De containerterminal van APM
De containerterminal van APM © Hollandse Hoogte

Rotterdams containerbedrijf vóór cyberaanval meermaals gewaarschuwd voor gebrekkige ICT-beveiliging

Het Rotterdamse APM Terminals, dat ook deze week nog kampte met de gevolgen van een digitale aanval, is meermaals gewaarschuwd voor de gebrekkige beveiliging van de ICT-systemen. De leiding van de terminals hield in 2016 nog verbeteringen tegen omdat men niet wilde dat het systeem even plat zou liggen voor een upgrade. Dat blijkt uit onderzoek van de Volkskrant.

Containerbedrijf APM wordt op dinsdag 27 juni getroffen door een digitale aanval die wereldwijd slachtoffers maakte. De besmetting gaat via een Oekraïens boekhoudprogramma. Bij veel bedrijven wordt alleen de boekhoudomgeving geraakt, bij APM gaat alles plat. Twee terminals van het bedrijf raken buiten bedrijf en dat heeft grote gevolgen: ladingen kunnen niet gelost worden, schepen moeten uitwijken, vrachtwagens kunnen geen vracht ophalen of wegbrengen. De schade bedraagt zeker tientallen miljoenen euro's. Tien dagen na de besmetting doen sommige systemen het nog steeds niet.

Onveilige haven: waarom containerbedrijf APM plat kwam te liggen

Op 27 juni komen de kranen van het containerbedrijf APM in de Rotterdamse haven tot stilstand. Het is getroffen door een cyberaanval vanuit Oekraïne en krijgt de rekening gepresenteerd voor een gebrekkige digitale beveiliging. Lees hier een reconstructie.

Uit interne documenten van APM blijkt dat het tot ver in 2015 ontbrak aan de juiste maatregelen tegen digitale aanvallen. Het belangrijkste operationele systeem, het zogeheten Terminal Operating System, had toen nog geen antivirussoftware. De verbindingen met systemen van andere bedrijven, zoals het Deense moederbedrijf Maersk, stonden niet allemaal achter een firewall. Ernstiger is dat er niet werd gekeken, zogeheten 'monitoring', of iemand zonder bevoegdheden toegang had tot de belangrijkste operationele systemen van APM. Dat is net zo kwalijk als dat onbevoegden zonder enige controle door de verkeerstoren op Schiphol kunnen lopen.

Een grote fout is ook dat er tot ver in 2015 geen zogeheten penetratietesten zijn geweest. Met dit soort testen kijken onderzoekers waar de kwetsbaarheden in de digitale beveiliging zitten. Dit is cruciaal om de kwaliteit van de beveiliging te testen. Alle grote bedrijven laten dit soort testen frequent doen.

Betrokkenen vertellen dat er in 2016 nog expliciete waarschuwingen zijn gedaan aan het management van APM over de zwakke beveiliging van het Terminal Operating System. Maar de leiding van de terminals wilde geen verbeteringen. Het zou namelijk betekenen dat de terminals tijdelijk stil zouden liggen door een upgrade van het netwerk. 'Men zag de noodzaak niet. Op de terminals is te weinig IT-kennis', aldus een bron.

APM heeft sinds donderdagmiddag niet gereageerd op meerdere telefonische verzoeken voor een reactie.

Dave Maasland is directeur bij ESET, dat het virus onderzocht. Hij bevestigt de problemen in de beveiliging van APM. 'APM had waarschijnlijk twee dingen niet op orde: monitoring en het scheiden van netwerken. Ze hebben al die tijd niet door gehad dat er iets mis was. En toen de aanvallers eenmaal het virus loslieten, werd niet alleen het boekhoudsysteem getroffen, maar ook hun andere systemen.'