De uitdaging: bedrijfscontinuïteit waarborgen
We beschikken op onze volautomatische terminal over veel technische kennis. Het cyberbewustzijn was er vanaf de start, en de voor de hand liggende zaken deden we al. We implementeerden losse oplossingen en losten ad-hocproblemen op. Op z’n Rotterdams: je loopt ergens tegenaan, stroopt de mouwen op, lost het op, zegt “goed gedaan, gozer” en gaat weer door. Dat voelt goed. Je bent immers lekker met techniek bezig en brengt verbeteringen aan.
Maar er was geen duidelijk kader. We beseften dat dit spel nooit af is en dat je je vizier continu moet bijstellen. Toen een ander Rotterdams havenbedrijf drie weken stillag door een ransomware-aanval, werd dat besef alleen maar sterker. We stelden onszelf de vraag hoe wij dit konden voorkomen.
De gewenste oplossing: een stevig fundament van beleid tot praktijk
We kregen het mandaat om het gestructureerder aan te pakken. Maar hoe leg je beleid goed vast? Hoe meer we ermee bezig waren, hoe groter het werd. We doken de literatuur in, maar vonden vooral achterhaalde oplossingen. Alles bij ons is slim aan elkaar gekoppeld, en met slechts twee terminals wereldwijd die vergelijkbaar werken, ontbrak een goed voorbeeld. We wisten wat we nodig hadden: een plek waar staat waarom je iets doet, hoe je het aanpakt en waarmee — van waaruit je beleid kunt vertalen naar concrete acties.
Daarvoor was specifieke kennis nodig en mensen die bij onze cultuur passen. We zijn geen overheidsinstantie, maar een hands-on organisatie — daar moet je tegen kunnen. In deze 24/7-business moeten we altijd weten wat er speelt. Geen eenlingen in silo’s, maar teams die samenwerken. We hanteren drie vragen: Can they do the job? Will they do the job? And can we stand working with them? We hebben behoeften, en daar hoort helder advies bij. Ligt er een rapport? Dan willen we dóór naar uitvoering: naar werkende oplossingen die standhouden.
Het resultaat: van losse maatregelen naar security by design
Het leek soms een onmogelijke taak, maar met hulp van Legian kregen we onze leveranciers mee, kozen we de juiste tooling en betrokken we de organisatie. Cybersecurity is onzichtbaar, anders dan een monteur met een sleutel, maar we slogen een brug tussen IT en OT.
Legian leerde ons anders denken: eerst de grootste risico’s aanpakken en de rest in de gaten houden. Toen de externe eisen van regelgevende instanties toenamen, realiseerden we ons dat we al ver waren, maar dat onderhoud cruciaal blijft om niet terug te zakken. Omdat cybersecurity niet alleen bij IT mag liggen, startten we op advies van Legian een security awareness-programma. Inmiddels voelen 320 medewerkers zich medeverantwoordelijk voor een veilige operatie en is cybersecurity geïntegreerd in het hele bedrijf, waarmee we op het niveau van security by design zitten.
Legends zijn niet alleen inhoudelijk sterk, maar ook praktisch ingesteld. Geen theoretisch advies dat niet toepasbaar is, maar oplossingen die écht werken. Ze zijn verschillend, en juist dat is hun kracht. Iemand die goed is in beleid stuur je niet naar een leverancier voor overleg over een specifieke tool, en voor wet- en regelgeving heb je weer iemand met analytisch vermogen nodig. Daarnaast schakelen ze in de uitvoering soepel met bijvoorbeeld onze netwerkspecialisten. Ze beschikken bovendien over domeinoverstijgende kennis: van theorie tot hardcore uitvoering.
''Met hulp van Legian kregen we onze leveranciers en de organisatie mee, kozen we de juiste tooling en zitten we inmiddels op het niveau van security by design.''
Paul Saraber, verantwoordelijk voor IT bij Rotterdam World Gateway
Tip(s) voor anderen: zoek de verbinding
Goed opdrachtgeverschap is cruciaal. Zonder duidelijke kaders is het voor leveranciers lastig van waarde te zijn. Daarnaast richtten we ons in het begin te veel op gewone IT en realiseerden we ons te laat dat OT-security echt iets anders is.
Eerder samenwerken met onze lead engineers had ook verschil gemaakt. Wat voor ons een netwerk is, is voor hen hun gereedschapskist. Een laptop is voor hen meer dan een werkplek; het is hun gereedschap om kranen te beheren. Als je die dichttimmert, zoeken ze zelf oplossingen. Daarom is het belangrijk om samen te kijken naar de risico’s en het zo in te richten dat het werkbaar blijft. Anders verlies je draagvlak en vergroot je risico’s. En als er een investering is die zich dubbel en dwars terugbetaalt, is het wel een organisatiebreed awareness-programma.
Met een stevige fundering, organisatiebreed draagvlak en een geïntegreerde aanpak van OT en IT is RWG klaar voor de volgende stappen. Of zoals Paul het zegt: “Cybersecurity is nooit af, maar nu weten we wél waar we staan, waar we naartoe willen en op welke manier.”
