Notitie

Oude Waalsdorperweg 63
2597 AK Den Haag
Postbus 96864
2509 JG Den Haag

www.tno.nl

T +31 88 866 10 00

Cyberrisicomanagement voor schepen F +31 70 328 09 61

Auteurs: Marieke Klaver, Tom van Schie

Datum

Inhoudsopgave 29 oktober 2020

Onze referentie
Cyberrisicomanagement voor schepen ....................................................................1
TNO 2020 M11640
Inleiding ....................................................................................................................1
Het belang van cybersecurity voor de maritieme sector ..........................................2
1. Governance en risicomanagement voor cybersecurity ........................................5
2. Identificatie ........................................................................................................ 11
3. Bescherming ...................................................................................................... 13
4. Detectie.............................................................................................................. 18
5. Respons ............................................................................................................ 20
6. Herstel ............................................................................................................... 23
Begrippen en afkortingen ...................................................................................... 24
Bronnen en aanvullende informatie ....................................................................... 25

Inleiding
De scheepvaart wordt steeds afhankelijker van digitale systemen. Digitale
systemen spelen een onmisbare rol in onder andere de aansturing van schepen,
de navigatie en de uitwisseling van logistieke informatie. Naast vele voordelen
brengt de toegenomen digitalisering ook risico’s met zich mee. Om de risico’s
beheersbaar te houden heeft de International Maritime Organisation (IMO)
resolutie MSC.428(98) opgesteld om cyberrisico’s mee te nemen in het Safety
Management System (SMS) van een schip. Verder spoort de resolutie landen aan
om cyberrisico’s mee te nemen in de eerste jaarlijkse controle na 1 januari 2021
van het Document of Compliance (DoC) van rederijen.

Via een dynamische verwijzing in het Schepenbesluit 2004 is de resolutie ook van
kracht in Nederland. De Inspectie Leefomgeving en Transport (ILT), al dan niet
door tussenkomst van klassenbureaus, zal toezien dat de cyberrisico’s worden
meegenomen in het SMS van een schip.

Dit document is een handreiking voor de Nederlandse scheepvaart met

basisinformatie over hoe cybersecurity risicomanagement kan worden ingericht.
Het document is bedoeld als ondersteuning en er vloeien geen verplichtingen uit
 Datum
29 oktober 2020
voort. Het document biedt een overzicht van de belangrijkste elementen binnen
cyber risicomanagement, en geeft aan waar aanvullende informatie te vinden is Onze referentie
TNO 2020 M11640
voor de verdere uitwerking.
Blad
De handreiking is opgesteld door TNO in opdracht van het Ministerie van 2/25
Infrastructuur en Waterstaat. De inhoud is afgestemd met de ILT en de Koninklijke
Vereniging van Nederlandse Reders (KVNR). Als uitgangspunt voor deze
handreiking is gebruik gemaakt van een aantal basisdocumenten, met name:
• De IMO “Guidelines on maritime cyber risk management” (MSC-FAL.1/Circ.3)
[1] met de aanbeveling om cyber risicomanagement in te voeren om schepen
tegen bestaande en toekomstige cyberdreigingen te beschermen.
• Het document “Guidelines voor cybersecurity on board” , opgesteld door een
aantal organisaties uit de maritieme sector, waaronder BIMCO [2], (naar dit
document wordt in deze handreiking verwezen met de term Guidelines).
• Het “Framework for Improving Critical Infrastructure Cybersecurity” van het
National Institute of Standards and Technology uit de Verenigde Staten [3].

Deze handreiking bevat een overzicht van de elementen die van belang zijn voor
de cybersecurity voor schepen.
Hierbij wordt de hoofdindeling van de IMO Guidelines gehanteerd. Na een
beschrijving van het belang van cybersecurity voor de scheepvaart volgt de
volgende hoofdindeling van cybersecurity maatregelen:
1. Governance en risicomanagement
2. Identificatie
3. Bescherming
4. Detectie
5. Respons
6. Herstel

Elk van de genoemde categorieën wordt uitgewerkt in een aantal relevante

elementen.

Het belang van cybersecurity voor de maritieme

sector
De laatste jaren neemt het aantal cyberaanvallen in de maritieme sector toe.
Naast een aantal spraakmakende incidenten op havenfaciliteiten met grote
consequenties (Maersk 2017, Barcelona 2018, San Diego 2018) neemt ook het
aantal incidenten met schepen toe.

Een aantal voorbeelden:

• In 2017, a ransomware attack in a
shipmaster’s computer spread to the ship’s
operational systems cutting the power supply.
The crew was unable to resolve the issue and
had to fly in IT support. It took three days to
regain power. The ransomware had
successfully spread despite segregation of
 Datum
29 oktober 2020
networks.
(bron: [4]) Onze referentie
• In an example from 2019, a container ship in TNO 2020 M11640
route to New York discovered that its network Blad
had been severely weakened by malware. 3/25
The US Coast Guard and the FBI visited the
ship before it reached port. They could
establish that the malware called Emotet had
not affected any essential operational
systems. However, their investigations
revealed several serious IT security
weaknesses, including critical vulnerabilities
to critical control systems.
(bron: [4])
• A new-build dry bulk ship was delayed from
sailing for several days because its ECDIS
was infected by a virus. The ship was
designed for paperless navigation and was
not carrying paper charts. The failure of the
ECDIS appeared to be a technical disruption
and was not recognized as a cyber issue by
the ship’s master and officers. A producer
technician was required to visit the ship and,
after spending a significant time in
troubleshooting, discovered that both ECDIS
networks were infected with a virus. The virus
was quarantined and the ECDIS computers
were restored. The source and means of
infection in this case are unknown. The delay
in sailing and costs in repairs totalled in the
hundreds of thousands of dollars (US). (Bron:
[2])
• Cyber adversaries are attempting to gain
sensitive information including the content of
an official Notice of Arrival (NOA) using email
addresses that pose as an official Port State
Control (PSC) authority such as: port @
pscgov.org. Additionally, the Coast Guard has
received reports of malicious software
designed to disrupt shipboard computer
systems. (Bron: [16])
• Cruise operator Carnival Corp said on
Monday (17 augustus 2020) it launched an
investigation into a ransomware attack on one
of its brand’s information technology systems.
Carnival, which operates AIDA, Carnival and
Princess cruises among others, in a
regulatory filing said the attack included
unauthorized access to personal data of
guests and employees. (bron [20])
 Datum
29 oktober 2020
De voorbeelden laten zien dat cyberincidenten ertoe kunnen leiden dat essentiële
systemen aan boord uitvallen of onbetrouwbaar worden. Ook kunnen Onze referentie
TNO 2020 M11640
vertrouwelijke gegevens zoals financiële gegevens, intellectueel eigendom of
persoonsgegevens worden gemanipuleerd of ontvreemd. De US Coast Guard Blad
benadrukt vooral het risico van de toenemende verbondenheid tussen de IT en 4/25
operationele technologie (OT).

