Webinar Portbase
News 1 december 2021

Verslag Portbase webinar 'Digitale Veiligheid Verbeteren'

Wil je weten welke stappen je kunt zetten om je digitale veiligheid te verbeteren? Dan deed je er goed aan om je aan te melden voor een webinar van Portbase over precies dat onderwerp, dat vanmiddag virtueel plaatsvond live vanuit De Loft in de Rotterdamse Haven. De digitale bijeenkomst bestond uit presentaties van onder andere Daniël Verlaan (techjournalist bij RTL Nieuws), met bijdragen vanuit zijn boek Ik weet je wachtwoord, en van Evelien Bras, vanuit haar rol als directeur bij FERM.

Voor wie het gemist heeft, blikken we er graag even op terug.

Digitale veiligheid verbeteren

Als eigenaar van het PCS, het Port Community System en de bijbehorende diensten, heeft Portbase digitale veiligheid al jaren hoog in het vaandel staan. Niet voor niets gingen we afgelopen maand al in gesprek met Ronald Stolk, Securitymanager bij FERM-participant Portbase. De organisatie is continu aan de slag om bijvoorbeeld het klantacceptatieproces te verbeteren en daar ook nieuwe tools aan toe te voegen om het niveau van cybersecurity en -weerbaarheid blijvend te maximaliseren.

In een webinar van een uur werden we vanmiddag bijgepraat over 'all things cybersecurity' in het algemeen, dat vervolgens natuurlijk specifiek werd gericht op de Nederlandse havens. Een uur vol tips om zakelijk én privé je gegevens beter te beschermen, om te leren wat je zoal zelf kunt doen om digitaal weerbaar(der) te zijn, en om samen eens te kijken welke stappen je samen met Portbase kunt zetten naar digitale veiligheid.

Voor dat laatste onderdeel schoof Portbase Business Manager Arjen Ketelaar aan, die ons vertelde over IAMconnected en de bijdrage aan digitale weerbaarheid, zoals het introduceren van Multi-Factor Authentication (MFA) voor het veilig inloggen op meerdere digitale diensten van de haven logistieke community. Maar laten we beginnen bij het begin, want hoewel Arjen opende weliswaar de bijeenkomst, maar gaf eerst het woord aan de twee gasten: Daniël Verlaan en Evelien Bras.

Ik Weet Je Wachtwoord

Daniël Verlaan werkt voor RTL Nieuws en doet onderzoek naar de duistere kant van het internet. In 2019 won Daniël de ‘Tegel’, de belangrijkste journalistieke onderscheiding van Nederland, voor een reeks verhalen over cybercriminaliteit. En de ‘Loep’, de prijs voor de beste onderzoeksjournalistiek, voor zijn undercoveronderzoek naar een wraakpornonetwerk. In 2020 bracht hij het boek Ik weet je wachtwoord uit, met waargebeurde verhalen over de duistere kant van het internet. Ook schreef hij ‘Laat Je Niet Hack Maken’, een gratis online handleiding waarmee je jezelf beschermt tegen hackers.

Je koopt iets op Marktplaats en even later wordt je bankrekening geplunderd; je slimme thermostaat is gegijzeld en zolang je niet betaalt blijft het 37 graden in je huis; je gloednieuwe beveiligingscamera zegt opeens ‘suck my dick’ tegen je. Het internet is een wereld vol mogelijkheden – ook voor criminelen. Het zijn griezelige, maar ook verbluffende verhalen. Met gevaren waar je je tegen kunt beschermen. Hoe? Daar weet Verlaan alles van. Hij ging undercover in schimmige netwerken, sprak met de puber die de Nederlandse banken platlegde en zocht uit hoe een kleine arthousebioscoop op grote schaal onze computers gijzelde. In Ik weet je wachtwoord wil hij je niet paranoïde maken, maar wel minder naïef. Deelnemers van het webinar krijgen zijn boek thuisgestuurd.

