Nu havenlocaties steeds beter fysiek worden beveiligd, richten criminelen zich meer en meer op de ‘menselijke’ en ‘logische’ poorten van de bedrijven. Dat bleek tijdens het ‘Grote Port Security Seminar’, georganiseerd door SERIS Security en STC Training & Consultancy.

Vooral met drugssmokkel wordt enorm veel verdiend. Om die soepel te laten verlopen, investeren de criminelen graag wat geld in hulp van havenmedewerkers of douaniers. “Het lijkt verleidelijk. Even je pasje uitlenen en 20.000 euro vangen”, vertelde Ron Buitelaar van de Zeehavenpolitie. “Totdat er ’s avonds vier kerels bij je voor de deur staan om iets te regelen.” Hij raadde havenmedewerkers met klem af om toe te geven aan de verleiding van het grote geld en adviseerde de bedrijven om uitgebreid voor te lichten over de risico’s daarvan. “Mij hebben ze ook benaderd. En als je toegeeft loop je de kans dat je eindigt als verkeersregelaar op de Nieuwe Maas. Op zes meter diepte met nieuwe schoenen van beton.”

ISPS-code
Dat de havenbedrijven tegenwoordig veel aan fysieke beveiliging doen, komt door de International Ship and Port facility Security Code (ISPS). Dit is een reeks door de Amerikanen bedachte beveiligingseisen, waaraan zeehavens dienen te voldoen om toegang door ongeautoriseerde personen en smokkel van gevaarlijke of verboden goederen tegen te gaan.  Zeeschepen zullen niet snel aanmeren bij een havenbedrijf dat niet ISPS-gecertificeerd is, want dan staan er bij een volgende haven uitvoerige, tijdrovende en dure controles te wachten. Zeker als dat in de VS is. Dus zijn rond vrijwel alle locaties hoge hekken geplaatst en vindt toegangscontrole bij de poort plaats. Voor drugssmokkelaars is dat vervelend. De verdovende middelen worden vaak in zeecontainers met legitieme goederen verstopt en ze moeten eruit worden gehaald, voordat de container bij de klant arriveert. Dat lukt bijna alleen op de haventerminal en die is meestal alleen met hulp ‘van binnen uit’ te betreden. Maar voordat bedrijven dat kunnen aanpakken, dienen eerst de fysieke maatregelen op orde te zijn en ook dat is niet eenvoudig. Om dit proces te vergemakkelijken is een app ontwikkeld, MOBI, genaamd. Dat staat voor Methodiek voor een Objectieve Beveiligingsinventarisatie. Susanne Nieuwdorp en Lisette van der Hoeff van Port of Rotterdam gaven hier een presentatie over.

Handig hulpmiddel
De MOBI-app is bedoeld voor Port Facility Security Officers (PFSO) en toetsers van het CNB Port Security Toetsingsteam. Deze gebruikers werken samen in één transparante omgeving en sturen elkaar hierin berichten. Hierdoor is de informatie altijd actueel en is de status van het certificeringsproces inzichtelijk. Het is de bedoeling dat in de toekomst alle ISPS certificeringstrajecten via de MOB applicatie gaan verlopen. Dat zo’n hulpmiddel nodig is, werd wel duidelijk tijdens de presentatie. Het certificeringsproces is behoorlijk complex en vergt veel kennis van zowel de havenbedrijven als de autoriteiten. Wel is er veel ervaring opgedaan. De eerste ISPS-inspectie vond al plaats op 13 september 2004 en inmiddels hebben er ruim 4000 inspecties plaatsgevonden. Veel van de daarbij opgedane ervaring is in de MOBI-app verwerkt. Ook de verplichte oefeningen worden ondersteund. Havenbedrijven moeten vier kleine en één grote oefening per jaar draaien en die evalueren. Die oefeningen kunnen eveneens in de app worden geregistreerd. Vanaf 1 juli wordt de MOBI-app in zes Nederlandse zeehavens ingevoerd.