However, with engines that are controlled by

mouse clicks, and growing reliance on
electronic charting and navigation systems,
protecting these systems with proper
cybersecurity measures is as essential as
controlling physical access to the ship or
performing routine maintenance on traditional
machinery. It is imperative that the maritime
community adapt to changing technologies and
the changing threat landscape by recognizing
the need for and implementing basic cyber
hygiene measures. [bron: [16])

De genoemde incidenten hoeven niet altijd te worden veroorzaakt door gerichte

aanvallen. Zo lag aan het eerder genoemde incident met malware (februari 2019)
een gebrek aan basis cybersecurity maatregelen ten grondslag.

Een beschrijving door de US Coast Guard

van een malware incident uit 2019:
Once aboard, the team quickly realized that the
ship’s systems had fallen victim to a credential-
mining virus, which Capt. Tama said was
Emotet. The malware had infiltrated the ship’s
network due to an almost total lack of
cybersecurity safeguards, he said.
An investigation by the Coast Guard and the
FBI found that there was a single login to the
ship’s computer shared among all crew, that
external hard drives and memory devices were
routinely plugged in without security measures,
and that there was no antivirus software
installed on the ship’s computers.
In addition, Capt. Tama said, the vessel had
visited ports in Pakistan, India and Oman. In
those ports, it had been common practice to
share memory sticks—containing cargo and
route data, human resources information and
fuel data—with third-party vendors, and plug
them directly into the network. (Bron: [20])
 Datum
29 oktober 2020
1. Governance en risicomanagement voor Onze referentie
cybersecurity TNO 2020 M11640

Blad
5/25
Inrichten risicomanagement voor cybersecurity
Voor het inrichten van risicomanagement is het van belang om een goede
risicoanalyse te doen, om zo een beeld te krijgen van de cyberrisico’s aan boord.
Bij een risicoanalyse identificeert men wat mogelijke dreigingen zijn, welke
systemen essentieel zijn voor het opereren en wat mogelijke kwetsbaarheden zijn
in de veiligheid van het schip.
Het uitvoeren van een risicoanalyse is geen gemakkelijk traject: het vergt zowel
gespecialiseerde kennis over cyberdreigingen en kwetsbaarheden van de
gebruikte systemen, als inzicht in de eigen operationele processen en de
mogelijke effecten van cyberincidenten. Er bestaat dan ook geen uniform
risicobeeld voor de totale maritieme sector. Daarvoor zijn de verschillen binnen de
maritieme sector te groot.

Verschillen in de mate van risico

Cyberrisico’s kunnen uiteenlopen. Een aantal
bepalende factoren hiervoor zijn:
• De manier waarop het beheer en
onderhoud van de ICT-systemen is
geregeld, waaronder de verdeling tussen
werkzaamheden aan boord en aan wal en
de verbindingen hierin.
• De grootte van de ICT-beheerorganisatie
aan de wal en de kennis van cybersecurity
binnen deze organisatie.
• De manier waarop security al eerder is
meegenomen in het ontwerp van de
systemen aan boord en de eisen aan
leveranciers.
• De gebruikte systemen (bijvoorbeeld
ouderdom).
• De toegepaste veiligheidsmaatregelen.

Ondanks dat deze verschillen het lastig maken om een uniform risicobeeld voor
de maritieme sector op te stellen, kan het bedrijven wel helpen om informatie en
ervaringen te delen binnen samenwerkingsverbanden en fora.

Informatie-uitwisseling rond dreigingen en

kwetsbaarheden
Binnen de maritieme sector wordt informatie
rond dreigingen en kwetsbaarheden
uitgewisseld in verschillende fora, zoals
 Datum
29 oktober 2020
bijvoorbeeld in samenwerkingsverbanden rond
de havens, zoals FERM voor de Rotterdamse Onze referentie
haven en het Cyber Security Programma TNO 2020 M11640
Noordzeekanaalgebied in de Amsterdamse Blad
haven. 6/25
Voor algemene kwetsbaarheden in systemen
levert het Nationaal Cyber Security Center
(NCSC) beveiligingsadviezen met informatie
over recent gevonden kwetsbaarheden of
dreigingen in specifieke systemen.
Voor dreigingsscenario’s kan gebruik gemaakt
worden van algemene beelden zoals het Cyber
Security Beeld Nederland (CSBN) waarin
mogelijke actoren en aanvalsvormen zijn
beschreven. Het CSBN 2020 [4] meldt dat de
digitale risico’s onverminderd groot zijn.

De recente toename in het aantal

cyberaanvallen in de maritieme sector zorgt
ook internationaal voor waarschuwingen door
overheidspartijen. Zo heeft de United States
Coast Guard in de zomer van 2020 een
waarschuwing uitgebracht waarin het belang
wordt benadrukt van een goede bescherming
tegen cyberaanvallen. Hierbij wordt de nadruk
gelegd op de kwetsbaarheid van operationele
technologie die via internet toegankelijk is [16].

Ook andere landen waarschuwen tegen de

cyberdreiging tegen schepen. Zo maakt een
Deense overheidsorganisatie de volgende
inschatting van de cyberdreiging voor de
Deense schepen (april 2020): CFCS assesses
that the cyber threat against the operational
systems on board Danish ships is HIGH. This
entails that within the next two years, the
operational systems on board one or several of
the 700 Danish-flagged merchant ships will
likely become target of a cyber attack. The
threat reflects the numerous examples of such
attacks seen across the world. The threat also
applies to ships operated by Danish shipping
companies sailing under foreign flags.
It is likely that operational systems on ships are
subject to cyber threats from a number of
different actors whose intentions and
techniques vary. Irrespective of intentions and
techniques, any type of attack against
 Datum
29 oktober 2020
operational systems on ships may affect the
operation of the ship [4]. Onze referentie
TNO 2020 M11640

Blad
Betrokkenheid management van de organisatie 7/25
De betrokkenheid en commitment van het management vormt een belangrijke
voorwaarde voor een effectieve implementatie van cybersecurity. Te vaak wordt
cybersecurity gezien als een onderwerp dat alleen de technische afdeling
aangaat. Cyberrisico’s kunnen echter de hele organisatie raken en grote impact
hebben op de veiligheid van de bemanning, het schip en de omgeving. Tevens
vormen cyberrisico’s een bedreiging voor de continuïteit van de organisatie. Dit
maakt dat afwegingen rond cyberrisico’s ook op de bestuurstafel thuishoren.
De Cyber Security Raad geeft daarom de aanbeveling om een portefeuillehouder
voor cybersecurity binnen het management aan te wijzen [17]. Door betrokkenheid
van het management bij cybersecurity kan er een (open) cultuur worden
gecreëerd waarin de hele organisatie zich bewust is van cyberrisico’s. Eenzelfde
aanbeveling is ook vermeld in de IMO Guidelines:

Senior management should embed a culture of

cyber risk awareness into all levels and
departments of an organization and ensure a
holistic and flexible cyber risk management
regime that is in continuous operation and
constantly evaluated through effective feedback
mechanisms. (Bron: [1])

Opnemen maatregelen voor cybersecurity in het Safety

Management System (SMS)
Cybersecurity is niet los te zien van andere risico’s aan boord van schepen.
Cyberincidenten kunnen leiden tot veiligheidsrisico’s aan boord. De ISM Code
vereist reeds het identificeren van alle risico’s voor schip, personeel en omgeving.
Cyberrisico’s vormen hier een integraal onderdeel van. Zo kunnen cyberincidenten
leiden tot veiligheidsrisico’s of milieuschade en zal het bij een incident niet altijd
direct duidelijk zijn of hieraan een cyberincident ten grondslag heeft gelegen.
Door voor cybersecurity waar mogelijk aan te sluiten bij de bestaande safety en
security procedures en functies kan de implementatie worden vergemakkelijkt.
Ook voor het beleggen van rollen en verantwoordelijkheden kan zoveel mogelijk
worden aangesloten bij de taakverdeling voor het SMS.

