Gevaar op zee na hack bij maritieme dienstverlener

Ongeveer een kwart van de olieplatforms in het Nederlandse deel van de Noordzee wordt op afstand bewaakt door Royal Dirkzwager. De maritieme dienstverlener uit Maassluis noemt zichzelf ‘24/7 de ogen en oren van de maritieme wereld’. Met geavanceerde monitoringsystemen ziet het bedrijf erop toe dat er geen scheepvaartverkeer in de buurt van de booreilanden komt. Het bedrijf heeft al meer dan 150 jaar ervaring met het in de gaten houden van scheepvaartverkeer. Dat begon ooit met een verrekijker en vervolgens met paard en kar naar de haven. Nu is Royal Dirkzwager een databedrijf.

Maar stel je voor dat de systemen uitvallen en er geen enkel signaal meer binnenkomt op de controlekamer, gelegen aan de Nieuwe Maas. Dan is het gissen naar de nautische omstandigheden rondom de olieplatformen en andere kritische infrastructuur die het bedrijf bewaakt. Een schip met motorproblemen, een niet oplettende kapitein of een zeilboot die de vaarroute wil afsnijden en recht op een olieplatform afkoerst. Een situatie met mogelijk catastrofale gevolgen ligt op de loer.

"Er zijn een hoop mensen wakker gebeld die nacht"

En dus moest er razendsnel geschakeld worden in die nacht van maandag 6 maart. Nicolas Maes, Head of Product & IT, was nog maar twee maanden in dienst toen hij uit bed werd gebeld, omdat de monitoringsystemen niet meer werkten. Het bedrijf nam onmiddellijk contact met de desbetreffende olieplatformen en al snel werden er helikopters met bemanning naar de eilanden gestuurd om zelf de bewaking over te nemen. “Er zijn een hoop mensen wakker gebeld die nacht”, zegt Nicolas.

Het monitoren van belangrijke infrastructuur op zee is niet de enige activiteit van Royal Dirkzwager. Een deel van de dienstverlening draait om Software-as-a-Service (SaaS), zegt Nicolas: “Wij verzamelen informatie over alle scheepsbewegingen in een haven. Die informatie delen we met onze klanten, zodat zij hun logistieke processen kunnen optimaliseren.” Op dat gebied timmert Royal Dirkzwager stevig aan de weg. Steeds meer havens delen hun gegevens.

Nicolas: “Hoe meer havens we connecteren, hoe beter wij bijvoorbeeld voorspellingen over mogelijke vertragingen kunnen doen. Als rederijen dat weten, kunnen ze schepen langzamer laten varen, waardoor ze brandstof besparen.” Maar ook de systemen waar deze software op draait, lagen er in die nacht van maandag 6 maart uit. “We hebben nog wat noodprocedures kunnen inrichten, maar het was een heel groot probleem. Bij veel klanten liepen de logistieke processen in de soep.”

Cyberaanval na 'brute-force attack'

Royal Dirkzwager heeft die nacht zo goed en kwaad als mogelijk oplossingen ingericht voor het wegvallen van de automatisering. De betrokkenheid van medewerkers was daarbij heel groot. Er is zelfs samengewerkt met een van de concurrenten om te zorgen dat de belangrijkste processen onverstoord door konden gaan. En bovenal is er vanaf het begin zo helder mogelijk gecommuniceerd over de ontstane situatie. Problemen die - zo bleek al snel - het gevolg waren van een cyberaanval.

Hoe dat heeft kunnen gebeuren, is simpel, zegt Nicolas. “Onze beveiliging was op dat moment niet goed. Er waren geen beperkingen op het aantal keer dat iemand een wachtwoord kon invoeren. Daardoor konden cybercriminelen toegang tot de server forceren, door een eindeloze hoeveelheid wachtwoorden in te voeren. Vervolgens konden ze alle bestanden op de servers versleutelen.”

