Hoe een cyberaanval een gebrekkig beveiligd Rotterdams containerbedrijf platlegde

René de Vries is niet zo snel van slag. Als havenmeester van de grootste zeehaven van Europa loodst hij dagelijks honderden schepen ordelijk door het water. Maar als De Vries, die overkomt als een zelfverzekerde man, dinsdag 27 juni om 14.20 uur de telefoon neerlegt, kijkt hij toch even vertwijfeld naar de drie computerschermen voor zich. 'Shit', denkt hij.

Even weet hij niet wat te doen. Dan herpakt hij zich en loopt de bekende riedel af. Welke gevolgen heeft dit? Moeten de hulpdiensten uitrukken? Liggen er schepen te wachten? Er is een crisisachtige sfeer in het Haven Coördinatie Centrum op de negentiende verdieping van de kantoortoren op de Kop van Zuid. De vijftien personen die het centrum 24 uur per dag bemannen turen naar hun computerschermen en bellen met politie, experts en burgemeester Aboutaleb.

Ver beneden hen komen, onzichtbaar vanuit de toren, de eerste kranen op de Maasvlakte tot stilstand. Het komt wel heel dichtbij, denkt De Vries. Als hij een week later terugkijkt, zegt hij: 'Beveiligingscamera's bij de terminals gingen op zwart, de kades werden leger en leger, kranen kwamen stil te staan en we zagen wachtende schepen. Het is de eerste keer dat een digitale aanval hier ook echt fysieke consequenties heeft.'

Containerbedrijf APM wordt op dinsdag 27 juni getroffen door een digitale aanval. De computersystemen gaan plat en de twee terminals van het bedrijf in de Rotterdamse haven werken niet meer.

Het is nieuw voor De Vries. Hij heeft weleens geoefend met scenario's waarbij de haven wordt aangevallen door hackers, maar dat waren trainingen. Sinds 2016 is hij mede namens de politie verantwoordelijk voor het vergroten van het bewustzijn over digitale veiligheid in de haven. 'Hoe vaak hebben we de afgelopen maanden in kranten niet gelezen over digitale gevaren? Maar het bleef toch altijd abstract. Net zoiets als de millenniumbug destijds.'

In werkelijkheid blijken de gevolgen groot: ladingen kunnen niet gelost worden, schepen moeten uitwijken, vrachtwagens kunnen geen vracht ophalen of wegbrengen. De schade bedraagt zeker tientallen miljoenen euro's. Tien dagen na de besmetting liggen sommige systemen nog steeds plat. Hoe kon het zo misgaan?

APM wil niets zeggen over de precieze oorzaken. Toch is steeds meer duidelijk over het verloop van de aanval en het bleek geen toeval dat juist APM zo hard werd getroffen.

Goed voorbereid

Het verhaal begint ver van de Maasvlakte in Oekraïne. Drie maanden terug dringen aanvallers ongemerkt het Oekraiense familiebedrijf Intellect Service binnen. Ze hebben het voorzien op het boekhoudprogramma MEDoc. In Nederland kent bijna niemand dit programma, in Oekraïne is dat anders. Daar wordt de software veelvuldig gebruikt. En ook buiten Oekraïne gebruiken bedrijven het, het gaat wereldwijd om zo'n vierhonderdduizend klanten. MEDoc draait op een miljoen computers. Het is niet zo gek dat de aanvallers juist dit bedrijf kiezen: de beveiliging is lang niet zo goed op orde als bij de bekende grote softwarebedrijven, maar tegelijk zijn er genoeg klanten.

De aanvallers hebben zich goed voorbereid en weten een cruciaal onderdeel van het programma binnen te komen: het updateproces van de software. Lukt het om dat te manipuleren, dan kan elk bedrijf waar MEDoc draait na een update besmet raken. Hierna, afhankelijk van de organisatie van een bedrijf, kan het virus zich zelfs verspreiden over de rest van het netwerk en in computers komen waar MEDoc niet op draait. Het geeft de aanvallers ongekende mogelijkheden.

Vergelijk het met het fabriceren van een loper. De hackers hebben een sleutel gemaakt die bij vierhonderdduizend bedrijven sloten kan openen. Bij sommige bedrijven kunnen ze zelfs overal naar binnen. Het is onduidelijk wat de aanvallers ermee willen doen. Ze houden zich nog even stil.