Stimuleren en trainen van cyber awareness (zoals genoteerd in

de ISM 6 en 3)
Het serieus nemen van het digitaal beveiligen van een schip is essentieel. Het
onderwerp is voor alle medewerkers van belang, van bemanningsleden tot
management (master, CySO, DPA) en zou geïntegreerd moeten worden met
bestaande trainingsactiviteiten.
 Datum
29 oktober 2020
Het management heeft een voorbeeldfunctie en een cruciale rol in de
cyberweerbaarheid van een rederij. Hiervoor zijn verschillende methoden Onze referentie
TNO 2020 M11640
beschikbaar:
• Het regelmatig alert houden van medewerkers door informatie te verschaffen Blad
over dreigingen en kansen in de cybersecurity. Bijvoorbeeld door 8/25
cyberrisicomanagement als proces uit te leggen aan de hand van
praktijkvoorbeelden, maar ook door systeem- of situatie specifieke
gedigitaliseerde processen aan boord inzichtelijk te maken. Cybersecurity
moet vanzelfsprekend worden, nel als safety maatregelen.
• Het opnemen van cybersecurity als vast vergaderpunt tijdens reguliere
vergaderingen.
• Het invoeren van nieuw beleid of het uitbreiden of actualiseren van het
bestaand beleid. Onder andere afspraken over wie verantwoordelijk is voor de
cybersecurity, hoeveel awareness training verplicht is, hoe en wat voor soort
houding de rederij als geheel aanneemt ten opzichte van digitale veiligheid.

De bemanning moet zich ook bewust zijn van digitale gedragsregels en deze aan
boord en aan wal naleven. Voorbeelden van gedragsregels zijn:
• Altijd alert zijn bij gebruik van gegevensdragers. Sluit bijvoorbeeld geen
persoonlijke of gevonden USB-sticks aan op computers aan boord.
• Deel nooit inloggegevens en wachtwoorden, zelfs niet met je collega’s.
• Hanteer een clean desk beleid door geen documenten rond te laten slingeren.
Het vergrendelen van apparaten wanneer de werkplek wordt verlaten is hier
een digitaal voorbeeld van.
• Pas op voor verdachte e-mails en telefoontjes, verifieer de bron bij twijfel.
• Gebruik sterke wachtwoorden.
• Realiseer dat Wifi-netwerken voor medewerkers een risico kunnen zijn.
Malafide Wifi-hotspots kunnen meelezen bij het gebruik van onversleutelde
verbindingen. Hierdoor kan gevoelige informatie onderschept worden of
malafide software (malware) geïnstalleerd worden.

Doordat schepen digitaliseren kan het zijn dat de benodigde competenties en

functieprofielen niet meer toereikend zijn voor het veilig en functioneel in de vaart
houden van schepen. Het is aanbevolen om te bepalen of een IT-
beveiligingsmedewerker of OT-securityspecialist benodigd is op de korte of lange
termijn.
Ten slotte zal cyberveiligheid een onderdeel worden in bestaande (fysieke)
trainingsactiviteiten omdat cyberrisicomanagement opgenomen wordt in het
Safety Management Systeem (SMS). Cyberincidenten kunnen opgenomen
worden in bestaande of nieuwe oefenscenario’s.

Gebruik van standaarden en richtlijnen

Voor het inrichten van cybersecurity binnen een organisatie is het raadzaam
gebruik te maken van standaarden en richtlijnen. Hiervoor is een aantal algemene
bronnen beschikbaar:
• Het NIST Framework voor Cybersecurity (CSF), een van oorsprong
Amerikaans framework dat een indeling geeft van de meest relevante
aspecten voor cybersecurity. Voor de uitwerking wordt verwezen naar andere
normen.
 Datum
29 oktober 2020
• De ISO 27000 serie omvat verschillende informatiebeveiligingsnormen. De
serie geeft good practices en praktijkaanbevelingen over het beheer van Onze referentie
informatiebeveiliging en van informatierisico's. TNO 2020 M11640
• De IEC62443 serie is een verzameling van normen specifiek voor Blad
cybersecurity voor operationele technologie. 9/25
• NIST Special Publication 800-82 Revision 2 is een veel gebruikt
basisdocument voor cybersecurity van Operationele Technologie (OT).

Daarnaast bestaan er specifieke uitwerkingen voor de maritieme sector:

• De ‘Guidelines on Cybersecurity onboard Ships’ biedt een uitgangspunt voor
maatregelen, dat breed is geaccepteerd binnen de maritieme sector [2].
• De uitwerking van richtlijnen voor containerschepen, met gebruikmaking van
het CSF [8].
• Een uitwerking voor de Britse scheepvaart [5].

Ook een aantal klassenbureaus beschrijft aanbevelingen voor de uitwerking van

cybersecurity voor schepen, zie bijvoorbeeld de volgende documenten:
• ABS, Guidance notes on the application of cybersecurity principles to marine
& offshore operations, ABS CyberSafetyTM VOL. 1, 2016.
• ABS, Cybersecurity implementation for the marine and offshore industries,
ABS CyberSafety volume 2, versie: update 2018.
• DNV-GL, Recommended practice: Cyber security resilience management for
ships and mobile offshore units in operation, DNVGL-RP-0496. 2016.
• IACS, Recommendation on Cyber Resilience, 2020 (Corr.1 July 2020).

Samenwerking met leveranciers

Idealiter wordt cybersecurity reeds meegenomen in het ontwerp van systemen
(security by design) en in hun integratie in een operationele omgeving . Hoewel dit
misschien voor een deel van de nieuwe schepen geldt, is de werkelijkheid in een
groot aantal gevallen weerbarstiger. Schepen bevatten vaak deels verouderde
apparatuur waarin cybersecurity eisen nog niet zijn meegenomen. Daarnaast
bevatten schepen apparatuur van verschillende leveranciers die in de loop van
jaren aan elkaar gekoppeld zijn.
Dit maakt dat de schepen voor hun cybersecurity aan boord deels afhankelijk zijn
van leveranciers en installateurs voor het tijdig oplossen van kwetsbaarheden en
het verstrekken van informatie over de gebruikte systemen. Goede afspraken met
leveranciers en installateurs zijn belangrijk, het beïnvloedt namelijk niet alleen de
verwachtingen tussen de reder en de directe leveranciers, maar ook de
leveranciers en installateurs die zij weer aannemen. Hiermee werkt het
vertrouwen en de gemaakte afspraken door in de keten.
 Datum
29 oktober 2020
Samenvatting & Tips
Onze referentie
TNO 2020 M11640
Het onderwerp cybersecurity moet een plaats krijgen in
Governance en risicomanagement voor cybersecurity

