Verslag: op zoek naar een praktische oplossing voor een cyberveilige keten in het FERM Port Cyber Café

Een nieuw Port Cyber Café, een nieuwe locatie: donderdagmiddag 14 april bouwden we onze FERM-studio op in Spijkenisse. Vanuit een fraaie setting – het relatief nieuwe Main Deck – werd het gesprek van de dag weer live naar onze achterban gestreamd, terwijl we vook weer participanten en publieke partners op locatie konden verwelkomen. Gespreksonderwerp: op zoek naar praktische oplossingen voor cyberveiligheid in de keten.

In het tweede Port Cyber Café van 2022 gingen we met onze gasten in gesprek over praktische stappen die reeds genomen worden voor een cyberveilige keten, en die we als ondernemers in de Rotterdamse haven nog kunnen nemen. Aan tafel bij moderator Chris daarom onder meer Vincent Schijven van TÜV Nederland, waarmee we in 2021 een samenwerking zijn aangegaan, die het publiek bij Main Deck en thuis / op kantoor voor de livestream meer vertelt over CYRA.

Naast Vincent schoven bij Chris ook André Kruk en Sam Nijskens van ASML aan. Zij spraken over het hanteren van (inter)nationale standaarden als referentiekader om cybersecurity te kunnen benaderen, inclusief een model met verschillende volwassenheidsniveaus en kleurindicaties. Voorafgaand aan de presentaties van ASML en TÜV Nederland deed Chris zijn vaste introductie, waarin hij aan de hand van actuele voorbeelden het belang van veiligheid in de keten nog meer eens aanstipte. NotPetya, anyone? Nee, we hoeven bepaald geen 5 jaar terug in de tijd om praktische voorbeelden aan te kaarten. Het is dan ook een onderwerp dat we al eerder in het FERM Port Cyber Café hebben behandeld.

In deze editie staat naast CYRA onder meer ook de ‘Circle of Trust’ van ASML centraal, waarmee het bedrijf cybersecurity inzichtelijk maakt en cyberweerbaarheid verhoogt. “Als wij sterker worden, dan wordt de keten sterker,” aldus André Kruk. Aansluitend nam Sam Nijskens ons mee in een interessante presentatie over de cybersecurity lifecycle, waarvoor we je graag naar onderstaande video verwijzen.

ASML is het belangrijkste Nederlands hightechbedrijf voor de halfgeleiderindustrie, in het bijzonder steppers en scanners, die worden gebruikt bij het maken van chips. Alle grote chipproducenten maken er gebruik van. ASML is, net als elke andere toonaangevende organisatie, onderhevig aan cyberaanvallen. “We nemen kennisbescherming zeer serieus en werken voortdurend aan het verbeteren van onze verdediging tegen hackpogingen en onze detectiemogelijkheden.”

“In onze aanpak van cybersecurity en cyberweerbaarheid staan de kernwaarden van ASML – Challenge, Care, Collaborate – centraal, en daarmee ook de samenwerking in de keten. We richten ons niet alleen op preventie, maar ook op detectie, herkennen en aanpakken. Het doel in alle gevallen is elkaar helpen om cyberweerbaarheid naar een hoger niveau te tillen.”

In deel twee van de bijeenkomst is het woord aan Vincent Schijven, die ons meenam in ‘security in de keten’ vanuit die samenwerking, de veranderende wetgeving in de toekomst en andere ontwikkelingen waar je als (MKB) ondernemer werkzaam in de keten mee te maken kunt krijgen. Uiteraard is er ook het logische bruggetje met CYRA, want het feit dat zijn tafelgenoten van ASML kwamen is geen toeval. “Al wil ik wel een belangrijke opmerking plaatsen,” zegt Vincent, “en dat is dat ik niet zelfstandig verantwoordelijk ben voor CYRA – want dat doen we samen met onze partners.”

Aanleiding voor CYRA – CYber RAting – is het kunnen bieden van structuur. Corporates willen graag inzicht in de weerbaarheid van de keten. “Daarnaast is er met de NIS2 natuurlijk een nieuwe wetgeving op komst, die kijkt naar organisaties die in een bepaalde categorie vallen. Voorheen waren dat alleen vitale organisaties, maar die groep wordt steeds groter. CYRA is daarom ook een stukje voorsorteren op aanstaande wetgeving.”

Ook is CYRA een opmaat naar ISO 27001, want die certificering is voor veel MKB’ers óf niet noodzakelijk, óf niet haalbaar “Cyberweerbaarheid verhogen kan daarom (ook) met de handvatten van CYRA.” Let wel: een CYRA-traject leidt niet tot ISO-certificering, maar biedt wel handvatten om jouw organisatie op basis van de juiste niveaus naar een bepaald niveau te halen waarmee de daadwerkelijke ISO-certificering een haalbare kaart wordt.

CYRA is een onafhankelijk framework voor informatiebeveiliging en privacy-maatregelen, gebaseerd op internationale normen zoals ISO 27001 en 27701 – vertaald naar begrijpelijke handvatten. Het biedt een handelingsperspectief voor de ondernemer, schaalbaar voor MKB met een focus op IT en privacy (en uiteindelijk ook OT), en gericht op groei naar ISO-certificering. Het model is daartoe uitgevoerd in drie niveaus: Basic, Intermediate en Advanced. Per controls, overgenomen uit bestaande standaarden, zijn er volwassenheidsniveaus aangebracht om aan te kunnen geven waar op de schaal een organisatie zich bevindt. De focus ligt op het kunnen maken van stappen: waar sta ik, welke stappen kan en moet ik zetten. Benchmark ten opzichte van de sector.

Hoe is dat praktisch ingericht? We hebben een platform ingericht waar ondernemers een self assessment uit kunnen voeren inzicht in huidige en gewenste situaties. De (optionele) certificering leidt tot bevestiging en vertrouwen in de keten.

“Maken we de stap naar Rotterdam, dan zien we dat aandacht voor fysieke veiligheid (safety) in het DNA van de haven zit – wat een aanleiding was om ook in het doelgebied van FERM aan de slag te gaan. CYRA voor de ondernemer betekent inzicht en handelingsperspectief, kunnen werken aan cyberweerbaarheid en het zetten van een benchmark ten opzichte van de eigen sector. Voor de keten betekent dat ondersteuning voor de continuïteit (vanuit cyberweerbaarheid) en vooruitlopen op wet- en regelgeving. In Rotterdam wordt een pilot project gestart waar we je op korte termijn vanuit FERM meer over zullen vertellen.

“Hoe nu verder? Lid worden van FERM, uiteraard”, zegt Vincent. “Niet omdat ik hier een reclamepraatje voor Evelien ga houden, maar omdat onderdeel worden van FERM ook toegang geeft tot de omgeving. Kijk daarnaast ook op cyberrating.nl voor een inzicht, vul de vragen in en kijk waar je staat, want dat gaat je verder helpen om weerbaar te worden.”

We zijn je graag bij één van de volgende Port Cyber Café’s van 2022: de donderdagen 30 juni, 15 september en 17 november.

In de periodieke FERM Port Cyber Cafés duiken we samen met experts uit het vak in een informele setting dieper in een actueel onderwerp rond cybersecurity in het Rotterdamse Havengebied. Je vindt alle verslagen op ferm-rotterdam.nl/port-cyber.