Tot nu toe hebben de aanvallen voor vertraging gezorgd bij het laden en lossen van onder meer geraffineerde olieproducten, maar lijken de economische gevolgen beperkt. Toch zijn cyberveiligheidsdeskundigen bezorgd. Dat olieterminals zo gevoelig zijn voor hackers geeft te denken in tijden van energieschaarste en geopolitieke spanningen.

Begin deze week maakten de bedrijven Oiltanking en Mabanaft zelf bekend dat hun Duitse terminals ernstig werden gehinderd door een cyberaanval. Shell kondigde vervolgens aan de benzinepompen in Duitsland te moeten bevoorraden via andere bedrijven. Op basis van ingewijden melden de Britse marktonderzoeker Argus en de Belgische krant De Tijd nu dat ook terminals in de havens van Rotterdam, Terneuzen, Antwerpen en Gent zijn getroffen.

Getroffen bedrijven blijven stil

De meeste bedrijven die het betreft reageren niet of zeer beperkt. Opslagbedrijf Evos, dat terminals heeft op verschillende plaatsen in Nederland, stelt te maken te hebben met een vertragende ‘IT-verstoring’ in Terneuzen waarvan de oorzaak nog niet duidelijk is. Volgens de De Tijd liggen de terminals van de Belgische multinational Sea-Invest nagenoeg stil, wat ook de doorvoer hindert van onder meer chemische producten en fruit. Sea-Invest heeft nog niet gereageerd.

Dave Maasland van cyberveiligheidsbedrijf Eset ziet vaker dat getroffen bedrijven terughoudend zijn met het verstrekken van informatie. ‘Ze zijn bang voor imagoschade, denken dat ze media-aandacht er niet bij kunnen hebben terwijl ze zich op het probleem focussen, en zijn bang dat ze aanvallers wijzer maken dan ze al zijn’, zegt hij. ‘Ik denk dat je meer vertrouwen uitstraalt als je laat zien: dit is wat er kan gebeuren, zo lossen wij het op.’

Het Duitse Handelsblatt schrijft op basis van een intern rapport van het federale cyberveiligheidscentrum dat Oiltanking te maken heeft met gijzelsoftware van BlackCat. Deze criminele groep biedt tegen betaling software aan die bestanden van het slachtoffer versleutelt en zo onbruikbaar maakt. Vaak eist de aanvaller hierna losgeld.

Dit bevestigt volgens Dave Maasland dat het inderdaad niet lijkt te gaan om een ‘gecoördineerd masterplan’. ‘We hebben zelf waargenomen dat BlackCat al sinds december enorm actief is in het aan de man brengen van zijn ransomware, ze maken veel reclame op forums.’

'Serieus maar niet zeer ernstig’

De Nederlandse, Belgische en Duitse autoriteiten hebben een onderzoek ingesteld. ‘Ik beschouw dit incident als serieus, maar niet als zeer ernstig’, aldus Arne Schönbohm, voorzitter van het Duitse cyberveiligheidscentrum.

Maasland begrijpt Schönbohms reactie, ‘in de zin dat de olietoevoer doorgaat en er geen publieke onrust is. Maar als cybersecurityprofessional vind ik dit wel angstig.’ Grote bedrijven, zoals Shell, hebben hun veiligheid vaak wel op orde, legt hij uit. Vaak zitten de zwakke plekken bij kleinere bedrijven die in rol spelen in de infrastructuur eromheen, en dat blijkt nu opnieuw bij de terminals. ‘Daardoor zijn essentiële diensten in Nederland ontzettend kwetsbaar.’

Volgens Maasland moeten grote bedrijven de kleine bedrijven waar ze mee te maken hebben vaker helpen. ‘Het principe van groot helpt klein, met budget en met masterclasses. Dat is geen filantropie: die grote bedrijven kunnen zelf ook in de problemen komen als hun kleinere partners worden lamgelegd.’