bestaande governance en risicomanagement processen. Het Blad

staat op gelijke hoogte ten opzichte van safety, security en het 10/25

voorkomen van milieuschade. Cybersecurity introduceert wel

andere risico’s en daardoor ook nieuwe aandachtspunten en
maatregelen. De maatregelen worden geborgd in het SMS.
Betrokkenheid van het management is van groot belang om op
een effectieve en structurele wijze keuzes te maken om
cybersecurity adequaat in de organisatie te borgen, en daarmee
bij te dragen aan een veilig en betrouwbaar schip.
• Neem cybersecurity op in bestaande
risicomanagementprocessen.
• Voer een cyberrisicoanalyse uit en informeer alle medewerkers
over de bevindingen.
• Maak cybersecurity een terugkerend onderwerp en aandachtspunt
voor het management.
• Breng de cybersecurity awareness van bemanningsleden tot aan
het management op peil door het organiseren van oefeningen en
trainingen. Digitale gedragsregels moeten op eenzelfde manier
nageleefd worden als maatregelen omtrent safety.
• Gebruik bestaande standaarden en richtlijnen.
• Neem cybersecurity op in de afspraken met leveranciers en
installateurs en leg deze afspraken goed vast.
 Datum
29 oktober 2020
2. Identificatie Onze referentie
TNO 2020 M11640
Beleggen van rollen en verantwoordelijkheden (gerelateerd aan Blad
ISM 3) 11/25

De verwevenheid van digitale systemen aan boord van schepen is een uitdaging
voor effectief cyberrisicomanagement. Verschillende systemen en leveranciers
introduceren bijvoorbeeld verschillende beheers- en updatemechanismen aan
boord en aan wal. Dit brengt cybersecurity en fysieke uitdagingen met zich mee.
Het is daardoor van belang dat de rollen en verantwoordelijkheden belegd zijn bij
de juiste personen, ook voor cyberrisicomanagement. Het kan voorkomen dat
bestaande rollen en verantwoordelijkheden verrijkt worden met het onderwerp
cybersecurity, in andere gevallen zijn er medewerkers nodig die volledig ten
dienste staan voor (onderdelen van) het onderwerp cybersecurity. Een
veelvoorkomende rol is een Cyber Security Officer (CySO) of een Information
Security Officer (ISO). Deze persoon werkt samen met een Designated Person
Ashore (DPA), waardoor afstemming met het hogere management geborgd is en
het SMS gecontroleerd is. De rol kan geïntegreerd zijn met een rol die al in de
organisatie aanwezig is.

Schepen worden aangestuurd door IT en OT die op het schip en aan wal zijn
geïnstalleerd. Het aanwijzen van rollen en het beleggen van
verantwoordelijkheden is van belang omdat hiermee zowel aan boord als aan wal
bekend is welke maatregelen worden genomen voor de IT en OT om het schip
veilig te laten opereren. Indien kritieke systemen uitvallen als gevolg van een
verstoring in IT of OT kunnen diegenen die hiervoor verantwoordelijk zijn gesteld
(bijvoorbeeld de CySO) adequaat handelen met medewerkers en mogelijke
leveranciers. Voor gespecialiseerde vraagstukken kan de CySO als intermediair
optreden met externe experts.

Identificeren van de belangrijkste assets en systemen

(gerelateerd aan ISM 10)
Het is van belang dat men in staat is tot het identificeren van die systemen die bij
uitval een grote impact hebben op het (veilig) functioneren van het schip. Vanuit
het perspectief van cybersecurity gaat het hierbij om het identificeren van
losstaande of geïntegreerde digitale systemen (soft- en hardware,
communicatiemiddelen) en de datastromen die kritieke processen regelen. Een
voorbeeld van een voormalig losstaand systeem dat nu veelal geïntegreerd wordt,
is een systeem waarop digitale zeekaarten (ECDIS) getoond worden. Andere
geïntegreerde digitale systemen kunnen zijn automatisch aangestuurde kleppen of
druksensoren of een Bridge Navigational Watch Alarm System (BNAW). Voor elk
van de hardware- en softwaresystemen dienen relevante gegevens te worden
vastgelegd, zoals versienummer, de producent, de firmware [11]. Vervolgens kan
het belang van het systeem daaraan gekoppeld worden om een afgewogen
risicoschatting te maken (bijvoorbeeld geprioriteerd in drie niveaus zoals laag,
midden, hoog).
 Datum
29 oktober 2020
Naast de generieke IT systemen is aandacht voor de operationele technologie
(OT) vereist. Bij het identificeren van relevante systemen kan worden gedacht aan Onze referentie
TNO 2020 M11640
systemen, onderverdeeld in clusters:
• Navigatie- en radiocommunicatiesystemen Blad
• Motor- en aandrijving systeem 12/25
• Vrachtmanagementsysteem
• Toegangscontrolesysteem
• Passagiers- en onderhoudssysteem
• Internetcommunicatiesysteem

Voor een uitgebreider overzicht wordt verwezen naar Annex A uit de IMO
Guidelines. Het resultaat van de identificatie wordt vastgelegd in een overzicht
waarin de voornaamste systemen zijn vastgelegd.

Figuur 1: voorbeeld van een template voor het vastleggen van de belangrijkste
systemen [8]

Een formaat om kenmerken van software vast te leggen is te vinden in Appendix I

uit [11].

Samenvatting & Tips

Het identificeren van rollen, verantwoordelijkheden, assets en

systemen is cruciaal voor het uitvoeren van risicomanagement en
het reageren op incidenten. Cyber awareness houdt in dat ieder
Identificatie

bemanningslid of manager weet wat er wel of niet moet

gebeuren. Niet alleen tijdens incidenten, maar ook tijdens
normale (dagelijkse) werkzaamheden.
• Stel een Cyber SecurityOfficer (CySO) aan en laat deze
samenwerken met de Designated Person Ashore (DPA).
• Identificeer kritische assets en systemen en bepaal hoe deze
(digitaal) beveiligd zijn.
 Datum
29 oktober 2020
3. Bescherming Onze referentie
TNO 2020 M11640
Beschermende maatregelen (gerelateerd aan ISM 1) Blad
Beschermen houdt in deze context in dat er adequate maatregelen genomen zijn 13/25
om het functioneren van kritieke processen van een schip te waarborgen. Deze
maatregelen dragen bij aan het controleren van de impact van cybersecurity
incidenten door deze te voorkomen of de impact te beperken.
Omdat digitale dreigingen invloed kunnen hebben op de safety en security van
een schip (en haar bemanning) is het nemen van beschermende maatregelen
verplicht (ISM 1).Cyberrisicomanagement geeft inzicht in de risico’s en de impact
van deze maatregelen op het functioneren van het schip. Met dit inzicht kan men
een onderbouwde keuze maken voor de type maatregelen en prioriteiten stellen.
Twee voorbeelden:
• Het is mogelijk dat na een risico-inventarisatie blijkt dat meerdere kritieke
processen en systemen onderhouden worden door onderaannemers en
leveranciers. Denk aan software- of hardware-updates. Het is dan aanbevolen
om te bepalen welke beschermende maatregelen aanvullend genomen
kunnen worden. Een beschermende maatregel in een dergelijk geval kan zijn
dat alle personen die aan boord komen voor updates aan de hand van een
uniforme methode een logboek bijhouden van gemaakte wijzigingen.
• Na een risico-inventarisatie kan blijken dat het schip weerbaar blijft in het
geval van uitval van bepaalde systemen, maar dat deze systemen niet dubbel
(redundant) uitgevoerd zijn. Een maatregel om weerbaarder te worden kan
inhouden dat systemen snel vervangen moeten kunnen worden, of dat
systemen zelf terugvallen op fail safe toestand met minimale functionaliteit.

