De ransomwareaanval op de Colonial Pipeline in de VS vorig jaar drukte iedereen in de olie-, gas- en chemiewereld met de neus op de feiten: deze sector is een aantrekkelijk doelwit voor cybercrime. Hoe is het eigenlijk gesteld met de digitale veiligheid van de chemie in Nederland?

Bij cybersecurity denken mensen meestal direct aan hackers die je systemen infecteren en ransomware plaatsen. Maar digitale problemen zijn in de meeste gevallen niet opzettelijk veroorzaakt, zegt Patrick de Graaf, business director cybersecurity bij TNO. ‘Meestal gaat het om verkeerde koppelingen of installaties, configuratiefouten, dat soort zaken.’ In andere gevallen gaat het om bewuste verstoringen van de digitale systemen. ‘Dan kun je inderdaad denken aan criminele activiteiten. De chemie is een interessant doelwit voor ransomwareaanvallen omdat er veel geld in omgaat. Ook spionage komt in deze sector regelmatig voor. Het probleem hiervan is dat je dit vaak pas merkt als het te laat is.’

Daarnaast is het ongewild lekken van persoonsgegevens een probleem, stelt De Graaf. ‘Bedrijven moeten zorgvuldig omgaan met privacy zoals voorgeschreven in de GDPR-regelgeving (General Data Protection Regulation, red.). Als er door een fout persoonsgegevens op straat komen, kan de overheid een boete opleggen.’ Digitale sabotage, waarbij processen worden gemanipuleerd, komt minder vaak voor, maar de impact is wel erg groot. ‘Dat gebeurde bijvoorbeeld met de Stuxnet-worm, die de werking van bepaalde besturingsapparatuur kon beïnvloeden. Hierdoor kwam een nucleaire verrijkingsfabriek in Iran stil te liggen.’

Patrick de Graaf

Patrick de Graaf

Complex

De chemische industrie is over het algemeen zeer innovatief en heeft haar zaakjes op het gebied van veiligheid goed op orde. Maar cyberveiligheid is voor deze sector erg complex. Marcel Jutte, oprichter van Hudson Cybertec: ‘Bedrijven in deze sector zijn vaak groot en de processen ingewikkeld. Er zijn veel koppelingen, afdelingen en entiteiten, allemaal met hun eigen doelstellingen. Fusies en overnames zijn in deze sector regelmatig aan de orde en zorgen voor extra complexiteit. Ieder bedrijfsonderdeel heeft zijn eigen bedrijfscultuur en maakt gebruik van eigen technologie. Denk ook aan het al dan niet werken met ploegendiensten en de internationale setting.’

Een bekend aandachtspunt in de chemische industrie is de aansturing van de processen oftewel operationele technologie (OT). Jutte: ‘Bedrijven maken gebruik van OT-systemen van verschillende merken. Ook instrumentatie zoals flowmeters zijn steeds vaker smart en communiceren draadloos via wifi of bluetooth. Dat betekent dat er veel datastromen zijn die allemaal een eigen protocol gebruiken. Hiervoor geldt: hoe meer er mogelijk is, hoe meer risico’s er zijn.’

‘Fusies en overnames zijn in deze sector regelmatig aan de orde en zorgen voor extra complexiteit’

Marcel Jutte

Bovendien zijn veel van de gebruikte systemen verouderd. ‘We komen systemen tegen van wel dertig jaar oud. Deze zijn absoluut niet ontwikkeld met het oog op cybersecurity. Toch zijn ze vaak gekoppeld met het IT-netwerk. Dan moet je goed bekijken of dit wel veilig gebeurt.’ De Graaf en Jutte stellen dat de IT- en OT-netwerken zo veel mogelijk gescheiden moeten blijven. Jutte: ‘Het is belangrijk om te weten wat er op je netwerk gebeurt. Hoe is het opgezet en georganiseerd? Welke assets zijn er gekoppeld? Soms blijken er assets die al jaren niet meer worden gebruikt nog op het netwerk te zijn aangesloten. Ook komen we situaties tegen waarin de printers van de kantoren zijn aangesloten op hetzelfde netwerk als de productiebesturing en de beveiligingscamera’s.’

De Graaf vult aan: ‘Natuurlijk zijn koppelingen tussen de diverse systemen, bijvoorbeeld op het gebied van voorraadbeheer, orders en dergelijke, een voordeel. Maar je moet het koppelvlak goed inrichten. De kantoorsystemen moeten de aansturing van het proces in de fabriek niet ongewenst kunnen beïnvloeden.’

Jutte: ‘Een duidelijke scheiding tussen de twee omgevingen is wenselijk, ook omdat de twee netwerken op een verschillende manier moeten worden gemanaged. Zo moet je voor IT-netwerken patches altijd zo snel mogelijk installeren. Terwijl je dat voor je OT-netwerk liever niet doet, omdat je dan het proces moet stilleggen.’