Royal Dirkzwager schakelde de hulp in van IT-beveiligingsspecialist Northwave om de situatie te herstellen. “Ze hebben server voor server helemaal opgeschoond en uiteindelijk back-ups kunnen terugplaatsen die enkele dagen voor de aanval gemaakt waren. Dat was gelukkig onze redding.”

Terugval op het oude DataDirk IT-systeem

Daarnaast vertelt Nicolas over een oud IT-systeem waar Royal Dirkzwager op terug kon vallen. “DataDirk is een systeem dat gebouwd is in 1983. Dat systeem is gelukkig blijven draaien, want het werkt volledig offline op Linux. Het systeem verwerkt data op basis van xml-bestanden. Hiermee hebben we toch nog scheepvaartverkeer kunnen registreren en dit telefonisch met klanten gedeeld.”

Het duurde al met al tien dagen tot Royal Dirkzwager weer volledig operationeel was. Gelukkig kon het bedrijf op heel veel steun en vertrouwen rekenen van de klanten. Daarnaast was er veel contact met het Nationaal Cyber Security Centrum (NCSC), omdat de dienstverlening de vitale sector betreft.

Open communicatie

Op het moment van de hack was Royal Dirkzwager nog maar net in handen van een nieuwe eigenaar. Nicolas: “Er was ontzettend veel geïnvesteerd in het bedrijf. Het allerbelangrijkste was dat we geen klanten zouden verliezen.” Nicolas denkt dat de open communicatie met klanten heeft geholpen om de klanten aan boord te houden. “We hebben elke dag via de e-mail één of meerdere updates gestuurd. Daarnaast hebben onze collega’s steeds telefonisch met klanten in contact gestaan, om vragen te beantwoorden en te helpen met alternatieve oplossingen. Vanaf de derde dag hebben we stap voor stap weer onze dienstverlening kunnen opstarten. Het was een zeer intensieve periode."

Bovenal was het een “crash course” voor Nicolas in zijn nieuwe functie. “Het was geen fijne situatie, maar ik heb me in korte tijd ontzettend goed kunnen inwerken. Ik voel me zeker verantwoordelijk voor wat er gebeurd is. Met name intern naar m’n collega’s. Ik vond het vervelend dat ik niet altijd het volledige plaatje kon geven. Zij kregen vragen die ik ook niet altijd kon beantwoorden.”

Zero trust

Of er fouten zijn gemaakt? “Achteraf gezien misschien wel. We waren in die tijd met een migratie naar de cloud bezig, en we hadden sneller moeten inzetten op security. Dat is nu wel anders. Security staat bovenaan. We hebben een extreem veilige omgeving gecreëerd, gebaseerd op zero trust. We willen te allen kosten vermijden dat zoiets weer kan gebeuren.” Toch is Nicolas ook reëel: “Het kan iedereen overkomen. We zijn niet het eerste en laatste softwarebedrijf dat gehackt is, helaas.”

In de haven van Rotterdam komen cyberaanvallen wel vaker voor. Volgens Evelien Bras van samenwerkingsverband FERM zijn havenbedrijven een interessant doelwit voor geopolitieke doeleinden. “Kijk naar de oorlog in Oekraïne. De eerste grote aanval was op de haven van Odessa. Een aanval op een haven heeft heel veel impact,” vertelde ze eerder in een interview met het DTC.

Lessen delen

Of de aanval op Royal Dirkzwager een gerichte aanval was, durft Nicolas niet met zekerheid te zeggen. “Dat weet je nooit. We hebben het nog proberen uit te zoeken. Maar als ik kijk naar de hoge Bitcoin-eis, dan denk ik dat ze ons verward hebben met een ander bedrijf. Betalen was geen optie.”

Royal Dirkzwager heeft via het netwerk van FERM de lessen van deze cyberaanval met andere bedrijven uit de Rotterdamse haven gedeeld. Nicolas: “We zijn er heel open over. Ook over de fouten die we gemaakt hebben. We hopen eraan bij te dragen dat andere bedrijven die fouten niet maken.”