Open cultuur
Een belangrijke beschermende maatregel is het zorgen voor een open cultuur aan
boord. Wanneer bemanningsleden vragen stellen, alert zijn en (bijna) missers met
elkaar durven te bespreken draagt dit bij aan de algehele veiligheid aan boord.
Het aan- en uitzetten van een belangrijk systeem kan per ongeluk gebeuren, maar
dit kan onzichtbare gevolgen hebben voor onderliggende systemen. Wanneer
medewerkers zonder schuldgevoel of schaamte incidenten durven te melden
komen problemen of fouten eerder aan het licht.

Veilige configuratie
Alle hardware en software aan boord zijn onderdeel van een levensloop. Van
aanschaf tot en met vervanging. Apparatuur moet veilig geconfigureerd worden.
De mate van de beveiligingsspecificaties zijn afhankelijk van de functie van het
apparaat of proces, hoe het geïmplementeerd is en of deze dubbel uitgevoerd is.
IT en OT kan door verschillende actoren geïnstalleerd zijn, namelijk de
leverancier, installateur of partij die onderhoud uitvoert of de eigen medewerkers.
Installeren is iets anders dan (veilig) configureren. Het is van belang dat een
configuratie ten minste aan een baseline voldoet bij een eerste installatie of
configuratie. Enkele praktische tips:
 Datum
29 oktober 2020
• Leg de startconfiguratie van hardware en software vast, en documenteer alle
opvolgende wijzigingen om in tijden van verstoring, vervanging of onderhoud Onze referentie
ten alle tijden terug te kunnen keren naar een voorgaande configuratie. TNO 2020 M11640
• Controleer regelmatig of de configuratie nog overeenstemt met de meest Blad
recente documentatie, en achterhaal in het geval van wijzigingen waardoor 14/25
deze doorgevoerd zijn.
• Voer Factory Acceptance Testing (FAT) uit bij het installeren van nieuwe
systemen. Hiermee wordt nagegaan of gewenste functionele- en
veiligheidseisen geleverd zijn.
• Beredeneer wat de levensduur is van een nieuw systeem en of het systeem
bijgewerkt kan worden met beveiligingsupdates.

Identiteits- en toegangscontrole voor de netwerken en

informatiesystemen
Net als bij fysieke beveiligingsprocedures zijn identiteits- en toegangscontroles
voor netwerken en informatiesystemen ook belangrijk. Fysiek en digitaal gaan
hand in hand; oneigenlijk gebruik van netwerken en informatiesystemen kan de
fysieke veiligheid schaden, en ontoereikende fysieke bescherming kan
ongewenste toegang geven tot netwerken en informatiesystemen. Als het systeem
bijvoorbeeld zo is ingericht dat iedereen het personeelsbestand en werkschema
kan inzien, kan informatie over het personeel doorgegeven worden aan
criminelen. Om identiteits- en toegangscontrole in te voeren is het belangrijk om te
zorgen dat:
• Medewerkers enkel toegang krijgen tot systemen en applicaties die voor eigen
werkzaamheden benodigd zijn;
• Autorisatie tot systemen en applicaties gelaagd zijn en niet alle medewerkers
evenveel schrijf- en leesrechten hebben;
• Inloggegevens uniek (geen fabrieksinstellingen) en niet overdraagbaar zijn;
• Externe toegang (remote access) beperkt en gemonitord is, en slechts voor
een beperkte vooraf besproken tijdsduur beschikbaar is.

Beheer
Cybersecurity beheer is onder te verdelen twee soorten: operationeel en
tactisch/strategisch. Operationeel cybersecurity beheer is veelal ondergebracht bij
een systeembeheerder, cybersecurityanalist of IT-administrator. Het beheer van
beleid en organisatorische processen is veelal de verantwoordelijkheid van een
Cyber Security Officer (of CySO).
Werkzaamheden van een CySO zijn:
• Ontwikkelen van beleid en bepalen van relevante standaarden.
• Het uitvoeren van een cybersecurity plan.
• Intermediair tussen hoger management en de medewerkers aan boord.
• Verantwoordelijke voor contractuele afspraken met externe leveranciers.
• Op de hoogte blijven van relevante wet- en regelgeving.

Voorbeelden van operationele werkzaamheden, veelal uitgevoerd door een

systeembeheerder zijn:
 Datum
29 oktober 2020
• Uitvoeren van patchmanagement.
• Back-up procedures uitvoeren en controleren. Onze referentie
• Configuraties van systemen toepassen, controleren, archiveren en updaten. TNO 2020 M11640

• Systeemprestaties monitoren. Blad

• Systemen vervangen of bijwerken. 15/25
• Logbestanden analyseren.

Beveiligingsarchitectuur
Onder beveiligingsarchitectuur verstaan we de manier(en) waarop het schip en de
systemen aan boord beveiligd zijn. De beveiligingsarchitectuur zorgt voor
samenhang tussen de beschermende maatregelen en kan op verschillende
momenten bekeken worden:
• voorafgaand de bouw van een nieuw schip;
• bij vervanging van een of meerdere systemen aan boord;
• wanneer het schip reeds in de vaart is.

Het Defence in Depth (DiD) concept is een manier om een

beveiligingsarchitectuur te ontwerpen of in kaart te brengen. Het geeft een
perspectief waarmee verschillende soorten maatregelen op verschillende niveaus
inzichtelijk gemaakt worden. Voor alle digitale systemen worden fysieke,
technische en administratieve maatregelen voorgesteld waardoor de beveiliging
op meerdere niveaus en bij meerdere systemen aanwezig is. Toegang tot een
systeem door een aanvaller of verkeerde configuratie is daardoor geïsoleerd van
de andere systemen. Een analogie uit de fysieke beveiliging is dat naast de
voordeur ook de tussendeuren met een sleutel afgesloten zijn.
Enkele voorbeelden van maatregelen:
• Fysiek: afgesloten serverruimtes, gescheiden fysieke netwerkinfrastructuur,
beperking in de input- en outputpoorten van systemen.
• Technisch: encryptie, VPN, twee factor authenticatie, antivirus, integriteit van
patches van nieuwe software installaties, firewalls, intrusion detecion systems
(IDS), Domain Name System (DNS) monitoring.
• Administratief: procedures, toegangsrechten voor netwerkschijven of fysieke
systemen, tijdsduur van tijdelijke toegang voor medewerkers of externe
leveranciers.