De Erasmusbrug hacken

Een mooi 'Rotterdams' voorbeeld van Daniël z'n skills ("Ik ben overigens gewoon opgeleid als journalist, gewoon de SvJ dus, en geen technische opleiding) om zijn presentatie mee te openen, is het feit dat hij afgelopen jaar de Erasmusbrug heeft gehackt(!). Allemaal leuk en aardig om de verschillende kleuren van de verlichting aan te passen, maar er zijn natuurlijk ook veel kwetsbaardere aspecten die het belang van goede beveiliging voor dergelijke infrastructuur onderstrepen. Ook laat hij zien hoe kinderlijk eenvoudig hij vorig jaar kon inbreken bij een geheim Europees defensieoverleg, doordat een deelnemer het eigen wachtwoord zichtbaar had gedeeld. "Het zijn vaak de menselijke fouten waardoor systemen en netwerken blootgesteld worden voor dit soort acties." En juist deze digitale systemen hebben een impact op onze fysieke wereld, waarbij iemand met een computer een directe invloed kan uitoefenen. Een wereld die steeds vaker aangestuurd via digitale systemen waarvan we weten dat ze niet veilig genoeg zijn.

Aansluitend vertelt de techjournalist over zijn undercoveronderzoek naar een wraakpornonetwerk, waar hij zijn tweede award voor kreeg ("Voor wie het niet weet, de Tegel en de Loep zijn in principe de Oscar en de Emmy voor de Nederlandse journalistiek."). Overigens vertelt hij ook over het feit dat zelfs zijn eigen werkgever, RTL Nieuws, onlangs werd gehackt. "Het wachtwoord van een externe medewerker gekraakt."

Undercoveronderzoek

Terug naar het undercoveronderzoek. Via speurwerk op onder meer sociale media ontdekte hij dat men op zoek was naar de Mega, een soort online bibliotheek met allemaal naaktfoto’s van meisjes. De daders, die inmiddels in de cel verblijven, hadden daar aan database met fotomateriaal van honderden meisjes, in veel gevallen minderjarig. "Daar hadden maar een paar mensen toegang tot, want je moest materiaal aanleveren om toegang te krijgen." Daniël wist toegang te verkrijgen via een sekswerker die hij had ingehuurd om beelden te maken, in overleg met het team. "Dat was een hele leuke declaratie bij RTL, trouwens."

Wat tevens interessant is aan deze uiteenzetting, is het feit dat 'men' inmiddels wel redelijk bekend is met de gangbare tips en adviezen, zoals het maken van sterke en unieke wachtwoorden, of oppassen met phishing (en ransomware), maar dat Daniël middels zijn onderzoek ook op ogenschijnlijk onschuldig gedrag op social media kon wijzen. "Pas op met wat je deelt!" Dat legt een bruggetje naar diverse modus operandi van cybercriminelen, ofwel de technische tricks van hackers. Een belangrijke ingang is nog altijd zwakke wachtwoorden, en dan met name wachtwoorden die al eens gelekt zijn - niet voor niets het onderwerp van zijn boek.

"Denk aan hashing, bijvoorbeeld. Een wachtwoord wordt meestal in code opgeslagen, die noemen we hash. Via een enorme database van hashes, met dank aan gelekte bestanden met wachtwoorden, kunnen hackers heel eenvoudig bestaande wachtwoorden kraken, als die nog altijd niet aangepast zijn. 'RotterdamHaven1' als voorbeeld, is maar een paar seconden werk. 'Roosendaal1989', geboorteplaats en -jaar van Daniël zelf (pas op met wat je deelt!), hooguit een paar minuten." Zorg dus altijd voor sterke wachtwoorden. "En maak ze ook altijd uniek voor ieder account", vult Evelien aan. "Na Black Friday hebben we weer volop gelezen over foute webshops, enkel in het leven geroepen om jou je geld afhandig te maken. Als je daar je privé e-mailadres gebruikt, met een van je standaard wachtwoorden, dan is dat wachtwoord dus meteen in verkeerde handen."

2FA: tweefactorauthenticatie

Een andere veelvoorkomende strategie is en blijft social engineering. Cybercriminelen weten immers dat de simpelste manier om informatie te achterhalen is: er gewoon naar vragen. Via een paar eenvoudige vragen ('Hey, ben jij geboren in Roosendaal?' of 'Was jij ook fan van Justin Bieber?') kunnen ze de antwoorden op je beveiligingsvragen achterhalen, en zodoende toegang krijgen tot de functie 'wachtwoord veranderen'.

