De maritieme sector digitaliseert in hoog tempo, maar die vooruitgang legt tegelijkertijd een pijnlijk zwakke plek bloot: de cybersecurity. Waar scheepvaart traditioneel draaide om fysieke veiligheid en operationele efficiëntie, daar is nu ook digitale weerbaarheid een strategische randvoorwaarde geworden. Toch blijkt de sector nog altijd kwetsbaar – en dat terwijl de dreigingen alom zijn.
Tekst: Cees Visser Beeld: SHUTTERSTOCK
In 2019 waren er al analyses, onder meer van Computable, waarin werd gewaarschuwd dat de scheepvaart gevaar liep door een groeiend ‘security-gat’. Anno nu is dat gat niet vanzelf gedicht. Integendeel, de digitale transformatie lijkt de aanvalsvectoren alleen maar te vergroten. Zo werd tijdens een recent event van cybersecuritybedrijf Fortinet in de Rotterdame haven duidelijk hoe technologische versnelling, strengere regelgeving en geopolitieke spanningen samenkomen in een complex en risicovol dreigingslandschap. Een gesprek met Patrick Grillo, senior director solutions marketing EMEA bij het bedrijf, schetst het beeld van een sector die wel vooruit wil, maar nog niet klaar is voor de consequenties. Ook gastspreker en interim cio Martijn Groenewegen waarschuwt (verderop in dit artikel) dat cybersecurity het vertrekpunt moet zijn, niet het sluitstuk.
Onvolwassen
Volgens Grillo wacht de maritieme sector nog een uitdaging als het gaat om cybersecurity. ‘Hoewel alle betrokken partijen – scheepseigenaren, vlootbeheerders en dienstverleners – inspanningen leveren, moeten we de sector nog als relatief onvolwassen beschouwen’, stelt hij vast. De kern van het probleem ligt volgens hem in de manier waarop technologie wordt benaderd: ‘Zolang de sector niet inziet dat technologie, en met name it, een cruciale motor is voor strategische doelen via digitale transformatie, zal technologie — inclusief cybersecurity —als kostenpost worden gezien.’
Dat dit geen theoretisch probleem is, blijkt uit eerdere incidenten zoals de aanval met NotPetya in 2017. Die begon als een ogenschijnlijk gerichte cyberactie tegen Oekraïne, waarbij besmette updates van boekhoudsoftware werden gebruikt om malware te verspreiden. Al snel escaleerde dit tot een wereldwijde uitbraak. De malware bleek feitelijk een wiper: systemen werden onherstelbaar beschadigd in plaats van gegijzeld voor losgeld. Ook het Deense Maersk, een van ’s werelds grootste logistieke en containerrederijbedrijven, werd zwaar getroffen. Complete it-systemen vielen uit, van terminals tot scheepsplanning. Het bedrijf moest wereldwijd operaties stilleggen en zelfs terugvallen op handmatige processen. In totaal gingen duizenden servers en tienduizenden pc’s offline. De schade liep op tot circa driehonderd miljoen dollar en het duurde weken voordat de systemen volledig waren hersteld.
'Kwaadwillenden beschouwen de maritieme sector als een relatief zwak doelwit'
Patrick Grillo (Fortinet)
‘Dat was eerder een toevallige dan gerichte aanval’, nuanceert Grillo. Hoe dan ook, de context is inmiddels veranderd. Grillo vervolgt: ‘In de huidige geopolitieke situatie zien kwaadwillenden — met name statelijke actoren — kansen. Ze zien verstoringen in meerdere toeleveringsketens en beschouwen de maritieme sector als een relatief zwak doelwit.’
Struikelblokken
Een groot struikelblok ligt in de integratie van it- en ot-systemen aan boord. ‘Dit komt meestal door een gebrek aan vooruitplanning en onvoldoende inzicht in de verbindingsvereisten van verschillende systemen’, stipt Grillo aan. ‘Daarnaast speelt een gebrek aan samenwerking tussen leveranciers een rol.’ Maar zelfs als systemen technisch gekoppeld zijn, is het probleem nog niet opgelost. ‘It-cybersecurityeisen zijn goed bekend, terwijl ot-systemen vaak specifieke eisen hebben die deels overeenkomen, maar ook aanzienlijk verschillen.’ Daarbij komt dat passende oplossingen nog niet altijd voorhanden zijn. ‘Gezien de algemene onvolwassenheid van de sector zijn oplossingen voor ot-specifieke dreigingsdetectie en respons bovendien niet altijd beschikbaar.’
It vs ot
It staat voor informatietechnologie en verwijst naar servers, netwerkapparatuur en endpoint-devices (desktopcomputers, laptops, smartphones, point of sale-systemen, printers, scanners en tablets). Ot staat voor operationele technologie en gaat doorgaans over industriële computerapparatuur, zoals iot-gateways en besturingssystemen en machines die verantwoordelijk zijn voor de fysieke processen van een bedrijf. Waren dit voorheen twee werelden, tegenwoord vervaagt de grens tussen ot en it. Naarmate de it/ot-convergentie — de integratie van it- en ot-systemen — zich verder ontwikkelt, ontstaan ongekende flexibiliteit en nieuwe mogelijkheden. Maar tegelijkertijd brengt deze ontwikkeling ook extra cyberrisico’s met zich mee.
Grillo gebruikt een treffende vergelijking om de complexiteit te duiden: ‘Een schip is als een winkel met een fabriek achterin. De it-systemen bevinden zich voorin (zoals in de winkel), en de ot-systemen achterin (zoals in de fabriek). Voeg daar een internetverbinding en enkele applicaties op het vasteland aan toe, en je hebt een gedistribueerd bedrijfsnetwerk. Terwijl netwerken op land vaak beschikken over beveiliging zoals segmentatie, geïntegreerde netwerken (zoals secure sd-wan en sd-branch), sterke authenticatie en gecentraliseerde detectie- en responsmogelijkheden, ondersteund door realtime-dreigingsinformatie, is dit precies het model dat de maritieme sector zou moeten overnemen.’ Dit vereist volgens Grillo wel meer netwerk- en beveiligingsinfrastructuur aan boord van elk schip.
