De uitdaging: bedrijfscontinuïteit waarborgen
We beschikken op onze volautomatische terminal over veel technische kennis. Het cyberbewustzijn was aanwezig, en de ‘obvious’ dingen deden we al. We implementeerden losse oplossingen en losten ad-hoc problemen op. Op z’n Rotterdams: je loopt ergens tegenaan, stroopt de mouwen op, lost het op, zegt “goed gedaan, gozer” en gaat weer door. Dat voelt goed. Je bent immers lekker met techniek bezig en brengt verbeteringen aan. Maar er was geen duidelijk kader. We beseften dat dit spel nooit af is en dat je je vizier continu moet bijstellen. Toen een ander Rotterdams havenbedrijf drie weken stillag ten gevolge van een ransomware-aanval, werd dat besef alleen maar sterker. We stelden onszelf de vraag: “Hoe gaan wij dit voorkomen?”
De gewenste oplossing: een stevig fundament van beleid tot praktijk
We kregen het mandaat om het gestructureerder aan te pakken. Maar hoe leg je beleid goed vast? Hoe meer we ermee bezig gingen, hoe groter het werd. We doken de literatuur in, maar vonden vooral achterhaalde oplossingen. Alles bij ons is slim aan elkaar geknoopt, en met slechts twee terminals wereldwijd die vergelijkbaar werken, ontbrak een goed voorbeeld. We wisten wat we nodig hadden: een plek waar staat waarom je iets doet, hoe je het aanpakt en waarmee. Van waaruit je beleid kunt vertalen naar acties.
Daarvoor was specifieke kennis nodig en mensen die bij onze cultuur passen. We zijn geen overheidsinstantie, maar een directe, hands-on organisatie. Daar moet je tegen kunnen. In deze 24/7-business moeten we altijd weten wat er speelt. Dus geen eenlingen in silo’s, maar teams die samenwerken. We hanteren drie vragen: Can they do the job? Will they do the job? And can we stand working with them? We hebben behoeften. En daar hoort helder advies bij. En ligt er een rapport? Dan willen we dóór naar uitvoering, naar werkende oplossingen die standhouden.
Het resultaat: van losse maatregelen naar security by design
Het leek een bijna onmogelijke taak, maar met hulp van Legian wisten we onze leveranciers te betrekken, kozen we de juiste tooling en betrokken we de organisatie. Cybersecurity is onzichtbaar, in tegenstelling tot een monteur met een sleutel, maar we sloegen een brug tussen IT en OT.
Legian leerde ons anders denken: eerst de grootste risico’s aanpakken en de rest scherp in de gaten houden. Toen de externe eisen van regelgevende instanties toenamen, realiseerden we ons dat we al ver waren, maar dat goed onderhoud cruciaal blijft om niet terug te zakken. Omdat cybersecurity niet alleen bij IT mag liggen, startten we op advies van Legian een security awareness-programma. Inmiddels voelen 320 medewerkers zich medeverantwoordelijk voor een veilige operatie, en is cybersecurity volledig geïntegreerd in alle facetten van het bedrijf. We hebben als organisatie het security by design-principe omarmd.
Legends zijn niet alleen inhoudelijk sterk, maar ook praktisch ingesteld. Ze geven geen theoretisch advies dat niet toepasbaar is, maar komen met oplossingen die écht werken. Ze zijn verschillend, en juist dat is hun kracht. Zo zet je beleidsdeskundigen niet in bij een leveranciersoverleg over een specifieke tool, terwijl voor wet- en regelgeving iemand met analytisch vermogen nodig is. In de uitvoering schakelen ze soepel met onze netwerkspecialisten. En ze beschikken over domeinoverstijgende kennis, van theorie tot hardcore uitvoering.
''Met hulp van Legian kregen we onze leveranciers en de organisatie mee, kozen we de juiste tooling en hebben we het security by design-principe omarmd.''
Paul Saraber, verantwoordelijk voor IT bij Rotterdam World Gateway
Tip(s) voor anderen: zoek de verbinding
Goed opdrachtgeverschap is cruciaal. Zonder duidelijke kaders is het voor leveranciers lastig van waarde te zijn. Daarnaast richtten we ons aanvankelijk te veel op IT en zagen we te laat dat OT-security echt iets anders is. Eerder samenwerken met onze lead engineers had verschil gemaakt. Wat voor ons een netwerk is, is voor hen een gereedschapskist. Een laptop is voor een engineer meer dan een werkplek; het is het instrument waarmee ze kranen beheren.
Als je het netwerk dichttimmert, gaan ze zelf op zoek naar oplossingen. Daarom is het essentieel samen te kijken naar de risico’s en het zo in te richten dat het werkbaar blijft. Neem je die gereedschapskist weg, dan verlies je draagvlak en vergroot je de risico’s. En als er één investering is die zich dubbel en dwars terugbetaalt, is het een organisatiebreed awareness-programma. Voor ons is dat een echte gamechanger.
