De mondiale scheepvaartsector wordt geconfronteerd met een golf van cyberdreigingen

Door Capt. Rahul Khanna, Global Head of Marine Risk Consulting bij Allianz Global Corporate & Specialty (AGCS)

De commerciële verzekeraar Allianz Global Corporate & Specialty heeft zopas zijn laatste Safety & Shipping Review gepubliceerd, een jaarlijkse analyse van scheepvaartverliezen en -ongevallen wereldwijd. De internationale scheepvaartindustrie is verantwoordelijk voor het vervoer van ongeveer 90% van de wereldhandel, dus de veiligheid van schepen is van cruciaal belang voor de wereldeconomie.

Uit het rapport van 2022 blijkt dat de maritieme sector zijn positieve lange termijn trend inzake veiligheid het voorbije jaar heeft voortgezet met 54 gerapporteerde totale verliezen van schepen wereldwijd, tegenover 65 een jaar eerder. Dit betekent een daling met 57% over een periode van 10 jaar (127 in 2012); terwijl in het begin van de jaren 1990 de mondiale vloot meer dan 200 vaartuigen per jaar verloor. Het verliescijfer voor 2021 is des te indrukwekkender omdat de wereldvloot vandaag naar schatting 130 000 schepen telt, tegenover ongeveer 80 000 30 jaar geleden. Deze vooruitgang weerspiegelt de toegenomen aandacht voor veiligheidsmaatregelen via opleiding en veiligheidsprogramma’s, verbeterd scheepsontwerp, technologie en regelgeving.

De sector staat echter niet zonder uitdagingen. De invasie van Rusland in Oekraïne, de dure problemen met grotere schepen, de congestie van de bemanning en de havens, en de doelstellingen op het vlak van het koolstofarm maken van schepen, betekenen dat er geen ruimte is voor zelfgenoegzaamheid.

Een andere groeiende uitdaging voor de scheepvaartindustrie is cyberveiligheid. Het digitale tijdperk biedt weliswaar nieuwe mogelijkheden voor de maritieme sector, maar de toenemende afhankelijkheid van computers en software en de toenemende interconnectiviteit binnen de sector maken de sector ook zeer kwetsbaar voor cyberaanvallen. De vier grootste scheepvaartmaatschappijen, Maersk, Cosco, MSC (en CMA CGM), zijn de afgelopen jaren het slachtoffer geworden van cyberaanvallen. Ook havenexploitanten zijn getroffen. Zelfs de mondiale scheepvaartregulator van de Verenigde Naties, de Internationale Maritieme Organisatie, was onlangs het doelwit van een cyberaanval, waardoor een aantal van haar diensten offline werden gehaald. Met name ransomware is een wereldwijd probleem geworden.

Volgens een recente enquête in de sector heeft iets minder dan de helft (44%) van de maritieme professionals gemeld dat hun organisatie in de afgelopen drie jaar het voorwerp is geweest van een cyberaanval. Daarvan ging 3% akkoord met het betalen van losgeld, dat gemiddeld zo’n 3 miljoen dollar bedroeg. Uit het onderzoek bleek ook dat 32% van de organisaties geen regelmatige cyberveiligheidstraining volgt en dat 38% geen cyberplan heeft.

Tot nu toe waren de meeste cyberincidenten in de scheepvaartsector aan wal, zoals ransomware- en malware-aanvallen op databasesystemen van rederijen en havens. Maar met de toenemende connectiviteit van de scheepvaart, het feit dat geopolitieke conflicten steeds vaker in cyberspace worden uitgevochten – de laatste jaren is er een groeiend aantal GPS-spoofingincidenten geweest, met name in het Midden-Oosten en China, waardoor schepen kunnen denken dat ze zich in een andere positie bevinden dan in werkelijkheid het geval is – en met het concept van autonome scheepvaart, lijdt het weinig twijfel dat cyberrisico’s in de toekomst een belangrijkere risicoblootstelling zullen worden die een veel gedetailleerdere risicobeoordeling zal vereisen.

Tegelijkertijd heeft de verlammende ransomware-aanval op de 9 000 km lange Colonial-oliepijplijn in de VS in mei 2021 de vrees doen ontstaan dat kritieke maritieme infrastructuur in de toekomst steeds vaker het doelwit zou kunnen worden. Door de aanval werden de systemen van de pijpleiding, die zo’n 30 olieraffinaderijen en bijna 300 terminals voor brandstofdistributie met elkaar verbinden, offline gehaald, met benzinetekorten in het oosten van de VS tot gevolg.

Naarmate de geopolitieke risico’s toenemen, neemt ook het gevaar van kwaadaardige digitale ontwrichting toe. Veiligheidsagentschappen hebben gewaarschuwd voor een verhoogd cyberrisico als gevolg van het conflict in Oekraïne. De NAVO waarschuwde dat schepen in de Zwarte Zee dreigen te worden blootgesteld aan het storen van GPS, het vervalsen van automatische identificatiesystemen (AIS) (vóór de invasie in Oekraïne waren er al een aantal van deze incidenten geweest, gemeld in het Midden-Oosten en China), het storen van communicatie en elektronische interferentie. Het US Cybersecurity and Infrastructure Security Agency waarschuwde ook dat de maritieme transportsector een doelwit kan zijn voor buitenlandse tegenstanders.

