IT-afhankelijkheid is een groter probleem voor wegvervoer dan cyberkwetsbaarheid

Bij de Rotterdam School of Management en Erasmus UPT zijn we bezig met onderzoek naar cyberweerbaarheid in de Rotterdamse maritieme sector. Dat onderzoek gaat over schepen en de haven van Rotterdam. In deze column wil ik parallellen trekken met het wegvervoer.

Om te beginnen: is cybersecurity wel een probleem in het wegvervoer? Het standaard antwoord op deze vraag bevat meestal verwijzingen naar grote hacks of cyberaanvallen. Daarvan hebben we er ook in de Rotterdamse haven al een aantal meegemaakt, zoals bij APM, Dirkzwager en de website Portofrotterdam.com.

Een groter probleem is, denk ik, IT-afhankelijkheid. Hiervan hebben we in het maritieme domein al een paar gebeurtenissen (geen cyberaanvallen!) gezien met grote gevolgen. Neem het schip in Baltimore, waarbij de uitval van een paar systemen leidde tot gigantische schade terwijl het schip nog maar 1 knoop snelheid had. Meer recent heeft de affaire met Crowdstrike laten zien hoe afhankelijk we zijn van onze IT-systemen.

Uit ons onderzoek blijkt dat de IT op schepen heel kwetsbaar is, en vergeven is van allerlei malware. Bij binnenkomst in de haven leidt dat, wellicht gek genoeg, niet tot problemen. Iedereen communiceert dan met het schip via een VHF-kanaal en het schip is niet rechtstreeks verbonden met walsystemen. Aan de andere kant is er ook geen regelgevingskader om schepen die duidelijk cyberkwetsbaar zijn in de haven te weigeren. Dit laatste laat zien dat we met cyberweerbaarheid nog aan het begin van een ontwikkeling staan.

Wat betekent dit nu voor het wegvervoer? Ook hier zou ik willen stellen dat IT-afhankelijkheid waarschijnlijk een groter probleem is dan cyberkwetsbaarheid. Dat neemt niet weg dat bescherming tegen cyberaanvallen en cybercriminaliteit echt wel aandacht moet krijgen. Er zijn veel relatief eenvoudige maatregelen die elk bedrijf zou moeten nemen, waardoor de grootste kwetsbaarheden goed worden geadresseerd. Uw branchevereniging en de specifieke sectoren waarvoor u werkt hebben vaak al allerlei informatiemateriaal waar deze maatregelen in staan: accountbeheer is belangrijk, geen bedrijfsaccounts maar individuele inlogaccounts, zorg dat niet iedereen overal bij kan, maak back-ups en gebruik, zeker als klein bedrijf, zoveel mogelijk cloudapplicaties. IT-leveranciers spelen hierbij ook een belangrijke rol.

Dé uitdaging in het wegvervoer zit hem in de aantallen. Er zijn heel veel bedrijven, waaronder ook heel veel kleine bedrijven. Al die bedrijven moeten op een of andere manier bewust worden gemaakt van de mogelijke risico’s van IT en cyber. Dit is een probleem waar nog niemand een goede oplossing voor heeft.

Eén belangrijk inzicht, onder andere uit ons onderzoek, luidt: hoe onbeduidender de IT, hoe minder de kwetsbaarheid voor cyberaanvallen. Een bedrijf dat eigenlijk alles doet via Microsoft365 in de cloud hoeft zich niet veel zorgen te maken. Deze lens van ‘IT-volwassenheid’ gaat ons helpen om de aandacht voor cyber te richten op bedrijven die echt kwetsbaar zijn, en niet op de bedrijven die eigenlijk nauwelijks IT hebben.