Scheiding van netwerken

Netwerken kunnen gescheiden worden om de cyberveiligheid van alle systemen
te verhogen. Applicaties die verschillende taken uitvoeren en die verspreid zijn
over meerdere systemen hoeven niet op hetzelfde gedeelte van het netwerk te
draaien. Door het netwerk fysiek en softwarematig op te knippen wordt het
mogelijk om per applicatie, of per gedeelte van het netwerk toegangsrechten en
functionaliteiten in te delen. Bedoelde, onbedoelde of ongewenste toegang tot een
systeem geeft dan niet direct toegang tot andere systemen.
Sommige processen vinden slechts op het schip plaats en hebben daarvoor geen
informatie nodig van buitenaf. Andere processen hebben de communicatie met de
buitenwereld juist nodig, bijvoorbeeld doordat het proces enkel functioneert
 Datum
29 oktober 2020
wanneer er een actieve verbinding is met externe servers of het internet.
Daarnaast kunnen processen op een schip ook toegankelijk zijn voor externe Onze referentie
TNO 2020 M11640
leveranciers of onderhoud.
De aandrijving van het schip dat aangestuurd wordt vanaf de brug is een proces Blad
dat enkel plaatsvindt op het schip, net als het Ship Alarm Monitoring System. Dit 16/25
gebeurt via een intern netwerk en communiceert in principe niet met de
buitenwereld.
Een logische indeling is een netwerkscheidingen tussen IT- en OT-systemen. De
apparatuur die satellietinternetaanbieders leveren staan meerdere lokale virtuele
netwerken toe. Dit zorgt dat (bijvoorbeeld):
• Een apart netwerk met het internet kan verbinden om entertainment- en
communicatiemiddelen aan te bieden voor bemanningsleden.
• Systemen om veilig laad- en lostijden te versturen en ontvangen met de
buitenwereld (het internet of de bedrijfsserver aan wal) en dat deze verbinding
zich niet op hetzelfde netwerk bevindt als het netwerk dat het schip aanstuurt.

Fysieke bescherming
Fysieke bescherming is een van de onderdelen van het DiD concept. Het
ontvreemden van systemen of informatie op systemen is een risico voor schepen.
Fysieke beveiliging van systemen en data is van belang voor de beveiliging van
een schip om de volgende dreigingen tegen te gaan:
• Ongeautoriseerde toegang tot gevoelige informatie.
• Ontvreemding of schade van data.
• Schade of manipulatie van kritieke systemen [5].

De bescherming van systemen en data wordt opgenomen in het bestaande ship

security plan, zoals reeds voorgeschreven in de ISPS.

Het ontwikkelen van contingency plans (ISM code 8)

Incidenten komen voor en het is volgens de ISM code 8 verplicht om het risico van
cyberincidenten op te nemen in het SMS. Met een adequate voorbereiding kan er
op de juiste manier gereageerd worden op cyberincidenten. IT- en OT-systemen
kunnen specialistische uitdagingen met zich meebrengen als contingency plans in
werking gesteld worden. De complexiteit van de afhankelijkheden of ingewikkelde
configuraties moet vooraf in kaart gebracht zijn zodat men in geval van nood de
beschikking heeft over een veilig en effectief handelingsperspectief.
 Datum
29 oktober 2020
Samenvatting & Tips
Onze referentie
TNO 2020 M11640
Beschermen is gericht op maatregelen om het functioneren van
kritieke processen van een schip te waarborgen. Voorbeelden van Blad
maatregelen zijn het veilig configureren en onderhouden van 17/25

digitale systemen, het beheer, de (beveiligings)architectuur en de

fysieke bescherming van systemen. Daarnaast is het van
toegevoegde waarde om een open cultuur te hebben onder
medewerkers waar fouten erkend worden en geleerde lessen
Bescherming

bijdragen aan verbetering.

• Apparatuur moet veilig geconfigureerd worden.
• Stel identiteit- en toegangscontrole-mechanismen in voor digitale
systemen en processen.
• Draag zorg voor operationele en organisatorische
beheerswerkzaamheden en processen.
• Stel voor alle digitale systemen fysieke, technische en
administratieve maatregelen op.
• Zorg voor gescheiden netwerken zodat malfunctie of aanvallen niet
het hele netwerk kunnen raken.
• Bescherm digitale systemen ook op fysieke wijze.
• Bereid incidenten voor en voeg cyberrisicomanagement toe aan
bestaande contingency plans.
 Datum
29 oktober 2020
4. Detectie Onze referentie
Het is aanbevolen om de werking van (kritieke) systemen te monitoren om TNO 2020 M11640
afwijkingen zoals malafide activiteiten (tijdig) te detecteren. Detectiecapaciteit
Blad
draagt bij aan het hebben van een beeld van de status van systemen en 18/25
processen, waardoor incidenten worden voorkomen. In geval van een incident
kunnen de juiste mitigerende maatregelen genomen worden. Ook draagt
cybersecurity monitoring en detectie bij aan het reduceren van de tijd tussen een
incident en het mitigeren [2,4]. Bekende en onbekende dreigingen kunnen
gedetecteerd worden met commerciële en open source soft- en hardware.

Monitoren dataverkeer, logging en detectie van malware

Inbreuk op het netwerk door virussen, malware, ransomware en spionage wordt
gemiddeld pas na 192 dagen ontdekt [19]. Het monitoren van netwerk- en
dataverkeer kan bijdragen aan het tijdig detecteren van problemen waardoor
incidenten kunnen worden voorkomen. Idealiter wordt zowel op systeem als
netwerkniveau informatie verzameld. Hierbij kan worden gedacht aan [21]:
• Logs met betrekking tot netwerkactiviteit;
• Logs met betrekking tot de toegang tot kritieke resources;
• Logs met betrekking tot malwareactiviteit, bijvoorbeeld informatie afkomstig
van virusscanners en informatie over verbindingen naar verdachte (malware-
gerelateerde) IP-adressen.

Het monitoren van dataverkeer en analyseren van loggegevens vereist van een
organisatie dat er het een en ander beschikbaar is:
• Een inventarisatie van het netwerk en aangesloten systemen en apparatuur;
• Tools voor het verzamelen en analyseren van de data;
• Dreigingsinformatie, bijvoorbeeld over relevante typen aanvallen, of
domeinnamen waar malafide software verbinding mee maakt;
• Expertise (cybersecurity expertise personeel of ingehuurde expertise);
• Een escalatieprivilege in geval van ernstige bevindingen, zoals kritieke
processen die van buitenaf toegankelijk zijn of verdacht netwerkverkeer.