Er heerst bezorgdheid dat scheepvaartmiddelen en havens collaterale schade kunnen worden als het conflict in Oekraïne leidt tot een toename van cyberactiviteit.
Scheepvaartverzekeraars waarschuwen al jaren voor het cyberrisico voor de scheepvaart. Vanuit casco-oogpunt is het worstcasescenario een terroristische aanval of een nationale staatsgroep die de scheepvaart als doelwit kiest in een poging schade toe te brengen of de handel ernstig te verstoren, zoals het blokkeren van een belangrijke scheepvaartroute of haven. Hoewel dit een onwaarschijnlijke situatie lijkt, is het toch een scenario dat we moeten begrijpen en in het oog houden. De recente blokkering van het Suezkanaal door het ultragrote schip “Ever Given” is weliswaar een ongeval, maar het is op vele fronten een openbaring, omdat het aantoont welke ontwrichting een kortstondig verlies van aandrijving of een stuurfout op een schip dat een nauwe waterweg bevaart, kan veroorzaken.

Het goede nieuws is dat de scheepvaartgemeenschap de afgelopen jaren alerter is geworden op cyberrisico’s, met name in de nasleep van de NotPetya-malwareaanval in 2017, die havens, terminals en vrachtafhandeling verlamde. Het melden van incidenten is echter nog steeds ongebruikelijk, omdat eigenaars bang zijn voor reputatierisico’s en vertragingen door onderzoeken. Ondertussen neemt de regelgeving inzake cyberbeveiliging voor schepen en havens toe. In januari 2021 is Resolutie MSC.428(98) van de Internationale Maritieme Organisatie (IMO) in werking getreden, die voorschrijft dat cyberrisico’s in veiligheidsbeheerssystemen moeten worden aangepakt. De richtlijn inzake netwerk- en informatiesystemen van de EU strekt zich ook uit tot havens en de scheepvaart. Dit is een stap in de goede richting, maar het probleem is op dit moment vrij omvangrijk. Ondanks deze maatregelen zien we een sterke stijging van het aantal aanvallen.

Het toegenomen bewustzijn van – en de toenemende regelgeving rond – cyberrisico’s vertaalt zich in een toename van het aantal cyberverzekeringen door scheepvaartmaatschappijen, hoewel die tot nu toe vooral voor activiteiten aan wal zijn afgesloten. Normaal gesproken sluiten scheepscascoverzekeringen dekking tegen cyberaanvallen of schade als gevolg van een kwaadwillige handeling waarbij een computersysteem wordt gebruikt, uit, gezien de potentiële accumulatie van verliezen die dergelijke scenario’s met zich meebrengen. In plaats daarvan moeten verladers een afzonderlijke cyberverzekering afsluiten, maar tot nu toe is de bereidheid van velen in de sector om een specifieke cyberdekking voor casco scheepvaart af te sluiten, beperkt gebleven.

De dreiging voor schepen neemt echter toe naarmate meer en meer schepen voor navigatie en prestatiebeheer aan systemen aan de wal worden gekoppeld. Er komen slimme schepen aan, en wij verwachten dat de vraag naar verzekeringen zich dienovereenkomstig zal ontwikkelen. Wat we in de toekomst kunnen zien is een mogelijke toename van de vraag naar een combinatie van onshore/offshore dekking en dit is iets wat we zullen moeten bespreken en observeren met onze klanten en makelaars om te zien in hoeverre dit kan worden opgevangen door een cascoverzekering voor zeeschepen en in hoeverre het kan worden opgevangen door een bredere dekking in een gecombineerde polis.

Gelukkig zijn er ook steeds meer middelen beschikbaar om zeelieden te helpen meer te weten te komen over veel voorkomende kwetsbaarheden. Eén voorbeeld is het internationaal erkende United States Maritime Resource Center, dat de sector bijstaat op het gebied van cyberbewustzijn, -veiligheid en -beveiliging door middel van empirisch onderbouwd onderzoek. Verder zijn er steeds meer richtlijnen voor cyberbeveiliging die kunnen worden gevolgd, zoals die van de IMO, maar ook van andere belangrijke organisaties zoals BIMCO, CLIA, Intercargo en Intertanko.

Er zijn ook standaardpraktijken die kunnen worden geïmplementeerd om cyberrisico’s te beperken, zoals het definiëren van de rollen en verantwoordelijkheden van het personeel voor cyberrisicobeheer en het identificeren van de systemen, activa en gegevens die, wanneer ze worden verstoord, risico’s opleveren voor de scheepsactiviteiten. Reders moeten ook risicobeheersingsprocessen en rampenplannen implementeren, en activiteiten ontwikkelen en uitvoeren die nodig zijn om een cybergebeurtenis snel op te sporen. Het is uiteraard van cruciaal belang dat maatregelen worden vastgesteld voor het maken van back-ups en het herstellen van cybersystemen die door een cybergebeurtenis worden getroffen.

Natuurlijk zijn dit uitdagende tijden voor de scheepvaartindustrie. IT-beveiliging mag echter niet op de lange baan worden geschoven. Het is van vitaal belang dat investeringen in voorlichting en beveiliging op het gebied van cyberrisico’s nu niet worden verwaarloosd, ondanks de economische druk, aangezien dit risico catastrofale gevolgen kan hebben, wanneer de juiste samenloop van omstandigheden zich voordoet.