I-Interim Rijk: voortvarend in veilige cybervloot
Projectmanager Herman Jeschke werkt sinds januari namens I-Interim Rijk voor de Rijksrederij. Zijn opdracht: de vloot van de Rijksrederij digitaal veiliger en weerbaarder maken. Hoe gaat hij te werk? Welke tools zet hij in om de juiste impact te maken? We spraken Herman aan boord van het de Zirfaea, een van de pareltjes van de Rijksrederij.
Wat doet de Rijksrederij?
Herman: ‘De Rijksrederij beheert, bemant en onderhoudt rijksbreed schepen die ingezet worden voor onder meer de douane, de kustwacht, het ministerie van LVVN en Rijkswaterstaat. Schepen worden ingezet voor het uitvoeren van verschillende varende overheidstaken. Denk aan onderhouden en veilinghouden van waterwegen, onderzoek naar waterkwaliteit of ondersteuning bij incidenten. Kortom; de Rijksrederij maakt het mogelijk dat schepen en bemanning een grote diversiteit aan overheidstaken en opdrachten kunnen uitvoeren.’
Waarom wil de Rijksrederij digitaal veiliger en weerbaarder worden?
‘Cybercriminaliteit kan digitale installaties of de bemanning aan boord van schepen in gevaar brengen. Daarom wil de Rijksrederij personeel en schepen beschermen door zich weerbaar te maken tegen cyberdreigingen. Zo zijn de haven van Rotterdam maar ook onze kustlijn en infrastructuur op de Noordzee kwetsbaar in deze tijden van mondiale onrust. Criminaliteit en internationale dreiging bestaat namelijk ook op het water. Denk aan cyberdreiging met als doel spionage, sabotage of afpersing. Maar ook een scenario waarin een kwaadwillende de besturing van een schip op afstand overneemt is niet onmogelijk. Zoiets kan onze vitale infrastructuur flink in de war schoppen. Dat kan grote economische gevolgen hebben, maar het kan ook direct impact hebben op de veiligheid in Nederland.'
Wat maakt cyberveiligheid op een schip anders dan op een kantoor?
‘Een schip is een bewegend object. Dit maakt dat er veel draadloze communicatie is aan boord. Ook is er naast IT veel OT aanwezig op een schip. OT staat voor operationele technologie. Die technologie regelt onder meer de besturing en navigatie, maar ook het motormanagement. Een OT-storing kan directe gevolgen hebben, zoals schade aan apparatuur of risico’s voor de bemanning. OT is over het algemeen minder voorbereid op cyberaanvallen en heeft vaak minder strikte beveiligingsmaatregelen. Dat komt omdat OT-systemen oorspronkelijk ontworpen zijn als gesloten systemen zonder internetverbinding. Maar door de onmisbare en continue aanwezigheid van internet, hebben die systemen nu heel ander beheer en andere beveiliging nodig.'
Hoe ben je te werk gegaan?
‘Vanuit een risicogestuurde aanpak heeft een andere IIR-collega het afgelopen jaar eerst de zeven grootste zeeschepen en bemanning digitaal weerbaarder gemaakt. Ik richt mij nu op de ongeveer honderd kust- en binnenvaartschepen. Ik heb me eerst verdiept in de business en cultuur van de Rijksrederij. De opdracht leek aanvankelijk digitaal van aard, maar blijkt grotendeels een veranderopgave. Hiermee bedoel ik dat cyberbewustwording en cyberkennis van de bemanning minstens zo belangrijk is. Om passende trainingen te ontwikkelen, hebben we eerst een nulmeting uitgevoerd onder de bemanning. Die bestond uit onder meer een enquête, een locatiebezoek door een mystery guest en een phishingmail. Alles met het doel om bewustwording te prikkelen en een goede analyse te maken voor de maatwerktrainingen. Daarna starten we met het trainingsprogramma voor cyberbewustzijn.’
Wat is de meerwaarde van IIR voor de Rijksrederij?
‘Bij IIR hebben we rijksbreed een groot netwerk van collega’s met veel kennis en expertise. Deze kennis nemen we mee naar onze opdrachtgevers. Een deel van onze tijd besteden we aan kennisdeling binnen IIR, zo onderhouden we het netwerk. Wat ik verder van meerwaarde vind is dat je onafhankelijk bent. Knelpunten die je signaleert, ook buiten je opdracht, kun je daardoor altijd aankaarten. De rol van opdrachtgever moet overigens goed ingevuld worden. Daarbij wil ik een groot compliment maken naar de Rijksrederij. Je ziet dat er veel gesproken wordt over cybersecurity, maar de Rijksrederij heeft hier ook echt werk van gemaakt door ons in te schakelen.’
Wat spreekt jou aan in het werken bij IIR?
‘Werken bij IIR vraagt een goede balans tussen de harde en zachte kant van IV. In passende beeldspraak: soms recht door zee, bewust tegen de stroom in of juist meebewegen en de stroom volgen naar rustig vaarwater. Als een opdracht van start is gegaan, blijkt er later bijna altijd een vraag achter de vraag te zitten. Ik vind het keer op keer interessant om me daarin vast te bijten, zodat ik vervolgens een passende aanpak en duurzame oplossingen kan aandragen. Bovendien is dit werk veelal maatschappelijk relevant. In deze opdracht draagt IIR bijvoorbeeld direct bij aan een veiliger Nederland.’