Procedures toegang voor externe partijen

Een groot deel van de systemen aan boord wordt onderhouden door meerdere
externe partijen. Medewerkers van andere bedrijven komen aan boord of hebben
digitaal toegang tot deze systemen. In samenhang met identiteits- en
toegangscontrole moeten er procedures zijn voor fysieke en digitale toegang door
externe partijen. Systemen en processen moeten onder andere in staat zijn om te
controleren of de externe partij de juiste, en bovendien, niet te veel toegang heeft.
Ook moeten updates of systemen geen nieuwe kwetsbaarheden introduceren, of
bestaande configuraties ongezien aanpassen. Hiervoor dienen afspraken te
worden gemaakt met de externe partij over de te hanteren standaarden,
procedures en afspraken. De reder kan bijvoorbeeld met een externe
onderhoudsleverancier of softwareleverancier afspreken dat de inhoud en
(bekende) of mogelijke gevolgen van een update vooraf gecommuniceerd worden.
 Datum
29 oktober 2020
Samenvatting & Tips
Onze referentie
TNO 2020 M11640
Detectiecapaciteit zorgt ervoor dat afwijkingen tijdig gedetecteerd
worden in (kritieke) systemen. Het verzamelen en analyseren van Blad
informatie op zowel systeem- als netwerkniveau kan helpen om 19/25
Detectie

afwijkende patronen tijdig te kunnen detecteren. Ook voor externe

partijen zijn monitoring- en detectie procedures en mechanismen
van belang.
• Monitor dataverkeer en analyseer loggegevens om incidenten en
afwijkingen tijdig te detecteren.
• Zet procedures op voor externe partijen die toegang hebben tot
digitale systemen aan boord of aan wal.
 Datum
29 oktober 2020
5. Respons Onze referentie
Zelfs met een goede bescherming zijn incidenten niet altijd te voorkomen. De TNO 2020 M11640
responsmaatregelen zijn er op gericht snel te kunnen reageren op incidenten en
de hiervoor benodigde expertise te kunnen inschakelen. Blad
20/25

Procedures voor het omgaan met incidenten

Het omgaan met incidenten en het effect daarvan op de operationele processen
vergt ongeacht de oorzaak van het incident grotendeels een vergelijkbare aanpak.
Het is daarom gewenst om voor het omgaan met cyberincidenten waar mogelijk
aan te sluiten bij reeds bestaande procedures.

Daarnaast is er ook een aantal specifieke stappen nodig in geval van

cyberincidenten. Het is zaak om als voorbereiding op mogelijke incidenten vast te
stellen welke expertise nodig is om op incidenten te kunnen reageren, en waar
deze te vinden is. Een deel van de kennis zal aan boord nodig zijn, incident
respons procedures kunnen ook betrekking hebben op ondersteuning van
organisaties en personeel aan wal.

Wanner er een cyberincident wordt vastgesteld, dient een incident respons team
een aantal stappen te doorlopen:
• Analyseren van het incident door het in kaart brengen van mogelijke oorzaken
en het vaststellen welke IT- en OT- systemen geraakt zijn en het effect
hiervan;
• Nemen van maatregelen om verdere verspreiding te voorkomen. Dit kan
bijvoorbeeld door het isoleren van de geraakte systemen en het afsluiten van
de internetverbinding;
• Vaststellen van wat nodig is voor herstel van de systemen en bijbehorende
data, door bijvoorbeeld het verwijderen van de malware.

Naast de technische afhandeling is het belangrijk om alle verantwoordelijken op

de hoogte te houden van de actuele stand van zaken, zowel aan boord als aan de
wal. Afhankelijk van het benodigd niveau van expertise en de manier waarop het
ICT-beheer is ingericht kan een verdeling worden gemaakt tussen
werkzaamheden aan boord en ondersteuning vanuit andere locaties of
ondersteunende organisaties. Het incident respons plan dient hiervoor de
contactpersonen, contactgegevens en procedures te beschrijven. Waar mogelijk
kunnen hierin ook afspraken met leveranciers worden opgenomen.

Ook voor incident respons is extra aandacht

nodig voor de Operationele Technologie. Een
Amerikaanse overheidsorganisatie heeft
hiervoor de volgende aanbevelingen
uitgebracht om voor OT in de respons
procedures nemen:
• Immediately disconnect systems from the
Internet that do not need internet
connectivity for safe and reliable
operations. Ensure that compensating
 Datum
29 oktober 2020
controls are in place where connectivity
cannot be removed. Onze referentie
TNO 2020 M11640
• Plan for continued manual process
operations should the ICS become Blad
unavailable or need to be deactivated due 21/25

to hostile takeover.
• Remove additional functionality that could
induce risk and attack surface area.
• Identify system and operational
dependencies.

Daarnaast wordt aangeraden om de incident

respons plannen met regelmaat te oefenen.”
(bron: Cybersecurity Advisory [13])

Het melden van incidenten

In de procedures voor cyber incident respons is het ook belangrijk vast te stellen
onder welke omstandigheden en bij welke organisaties de incidenten dienen te
worden gemeld.
Zo dienen incidenten aan boord ook aan de verantwoordelijken aan wal te worden
gemeld. Ook dienen mogelijk andere instanties te worden gewaarschuwd,
bijvoorbeeld wanneer het incident direct gevaar oplevert voor personen of
goederen.

Het aanpassen van de maatregelen

Na afloop van het incident is het raadzaam om in meer rust de onderliggende
oorzaak van het incident te analyseren, en vast te stellen of de bestaande
beschermingsmaatregelen dienen te worden aangepast. Ook kan in deze fase
worden nagegaan of de procedures voor het omgaan met incidenten goed hebben
gefunctioneerd of dat ook deze dienen te worden aangepast.
 Datum
29 oktober 2020
Samenvatting & Tips
Onze referentie
TNO 2020 M11640
Het reageren op incidenten vergt voorbereiding. Responscapaciteit
in de vorm van een IT-incident response team moet in staat zijn Blad
een incident te analyseren, maatregelen te prioriteren en te 22/25

beoordelen wat benodigd is om verdere verspreiding te voorkomen

en systemen of processen te herstellen. Bestaande procedures
kunnen hiervoor aangevuld worden. Wanneer een cybersecurity
incident gevolgen heeft voor de veiligheid van het schip, de
Respons

goederen die het vervoert of haar bemanningsleden kan het zijn

dat het incident gemeld moet worden bij de autoriteiten. Ten slotte
is het raadzaam om te leren van incidenten om onderliggende
oorzaken te lokaliseren en waar mogelijk aan te passen om
herhaling van het incident te voorkomen.
• Richt een cybersecurity responsecapaciteit in en integreer deze
met bestaande procedures.
• Leg vast in welke gevallen het cybersecurity incident gemeld moet
worden bij autoriteiten.
• Analyseer de oorzaak van het incident en evalueer bestaande
maatregelen om incidenten in de toekomst te voorkomen.
 Datum
29 oktober 2020
6. Herstel Onze referentie
Wanneer de oorzaak van het incident is vastgesteld en verdere verspreiding is TNO 2020 M11640
voorkomen, is het zaak om terug te keren naar een veilige situatie en instellingen.
Blad
23/25
Maatregelen voor back-up en herstel
Om terug te keren naar een veilige situatie zijn een goede voorbereiding en
procedures voor back-up en herstel essentiële onderdelen. Het regelmatig maken
van een back-up van belangrijke bestanden en instellingen van systemen kan de
impact van een cyberincident beperken.
Het NCSC geeft voor het maken van back-ups de volgende aanbevelingen [14]:
• Back-up bestanden mogen niet direct benaderbaar zijn vanaf een systeem dat
mogelijk geïnfecteerd kan raken.
• Online back-ups kunnen ook geïnfecteerd raken. (Een online back-up
betekent dat de back-up in verbinding staat met het netwerk, in tegenstelling
tot offline back-ups. Voorbeelden van offline back-ups zijn een harde schijf in
een kluis, of het gebruik van tapedrives.)
• Back-up bestanden moeten regelmatig worden getest: ga daarbij na of de
data volledig en niet corrupt is. Pas de 3-2-1 regel toe: zorg dat je minstens
drie verschillende kopieën van je data en applicaties hebt. Deze back-ups
moeten minimaal twee verschillende dragers hebben. Zorg dat er één drager
op een andere locatie is. De zogenaamde 3-2-1-1 regel stelt bovendien dat
één van deze back-ups een offline kopie moet zijn.
• Beperk het aantal gebruikers dat toegang heeft tot uw back-ups. Hoe minder,
hoe beter.
• De logs moeten ook een integraal onderdeel zijn van de back-upstrategie.