LEO
Nieuwe technologieën zoals lage-aardbaansatelliet (LEO)-netwerken vergroten de mogelijkheden voor ‘always-on’-operaties. ‘Ze kunnen zeker bijdragen aan betere beveiliging’, zegt Grillo, wijzend op de voordelen van hogere bandbreedte en lagere latency. Maar er zit volgens hem ook een keerzijde aan. ‘Als de LEO-dienstverlener zelf niet goed beveiligd is, kan deze fungeren als toegangspoort voor cyberaanvallen vanaf het land.’ In dat scenario kan malware zich lateraal door een hele vloot verspreiden.
Realtime-dreigingsdetectie en incidentrespons zijn essentieel, maar lastig te realiseren op zee. ‘Deze oplossingen zijn lokaal op een schip of centraal voor een hele vloot in te zetten, of een combinatie van beide’, legt Grillo uit. De effectiviteit staat of valt echter met updates. Zonder regelmatige updates ontstaat er een kloof tussen wat systemen kunnen en wat ze zouden moeten kunnen. Opvallend is zijn relativering van edge computing: ‘Edge computing maakt hier waarschijnlijk weinig verschil, omdat de zwakke schakel vooral de connectiviteit is.’
Om de weerbaarheid te vergroten, pleit Fortinet voor bredere toepassing van moderne beveiligingsprincipes zoals zero-trust. ‘Op zijn minst zouden de principes van zero-trust breed toegepast moeten worden,’ aldus Grillo. Dat betekent onder meer sterke authenticatie en segmentatie, en bij voorkeur via een oplossing aan boord zoals een firewall. Waar mogelijk moet ook zero-trust network access (‘nooit vertrouwen, altijd verifiëren’) worden ingezet voor kritieke applicaties.
'Wie afhankelijk is van continue connectiviteit of externe platforms, geeft een deel van zijn controle uit handen'
Martijn Groenewegen (voormalig head of it bij Allseas)
Kantelpunt
De rode draad is duidelijk: de maritieme sector staat op een kantelpunt. Digitalisering biedt enorme kansen, maar vergroot ook de afhankelijkheid van goed beveiligde systemen. Volgens Fortinet ligt de sleutel in een geïntegreerde aanpak. Door it en ot te verbinden in één securitystrategie en deze consistent door te voeren van wal tot schip, kunnen organisaties risico’s beter beheersen zonder de operatie te verstoren. Of zoals Grillo het samenvat: zonder structurele investering in cybersecurity dreigt de sector achter de feiten aan te blijven lopen – en blijft het beeld van een industrie die ‘lek is als een mandje’ hardnekkig.
Allseas
Ook aanwezig op het Fortinet-cybersecurityevent is Martijn Groenewegen, interim cio en voormalig head of it bij Allseas. Hij gaat als gastspreker in op de digitale transformatie van Allseas. Met schepen als de Pioneering Spirit opereert dit Zwitsers-Nederlands offshorebedrijf in een wereld waar it en ot volledig zijn versmolten. Die realiteit maakt cybersecurity direct operationeel: als systemen uitvallen, ligt het werk stil. ‘Er bestaat geen it-storing meer, alleen nog operationele verstoring’, stelt Groenewegen. Tegelijkertijd groeit de afhankelijkheid van digitalisering en remote operations, terwijl connectiviteit op zee per definitie beperkt en kwetsbaar blijft.
Volgens Groenewegen dwingt dat tot een fundamenteel andere benadering. Veel organisaties sturen it, ot en cyber nog steeds versnipperd aan, met suboptimale keuzes en onduidelijk eigenaarschap tot gevolg. ‘Fragmentatie is de grootste kwetsbaarheid die je kunt hebben,’ zegt hij. Allseas kiest daarom voor centrale regie en ‘security by design’, met offline-first-architecturen en edge computing: schepen als autonome, beveiligde datacenters. Dat is niet alleen een technische keuze, maar ook een geopolitieke. ‘Wie afhankelijk is van continue connectiviteit of externe platforms, geeft een deel van zijn controle uit handen.’
Tegelijkertijd voegt de opkomst van ai, en dan met name agentic ai, een nieuwe laag van complexiteit toe. Waar ai-systemen steeds autonomer beslissingen nemen en processen kunnen orkestreren over it- en ot-domeinen heen, ontstaat een fundamentele verschuiving in zowel kansen als risico’s. Aan de ene kant biedt dit ongekende mogelijkheden voor optimalisatie, voorspellend onderhoud en autonome operaties op schaal. Aan de andere kant neemt de noodzaak toe voor strakke orchestration en governance, omdat beslissingen niet langer uitsluitend door mensen worden genomen maar door samenwerkende ai-agenten met steeds bredere bevoegdheden. Dat vergroot de impact van fouten, bias of misconfiguratie exponentieel.
Die discussie wordt urgenter nu de sector kijkt naar verdere automatisering en zelfs nucleaire voortstuwing. In zulke omgevingen is aantoonbaar ‘in control’ zijn geen ambitie maar een randvoorwaarde. ‘Als falen geen optie is, moet cybersecurity het vertrekpunt zijn, niet het sluitstuk’, aldus Groenewegen. ‘Voor cio’s en ciso’s betekent dat een scherpe conclusie: zonder integrale regie en architectuurgedreven keuzes blijft digitalisering een risico, in plaats van een strategisch voordeel.’
