, ze onder toezicht van de overheid staan en dat ze voor hulp en advies kunnen aankloppen bij partijen als het Nationaal Cyber Security Centrum (NCSC) en het Digitaal Trust Center (DTC).
Voor het leeuwendeel van de bedrijven in de Rotterdamse haven geldt dat dus niet. “Dit zorgt ervoor dat partijen niet weten waar zij aan moeten voldoen om hun digitale weerbaarheid op orde te hebben, de digitale weerbaarheid vaak te laag op de agenda staat en zij niet of lastig kunnen acteren op actuele dreigingsinformatie”, zo staat er in de position paper.
Dit zijn de grootste zorgen van Havenbedrijf Rotterdam
Havenbedrijf Rotterdam is niet alleen bezorgd om een potentiële cyberaanval. Naar eigen zeggen is Nederland, meer dan andere landen, sterk afhankelijk van technologie en buitenlandse leveranciers. Dat brengt risico’s met zich mee met betrekking tot leveringszekerheid en continuïteit. Tevens vindt het havenbedrijf dat veel vitale processen in hoge mate afhankelijk zijn van Amerikaanse cloudaanbieders. Om iets aan deze afhankelijkheid te doen, zou er specifiek beleid vanuit de overheid moeten uitgaan. Staatssecretaris van Digitalisering Alexandra van Huffelen kondigde eerder deze week juist aan dat overheidsorganisaties meer ruimte krijgen om met commerciële cloudaanbieders te werken.
Een ander zorgpunt is het beperkte bereik van de Wbni. Daarin staat dat het NCSC en het DTC alleen dreigingsinformatie met partijen mogen delen die onderdeel uitmaken van de vitale of kritieke infrastructuur. De meeste bedrijven in de Rotterdamse haven hebben te maken met verschillende toezichthouders. Dat maakt het lastig om een “samenhangende vorm van cybertoezicht” te realiseren. “Hierdoor kan de kwaliteit van het cybertoezicht worden verhoogd en de (administratieve) lasten voor bedrijven worden verlaagd”, zo zegt het havenbedrijf. Het bedrijf pleit voor een ‘gezamenlijke lat’ voor digitale weerbaarheid.
Tot slot is er te weinig kennis en expertise over cybersecurity aanwezig bij de bedrijven in de Rotterdamse haven. Het havenbedrijf pleit er dan ook voor dat de overheid de regie op zich neemt als er zich een grootschalige calamiteit voordoet in de haven. Havenbedrijf Rotterdam wijst erop dat zoiets al bestaat om de problemen met watertekorten het hoofd te bieden: het Managementteam Watertekorten (MTW) coördineert momenteel de verdeling van (grond)water als het extreem droog is in ons land.
Dinsdag 6 september bespreekt de Tweede Kamer de zorgen en voorstellen van Havenbedrijf Rotterdam.