Op 27 juni openen de hackers de aanval. Ze gebruiken het boekhoudprogramma om een virus te verspreiden. Vooral Oekraïense bedrijven zijn slachtoffer. Ziekenhuizen, vliegvelden, olie- en gasbedrijven en financiële instellingen worden geraakt. Het virus houdt alleen niet op bij de landsgrenzen. Bedrijven die zaken doen in Oekraïne brengen de malware via gekoppelde systemen naar andere landen. Wereldwijd haperen systemen ineens. Al snel wordt gedacht aan een nieuwe uitbraak van zogeheten gijzelingssoftware: een virus versleutelt bestanden en alleen na betaling van losgeld krijgen bedrijven hun bestanden terug.

Stekker eruit

Als een computer besmet raakt met het virus gaat deze bestanden versleutelen. De malware zoekt intussen naar andere computers om te infecteren. Dit duurt even. Na een aantal uur wordt de computer herstart en laat een scherm zien waarop staat dat de bestanden versleuteld zijn. Gebeurt dit, dan werkt Windows niet meer en ligt het systeem plat. Het is dus cruciaal om in die paar uur dat de malware naar andere computers zoekt om zich te verspreiden, in te grijpen. De stekker eruit te trekken.

Dat gebeurt niet bij APM. Het virus heeft zich via het moederbedrijf, het Deense Maersk, verspreid en is zo via Oekraïne naar Rotterdam gekomen. Niemand grijpt tijdig in en rond de middag begeven de computersystemen het. De blauwe kranen staan stil. Een medewerker belt om 14.15 uur havenmeester René de Vries om uit te leggen dat APM slachtoffer is van een digitale aanval. De Vries realiseert zich meteen dat deze melding serieus is: 'Dit heeft echte gevolgen voor de haven en voor de scheepvaart.'

De aanval lijkt specifiek gericht op Oekraïne, vandaar ook de infiltratie in het boekhoudprogramma. Andere slachtoffers zijn vooral nevenschade. Oekraïne denkt aan een aanval door de Russen, de Navo zegt later de betrokkenheid van een staat te vermoeden, beveiligingsbedrijf ESET claimt dat de hackers eerder spionage en sabotage tot doel hadden dan geld verdienen met het versleutelen van bestanden.

Dat ook APM besmet raakt, komt doordat de computersystemen gekoppeld zijn aan die van Maersk. Er zijn bedrijven waar alleen de boekhoudomgeving besmet raakt én er zijn bedrijven waar alles plat gaat zoals bij APM. Gebeurt dat, dan heeft een bedrijf zijn ict niet op orde. De loper van de hackers blijkt dan ineens op alle sloten in een gebouw te passen. Hoe kan dat?

Geen antivirussoftware

Daarvoor is het goed om in te zoomen op de beveiliging van APM. Fysiek is alles tiptop in orde. Het terrein van APM in de haven wordt 24 uur per dag bewaakt. Toegang kan alleen na een aanmeldprocedure en met vingerafdrukken. Zelfs per gebouw en per verdieping zijn extra niveaus van beveiliging. Dit lijkt goed, maar zonder digitale beveiliging zijn dit soort maatregelen nutteloos. Als de computers het niet doen, werken de vingerafdruklezers ook niet.

Dat APM het met de digitale beveiliging niet zo nauw neemt, blijkt uit interne documenten ingezien door de Volkskrant. Hierin staat dat het tot ver in 2015 ontbrak aan de juiste maatregelen. Het Terminal Operating System heeft dan nog geen antivirussoftware terwijl dat een simpele investering is. Kwalijker is dat niet alle verbindingen met andere bedrijven, zoals met het moederbedrijf Maersk, achter een firewall staan. Nog kwalijker is dat er niet wordt gekeken of iemand zonder bevoegdheden toegang heeft tot de twee belangrijkste operationele systemen van APM. Alsof onbevoegdheden zonder controle door de verkeerstoren op Schiphol mogen lopen.

Het ernstigste is dat er tot ver in 2015 geen zogeheten penetratietesten zijn geweest. Met dit soort testen kijken onderzoekers waar de kwetsbaarheden in de digitale beveiliging zitten. Dit is cruciaal om de kwaliteit van de beveiliging te testen. Alle grote bedrijven laten dit soort testen frequent doen. Ook laten ze zich aanvallen door eigen teams. Bij organisaties als KPN gebeurt dat zelfs vier keer per jaar, terwijl penetratietesten voortdurend plaatsvinden.