Marcel Jutte

Marcel Jutte

Eén richting op

Nieuwere OT-systemen zijn beter uitgerust op het gebied van digitale veiligheid. TNO richt zich daarom onder andere op het geschikt krijgen van cybersecuritytechnologie voor het OT-domein en op de veilige integratie tussen IT- en OT-netwerken. De Graaf: ‘Met behulp van kunstmatige intelligentie kun je afwijkende patronen in de communicatie tussen systemen herkennen. Een heel simpel voorbeeld: als je printer data gaat versturen naar je proces, is er iets goed mis. Een bruikbare technologie zijn de zogenaamde datadiodes, waardoor data altijd maar één richting op kan. De interfaces kun je dan bewaken met bestaande cryptografietechnieken.’

Jutte pleit er ook voor om netwerken te segmenteren. ‘Vaak zijn systemen tussen verschillende sites overal ter wereld op elkaar aangesloten. De gevolgen van een lokaal probleem kunnen zich dan wereldwijd manifesteren. Denk maar aan de problemen die de containerhavenexploitant APM Terminals in 2017 in Rotterdam had.’

‘De chemie is typisch een sector waar veiligheid in de keten van groot belang is’

Patrick de Graaf

Een ander punt van zorg op het gebied van cybersecurity in de chemische industrie is dat er veel gewerkt wordt met derden. Hoe gaat men om met deze partijen? Worden alle aannemers en contractors gescreend? Hoe kunnen storingsmonteurs hun werk uitvoeren? Maken zij gebruik van externe laptops? Zijn kritische systemen goed afgeschermd voor derden? Veel digitale problemen blijken te herleiden tot geïnfecteerde usb-sticks of laptops van buiten het bedrijf. De kans op problemen is immers groter naarmate er meer verbinding is met de buitenwereld. De Graaf: ‘Er is ook steeds meer aandacht voor supply chain security, het verhogen van de digitale weerbaarheid van leveranciers en partners. De chemie is typisch een sector waar veiligheid in de keten van groot belang is.’

Naast de technische kant is ook de organisatorische en menselijke factor erg belangrijk, geeft De Graaf aan. ‘Ten eerste moet het management de noodzaak van cybersecurity in hun bedrijf voldoende inzien en uitdragen. Ook moeten er goede afspraken zijn tussen IT en bedrijfsvoering. Wie beslist bijvoorbeeld om een proces stil te leggen als er een digitaal probleem is?’ Dat ziet ook Jutte: ‘Je moet duidelijk in kaart hebben wat de verschillende taken van de werknemers zijn en welke bevoegdheden en verantwoordelijkheden zij hebben met betrekking tot de digitale omgeving van het bedrijf. Het gebeurt wel eens dat de HRM-afdeling nooit betrokken is geweest bij het thema cybersecurity. Terwijl zij er toch op moeten toezien dat personeel gescreend wordt. Op de meest vitale plekken zou ik toch een extra screening doen naast de verklaring omtrent gedrag.’

Onvoldoende kennis

Uit een vorig jaar gepresenteerd rapport van de Dienst Centraal Milieubeheer Rijnmond blijkt dat bedrijven nog te weinig aandacht hebben voor digitale veiligheid. De onderzochte BRZO-bedrijven in Zeeland en Zuid-Holland treffen nog niet altijd voldoende maatregelen. Het Cybersecuritybeeld Nederland 2021 van de Nationaal Coördinator Terrorismebestrijding en Veiligheid en het Nationaal Cyber Security Centrum (NCSC) schetsen hetzelfde beeld. ‘Bij grote bedrijven gaat het over het algemeen goed’, zegt Jutte. ‘Een aantal bedrijven in de chemische industrie valt onder de Wet Beveiliging Netwerk- en Informatiesystemen (WBNI) als Aanbieders van Essentiële Diensten. Deze bedrijven moeten incidenten melden bij het NCSC en zijn wettelijk verplicht om maatregelen te treffen op het gebied van digitale veiligheid. Maar voor veel bedrijven in de chemie gelden deze verplichtingen niet en is iedereen zelf verantwoordelijk voor de digitale veiligheid.’

‘In de procesindustrie geldt: hoe meer er mogelijk is, hoe meer risico’s er zijn’

Marcel Jutte

Maar niet alle bedrijven beschikken over voldoende kennis. En er is een schaarste aan experts op dit gebied. Om de kennisontwikkeling te versterken, presenteerde dcypher in 2018 een nieuwe editie van de Nationale Cybersecurity Research Agenda. Dcypher is het samenwerkingsplatform voor R&D in de cybersecurity in Nederland en stimuleert samenwerking tussen kennisinstellingen, bedrijven en overheid op dit gebied.

Cybersecurity zou in bedrijven dezelfde status moeten hebben als fysieke veiligheid, zegt De Graaf. ‘Cybersecurity is niet een project met een begin en een einde. Het is een thema waar je aandacht aan moet blijven besteden. Het begint met iets wat je toch al zou moeten doen: goed systeembeheer, zoals het op tijd installeren van patches, zorgen voor een firewall en antivirussysteem, regelmatig backups maken. Een goed cybersecuritybeleid kost geld. Een richtlijn is om hier 10% van het ICT-budget aan te besteden.’ Jutte vult aan: ‘Cybersecurity zou onderdeel moeten zijn van het veiligheidsbeleid van een bedrijf. Op het gebied van fysieke veiligheid hebben bedrijven een hele lijst maatregelen, poortinstructies, de verplichting om persoonlijke beschermingsmiddelen te dragen, enzovoorts. Dit soort maatregelen en gedragsregels moeten er ook komen voor cybersecurity.’