"In Nederland vinden we tweefactorauthenticatie best wel een ding", zegt Daniël. "Heel veel doen we het niet, zeker als het niet wordt verplicht. Apple heeft het inmiddels wel verplicht, ook voor iCloud accounts. Google is het pas enkele maanden gelegen gaan doen, dus er is een verschuiving, maar het moet echt nog beter." Voor dat en meer tips: lees Ik weet je wachtwoord, of luister eens naar de nieuwe podcast van Daniël met dezelfde naam: Ik weet je wachtwoord.

Over het 2FA (of MFA, multifactor-) verhaal heeft ook Arjen aanvullende tips voor veilig delen. "Zorg dat je MFA niet alleen aanzet voor privé en voor zakelijke accounts (en dus ook PCS), maar let ook altijd goed op wat je deelt. Weet privé met wie je wat kunt delen, en zorg dat je zakelijk alleen persoonlijke accounts gebruikt, geen groepsaccounts. Die (na)zorg moet ook uitgaan bij het beëindigen van relaties, en ook dan zowel zakelijk als privé. Check wat je gedeeld hebt, en zorg zakelijk ook voor periodieke validatie: check dus regelmatig de autorisaties van je medewerkers."

Samen staan we FERM

Aansluitend aan de presentatie van Daniël verschuift de spotlight van Portbase naar Evelien Bras, directeur van FERM Rotterdam. "FERM is geen afkorting, zegt Evelien, het is de Rotterdamse vertaling voor weerbaarheid. Hoe zorg je ervoor dat we de haven samen veilig en weerbaar maken?"

Evelien Bras is directeur van FERM en heeft een achtergrond bij grote organisaties zoals Thales, waar ze een rol had in de aerospace-tak en betrokken was bij de lobby rond de F35. Ze weet daarom als geen ander dat innovatie en het vermogen om aan te passen voor iedere onderneming bepalende onderdelen – zelfs vereisten – zijn, waarbij samenwerking handig is om sneller vooruit te komen. Die ervaringen zijn een goede match voor de uitdagingen waar het Havengebied – en dus ook FERM – mee te maken krijgen. Haar achtergrond in digitalisering, specifiek met oog voor de belangrijke onderwerpen cybersecurity, privacy en compliance – maken dat plaatje af.

"'Wie wil mij nou aanvallen', dat is de vraag helemaal niet," vervolgt Evelien. "Iedere organisatie heeft waardevolle gegevens, en is dus potentieel doelwit van fraude en cyberaanvallen. Waarbij overigens meer dan 80 procent afgeweerd kan worden met de juiste maatregelen. en dat is natuurlijk echt heel veel. Daarom is ook iedere organisatie in het Haven Industrieel Complex gebaat bij de dienstverlening van organisaties zoals FERM."

"Wat FERM doet: wij helpen bedrijven aan voorlichting. In iedere organisatie zijn het uiteindelijk de mensen waar het om draait, dus hoe kun je hen nou bijleren waar ze op moeten letten, waaróm ze daarop moeten letten, en waarom dat zo belangrijk is. Een grote uitdaging daarbij is bijblijven; we zien ook in de presentatie van Daniël dat cybercriminelen zich doorlopend ontwikkelen, dus ook wij moeten zorgen dat we up to date zijn, want cybersecurity is enorm dynamisch."

Ransomware en storage spoofing

"In algemene zin kun je stellen dat ransomware momenteel een van de grootste dreigingen is, en voorlopig zal blijven." We hebben er dan ook al regelmatig over geschreven: wat te doen bij een cyberaanval, en dan specifiek zo'n aanval met ransomware. "De dreiging van ransomware neemt namelijk al enkele jaren stevig toe, en deze kwaadaardige software kan elke organisatie treffen." Maatregelen voor het voorkomen, beperken en herstellen van een ransomware-aanval vind je in het Factsheet Ransomware van het NCSC.