Volgens betrokkenen zijn in 2016 nog expliciete waarschuwingen gedaan aan het management van APM over de zwakke beveiliging van het Terminal Operating System. Maar de leiding van de terminals wilde geen verbeteringen. Het zou namelijk betekenen dat de terminals tijdelijk stil zouden liggen door een upgrade van het netwerk. 'Men zag de noodzaak niet. Op de terminals is te weinig ict-kennis', aldus een bron.

Dave Maasland is directeur bij ESET, dat het virus onderzocht. Hij bevestigt de problemen in de beveiliging van APM. 'APM had waarschijnlijk twee dingen niet op orde: monitoring en het scheiden van netwerken. Ze hebben al die tijd niet door gehad dat er iets mis was. En toen de aanvallers eenmaal het virus loslieten, werd niet alleen het boekhoudsysteem getroffen, maar ook hun andere systemen.'

Het roept ook de vraag op hoe het kan dat een bedrijf dat in zo'n cruciaal deel van Nederland werkzaam is, zo slecht beveiligd kon zijn. Temeer daar de Rotterdamse haven behoort tot de vitale infrastructuur en Rotterdam een speerpunt maakt van 'digitale weerbaarheid'.

Branddeuren

Paul Hofstra is directeur van de Rotterdamse Rekenkamer. Eerder publiceerde hij een stevig rapport over de kwetsbaarheden in de digitale beveiliging van de gemeente. Het ontbrak bijvoorbeeld aan interne branddeuren: zijn hackers eenmaal binnen, dan kunnen ze overal verder in het systeem. Hij ziet nu parallellen. 'Zwakke schakel is dat alles verbonden is met een mondiaal netwerk. Dat grendel je niet zomaar af. Behoorlijk griezelig.'

Er moet structureel meer geld naar digitale beveiliging, vindt hij. Hoewel de raad donderdag besloot ook geld vrij te maken, is dat volgens Hofstra slechts een eerste stap. 'Het is duidelijk dat Rotterdam een forse inhaalslag moet maken. Dat vergt een lange adem.'

In de zomer van 2016 werd René de Vries als cyberhavenmeester aangesteld. De haven zou de onlineweerbaarheid flink gaan verhogen, vermeldde het persbericht. Het Algemeen Dagblad schreef hoopvol dat de Rotterdamse haven eindelijk een 'cyberlijfwacht' zou krijgen die alle digitale systemen ging bewaken. Ook was er een directe lijn met het nationale cybercentrum NCSC, dat toeziet op de veiligheid van bedrijven.

Een woordvoerder van het NSCS tempert nu de verwachtingen. Bevoegdheden heeft het NCSC namelijk niet. 'We geven een aantal basisadviezen. Of bedrijven zich daar wel of niet aan houden, is de verantwoordelijk van het bedrijf zelf.' Bedrijven die onderdeel zijn van de zogeheten 'vitale infrastructuur' moeten straks melding maken van digitale incidenten. Maar APM valt daar net buiten.

Meldplicht

Ook de bevoegdheden van De Vries zijn beperkt. Zijn voornaamste taak is het verhogen van de bewustwording van gevaren en het uitwisselen van informatie. 'Cyberlijfwacht? Nee, dan zou ik echt een te grote broek aantrekken. De beveiliging is primair een taak van de bedrijven zelf.'

Als overvallers een bank binnenstormen en de kluis leeghalen omdat de beveiliging gaten kent, is dat vooral vervelend voor de bank. Als onbevoegden het treinverkeer op Utrecht Centraal stilleggen, is dat niet alleen vervelend voor NS maar ook voor reizigers en andere bedrijven. Zo is het met APM. De Vries wil daarom ook een meldplicht. 'Nu waren we afhankelijk van de goede wil van APM, die ons gelijk inlichtte. Maar je kunt je ook voorstellen dat er bedrijven zijn die het liever binnenskamers houden.'

Ook gaat De Vries snel een risicoanalyse maken wat er moet gebeuren als de aanval groter en gerichter is dan vorige week. Want als de hack van het Oekra-iense familiebedrijf iets duidelijk heeft gemaakt, is hoe ontwrichtend de gevolgen van een digitale aanval in de echte wereld zijn. En dan was dit nog maar een toevallig speldenprikje.

APM heeft sinds donderdagmiddag niet gereageerd op meerdere telefonische verzoeken om een reactie.