Initiatieven

Volgens Jutte en De Graaf verbetert de digitale weerbaarheid van chemische bedrijven wel. Jutte: ‘het opstellen van standaarden en normen heeft hier zeker bij geholpen. De IEC 62433 en andere ISO-normeringen geven duidelijke indicaties om cyberveiligheid op orde te krijgen én te houden.’ Cybersecurity is sinds 2010 opgenomen in het Responsible Care programma. Ook is het overlegplatform ISAC (Information Sharing & Analysis Centre) Olie en Chemie in het leven geroepen, dat wordt gefaciliteerd door het NCSC. Deelnemers kunnen via dit platform gevoelige en vertrouwelijke informatie uitwisselen over incidenten, dreigingen, kwetsbaarheden en maatregelen. Voor kleinere ondernemingen bestaat het Digital Trust Center (DTC). Ook het DTC biedt tools aan om de basisveiligheid op het gebied van cybersecurity te checken.

‘Cybersecurity is niet een project met een begin en een einde, het is een thema waar je aandacht aan moet blijven besteden’

Patrick de Graaf

Daarnaast zijn er in de afgelopen jaren ook lokaal verschillende initiatieven op het gebied van cybersecurity opgestart. Het Havenbedrijf Rotterdam lanceerde halverwege 2016 het Port Cyber Resilience Programma (PCRP) en stelde een Port Cyber Resilience Officer aan om het bewustzijn met betrekking tot cybersecurity te verhogen. In het PCRP werkt stichting FERM nauw samen met onder andere het Digital Trust Center, de (zeehaven-)politie, douane en DCMR. En in Eindhoven bestaat sinds 2019 het Cyber Weerbaarheidscentrum Brainport.

De chemie kan zeker leren van andere sectoren die al volwassener zijn op dit gebied. ‘Bedrijven die onder de WBNI vallen, zoals de drinkwatersector en netbeheerders, hebben een voorsprong omdat zij een meld- en zorgplicht hebben voor digitale veiligheid’, zegt Jutte. Een andere stimulans om te investeren in cybersecurity komt vanuit de verzekeraars en aandeelhouders. ‘Verzekeraars stellen meer eisen op dit gebied. Voorheen werd voornamelijk gekeken naar de fysieke veiligheid van procesinstallaties, bijvoorbeeld voor wat betreft brandveiligheid. Maar het digitale aspect is nu ook in verzekeringsvoorwaarden opgenomen, want wat als een cyberincident leidt tot brand? Als bedrijven geen adequate maatregelen hebben getroffen, is dat uitgesloten van de verzekering. En voor wat betreft aandeelhouders: een digitaal probleem kan ten koste gaan van de winstgevendheid.’

Recente cyberincidenten in de chemische industrie:

2022:

  • Inbreuk op enkele IT-systemen van Element Solutions (VS), vermoedelijk ransomware, maar met beperkte impact.

2021:

  • Ransomwareaanval op Colonial Pipeline (VS), waarschijnlijk door hackersgroep Darkside. Zij verkregen toegang tot het computernetwerk gebruikmakend van een password dat gelekt was naar het darkweb. Nadat de ransomwaremelding was gemaakt, zag het bedrijf zich genoodzaakt om de pijpleiding – die 2,5 miljoen vaten olie per dag van Texas naar New Jersey vervoert – stil te leggen.
  • Een week na de ransomwareaanval op Colonial Pipeline was ook chemisch distributeur Brenntag (Duitsland, VS) slachtoffer van Darkside. Het bedrijf schijnt $ 4,4 miljoen betaald te hebben om de versleutelde bestanden terug te krijgen.
  • Siegfried Lifesciences (Zwitserland), dat onder meer zorgt voor de verpakking van de Pfizer-BioNTech COVID-19 vaccins, kreeg te maken met een malwareaanval, legde de productie op verschillende locaties stil en sloot netwerkverbindingen af.

2020:

  • Cyberaanval op geur- en smaakstoffenproducent Symrise (Duitsland) met afpersing als doel. Het bedrijf zegt niet betaald te hebben, maar vertraging in productie en logistiek zorgde ervoor dat de winst lager was dan de doelstelling.
  • Ransomwareaanval op Braskem (Brazilië), die volgens de onderneming is onderschept. Het bedrijf sprak wel van een force majeure, waarbij enkele klanten in Brazilië en andere delen van Zuid-Amerika schade ondervonden.

2019

  • Norsk Hydro (Noorwegen), Momentive (VS) en Hexion (VS) werden slachtoffer van ransomwareaanvallen via het programma LockerGoga. Hackers kregen toegang tot het systeem, versleutelde bestanden en processen werden onderbroken.