"Daarnaast hebben we havenspecifiek natuurlijk nog altijd te maken met storage spoofing die bedrijven in tankopslag raakt, zowel uitbaters van tanks en terminals als de ondernemers die op zoek zijn naar bepaalde brandstoffen." Storage Spoofing is een verzamelterm voor alle vormen van verkoop van niet-bestaande opslagcapaciteiten en voorraden van grondstoffen en materialen in terminals in het Rotterdamse havengebied. De doelgroep van deze variant van fraude zijn in de eerste plaats de (inter)nationale bedrijven die in het havengebied opslag hebben óf zoeken. Daarnaast potentiële kopers van de handel die vanuit die terminals aangeboden lijkt te worden, maar in de praktijk niet blijkt te bestaan. "Voor alle bedrijven in het Havengebied is dit een serieuze dreiging omdat deze vorm van fraude hun naam en reputatie door cybercriminelen beschadigd wordt." Je leest er alles over in onze rubriek Storage Spoofing.

"Een cyberaanval op een bedrijf in de haven heeft vrijwel zeker ook negatieve gevolgen voor andere bedrijven binnen de haven van Rotterdam. Binnen ons Haven Industrieel Complex zijn bedrijven sterk afhankelijk van elkaar, en onze processen zijn met elkaar verbonden. We zijn bovendien vrijwel allemaal afhankelijk van informatietechnologie (IT) en operationele technologie (OT). Dat biedt geweldige economische kansen, maar het maakt ons ook kwetsbaar. Een kwetsbaarheid waar we gezamenlijk in op kunnen treden." Wil je weten wat jij kunt doen om de cyberweerbaarheid van jouw organisatie én van de gehele keten te verhogen? Bekijk dan de infographic over de FERM dienstverlening. En meld je aan op ferm-rotterdam.nl/participant-worden

Portbase: IAMconnected

Arjen Ketelaar werkt als Business Manager IAMconnected bij Portbase. Voorheen heeft hij als business consultant diverse grote ondernemingen in de Telecom en Financiële Sector ondersteund bij productintroducties en implementaties voor nieuwe wet- en regelgeving. Zijn kracht is het bij elkaar brengen van mensen, processen en IT met focus op het eindresultaat. Zijn missie is om de digitale haven veiliger te maken door het aanbieden van de veilige en eenvoudige inlogdienst IAMconnected.

De roep om een veilige haven is in Rotterdam luider dan ooit tevoren. Criminelen maken graag misbruik van de goede infrastructuur en de efficiënte goederenafhandeling in de haven. Daarom gaan we met het programma ‘Samen veilig data delen’ bijdragen aan de realisatie van een veilige Rotterdamse haven.

Portbase zet hiermee in op een gezamenlijke aanpak, met concrete oplossingen voor het veilig en betrouwbaar delen van data tussen de verschillende schakels in de logistieke containerketen. Uiteraard dragen we daar vanuit FERM graag aan bij. Dank voor uw deelname, of uw interesse op deze pagina!

Samen veilig data delen

Uiteraard was er afsluitend ook gelegenheid voor vragen, via de chat. Bijvoorbeeld "Wat is de reden dat je pas mag inschieten in Portbase op het moment dat de vracht uitgevaren is vanuit GB? Blijft dat zo?", specifiek voor de Portbase systemen. Maar ook algemener, zoals "Sterke wachtwoorden die in IOS (Apple) worden voorgesteld, is dat aan te raden om te gebruiken?"

"Zeker," zegt Daniël als antwoord op die laatste vraag. "Ik ben zelf groot voorstander van password managers in het algemeen, maar die van Apple zelf is helemaal in orde." En hoe vaak moet je je wachtwoord veranderen? "Dat is eigenlijk een volledig achterhaald punt," zegt Daniël. "Dat komt omdat er zeer regelmatig databases met wachtwoorden op straat lagen. Maar in de praktijk werden steeds dezelfde wachtwoorden gebruikt met een ander cijfertje aan het einde. Ieder kwartaal je wachtwoord maar wijzigen om het wijzigen is eigenlijk niet zinvol, zeker niet als het geen sterk nieuw wachtwoord is."

Wil je weten wat jij kunt doen om de cyberweerbaarheid van jouw organisatie én van de gehele keten te verhogen? Bekijk dan de infographic over de FERM dienstverlening. En meld je aan op ferm-rotterdam.nl/participant-worden

VIND FERM OOK OP LINKEDIN  | TWITTER 

SCHRIJF JE IN VOOR DE NIEUWSBRIEF

Infographic dienstverlening (91.78 KB)