De te nemen stappen voor herstel hangen af van de grootte van het incident. Het
herstel van systemen na grootschalige incidenten (bijvoorbeeld een netwerk brede
ransomware infectie) vergt meestal specialistische ondersteuning. Door de
specifieke omstandigheden is dit aan boord van schepen een extra moeilijke en
kostbare operatie.

Ook voor de herstelfase gelden speciale

aandachtspunten voor de OT-omgeving:
• Restore OT devices and services in a timely
manner. Assign roles and responsibilities for
OT network and device restoration.
• Backup “gold copy” resources, such as
firmware, software, ladder logic, service
contracts, product licenses, product keys,
and configuration information. Verify that all
“gold copy” resources are stored off-network
and store at least one copy in a locked
tamperproof environment (e.g., locked safe).
• Test and validate data backups and
processes in the event of data loss due to
malicious cyber activity.”
(bron: Cybersecurity Advisory [13])
 Datum
29 oktober 2020

Samenvatting & Tips Onze referentie

TNO 2020 M11640

Na vaststelling van de oorzaak van het incident en verdere Blad

verspreiding is voorkomen, is het zaak om terug te keren naar 24/25
Herstel

een veilige situatie en instellingen. Hiervoor zijn enkele praktische

maatregelen beschikbaar, namelijk het maken van back-ups en
het veilig herstellen van de systemen en processen.
• Back-ups vuistregels: maak ze, valideer en test ze, oefen met
het terugzetten van de data en sla de datadragers op
verschillende plekken op.

Begrippen en afkortingen
Cybersecurity Alle beveiligingsmaatregelen die men neemt om schade
te voorkomen door een storing, uitval of misbruik van een
informatiesysteem of computer. Ook worden maatregelen
genomen om schade te beperken en/of herstellen als die
toch is ontstaan. Voorbeelden van schade zijn dat men
niet meer in een computersysteem kan komen wanneer
men dat wil. Of dat de opgeslagen informatie bij anderen
terecht komt of niet meer klopt. De maatregelen hebben
te maken met processen in de organisatie, technologie en
gedrag van mensen. (Cybersecurity woordenboek)

Malware Kwaadaardige software die aanvallers op een digitaal

systeem zetten om er op afstand bij te kunnen, het te
vernielen of informatie te stelen. Malware is een
samentrekking van het Engelse malicious software.
(Cybersecurity woordenboek)

Operationele technologie (OT)

Operationele Technologie (OT) is een overkoepelende
term voor de hardware en software die industriële
processen uitvoeren, controleren en aansturen.

Ransomware Kwaadaardige software waarbij een slachtoffer afgeperst

wordt, nadat zijn digitale systeem of de bestanden erop
met een code op slot zijn gezet. De aanvaller biedt de
code tegen betaling aan, zodat hij er weer bij kan. Maar
zelfs dat is niet zeker. (Cybersecurity woordenboek)

Risicomanagement Een continu proces waarbij bedrijfsrisico’s voortdurend

worden bewaakt. Onderdelen van dit proces zijn
bijvoorbeeld het identificeren, evalueren, prioriteren van
risico’s en het nemen van maatregelen (accepteren,
mitigeren, overdragen of vermijden). (Cybersecurity
woordenboek)
 Datum
29 oktober 2020
Bronnen en aanvullende informatie Onze referentie
Alle bronnen online beschikbaar 08.2020. Vindbaar via zoekmachines. TNO 2020 M11640
1. IMO, Guidelines on maritime cyber risk management, MSC-FAL.1/Circ.3,
Blad
juni 2017
25/25
2. BIMCO, CLIA, ICS, INTERCARGO e.a., The Guidelines on Cyber Security
Onboard Ships, version 3, 2018
3. National Institute of Standards and Technology, Framework for Improving
Critical Infrastructure Cybersecurity, Version 1.1, april 2018
4. Danish Defence Intelligence Service. Threat assessment: The cyber threat
against operational systems on ships, april 2020
5. Institution of Engineering and Technology (IET) Standards, Code of
Practice Cyber Security for Ships, published by the United Kingdom
Department for Transport, 2017.
6. NCTV, Cybersecuritybeeld Nederland, CSBN 2020, juni 2020
7. NIST, Guide to Industrial Control Systems (ICS) Security, NIST Special
Publication 800-82 Revision 2, mei 2015
8. Digital Container Shipping Association (DCSA), Implementation Guide for
Cyber Security on Vessels v1.0, maart 2020
9. ABS, Guidance notes on the application of cybersecurity principles to
marine & offshore operations, ABS CyberSafetyTM VOL. 1, 2016
10. ABS, Cybersecurity implementation for the marine and offshore industries,
ABS CyberSafety volume 2, versie: update 2018.
11. DNV-GL, Recommended practice: Cyber security resilience management
for ships and mobile offshore units in operation, DNVGL-RP-0496. 2016.
12. IACS, Recommendation on Cyber Resilience, 2020 (Corr.1 July 2020)
13. NSA, DISA, Cybersecurity Advisory, NSA and CISA Recommend
Immediate Actions to Reduce Exposure Across all Operational
Technologies and Control Systems, juli 2020.
14. NCSC, Ransomware Maatregelen voor het voorkomen, beperken en
herstellen van een ransomware-aanval, Factsheet FS-2020-03, versie 1.0,
juni 2020
15. Cybersecurity Alliantie, Cybersecurity Woordenboek, oktober 2019
16. United States Coast Guard (USCG), Urgent Need To Protect Operational
Technologies And Control Systems, Marine Safety Information Bulletin
(2020).
17. Cyber Security Raad, Handreiking Cyber Security voor de Bestuurder,
18. Reuters, Carnival hit by ransomware attack, guest and employee data
accessed, August 2020.
19. Varonis, Data Breach Response Times: Trends and Tips, juni 2020.
20. Wall Street Journal, Coast Guard Details February Cyberattack on Ship,
juli 2019.
21. NCSC, Handreiking voor implementatie van detectie-oplossingen,
Praktische informatie voor een succesvolle implementatie, 2015.