Risicobewustzijn
Maar de beveiliging draait in de havens niet alleen om hoge hekken en bewaking bij de poort. Preventie van cybercrime is minstens zo belangrijk om te voorkomen dat de smokkelaars hackers inhuren die de route of bestemming van containers kunnen veranderen. En er dient dus geïnvesteerd te worden in het risicobewustzijn van de havenmedewerkers, die steeds vaker worden benaderd door uiterst vriendelijke mensen die een fors bedrag overhebben voor een kleine ‘tegenprestatie’ en die niet altijd genoegen nemen met een weigering. Professor Robby Roks van de Erasmus Universiteit ging daar tijdens het seminar dieper op in. Hij heeft uitgebreid onderzoek uitgevoerd naar de aard en omvang van drugssmokkel in de havens en naar de kwetsbaarheden in de logistieke keten. “In 2018 werd drie keer zoveel cocaïne onderschept als in het jaar ervoor”, vertelde hij. “Maar het is niet alleen de omvang die zorgen baart. Want hoewel de criminelen steeds creatiever worden in het verstoppen van drugs, zijn zij nog altijd afhankelijk van medewerking vanuit de ‘bovenwereld’. Via corruptie, maar ook door op andere manieren hun invloed op legitieme bedrijven te vergroten.”

Meest risicovol
Volgens Roks is de fysieke beveiliging op haventerreinen vaak wel in orde, maar wordt vaak aan teveel mensen toegang verleend tot vitale locaties en informatie. Dat maakt relatief veel medewerkers interessant voor de criminelen. “Criminelen zijn goed in het vinden van zwakke plekken binnen organisaties en processen.” Hij was positief over het gebruik van biometrie, maar ook daar geldt dat dan gelet moet worden op het meesmokkelen van niet geautoriseerde personen en dat het aan te bevelen is om toegangsrechten aan werktijden te koppelen. Dat laatste is vooral van belang bij het gebruik van pasjes. “Het meest risicovol zijn natuurlijk bedrijven waar bederfelijke goederen vanuit Zuid-Amerika binnenkomen, maar ook bedrijven met financiële problemen vormen een verhoogd risico. Mensen weten graag aan welke gevaren ze worden blootgesteld, dus investeer in awareness-campagnes! Technische beveiliging is prima, maar het blijven mensen die achter de knoppen zitten, dus kwetsbaarheden voorkom je er niet mee.” Roks raadde bedrijven aan om te investeren in de techniek én in de mens, overheden om bewustzijnsverandering te faciliteren bij bedrijven en door bedrijven, in te zetten op systematische en duurzame inzet van reeds ingevoerde maatregelen en handhaving van deze maatregelen en te investeren in het duurzaam gebruik van informatie en het verkrijgen van betere inzicht in het mondiale karakter van de criminele netwerken.

Beveiliging en awareness
Fred Byrman van SERIS Security ging tot slot in op directiebetrokkenheid, beveiligingsadministratie en AVG, cybersecurity, social engineering en security awareness. “Dat leer je tijdens een cursus van twee dagen. Aan het einde heb je hoofdpijn en een certificaat!” Hij legde nog eens uit hoe de ISPS-code in elkaar zit en benadrukte artikel A/17.3 waarin staat dat beveiligers van een havenfaciliteit de nodige steun krijgen bij de vervulling van hun taken en verantwoordelijkheden, waaronder het ervoor zorgen dat de faciliteit minimaal voldoet aan de opgelegde beveiligingsnormen. Met die steun wordt onder andere gedoeld op trainingen en opleidingen. Belangrijk is volgens Byrman ook dat het havenbedrijf zorgt voor regelmatig veiligheidsonderzoek naar medewerkers op voor criminelen interessante posities. “Beveiligers worden gescreend, maar hoe zit het met ICT-medewerkers? En kijk ook naar mensen die uit dienst treden. Hebben ze alles ingeleverd en vormen ze geen veiligheidsrisico meer?” De spreker wees op de eisen die de AVG stelt en hoe dat administratief en technisch geregeld moet worden. Verder attendeerde hij de congresgangers op de cyberrisico’s in de haven, zoals phishingmails en ransomware. “22 procent van de medewerkers klikt wel eens op een phishingmail en dat wordt erger naar mate ‘spear phishing’ toeneemt. Dat is op de persoon gerichte mail, bedoeld om informatie te ontfutselen.” Verder demonstreerde hij hoe makkelijk je het slachtoffer van ransomware kunt worden. “Eerst verspreidt de software zich door het hele netwerk, inclusief de back-ups en dan begint het versleutelen van de bestanden. Als je geluk hebt, kan je je bestanden tegen een fors bedrag terugkrijgen.” Tot slot waarschuwde Byrman dat 53 procent van de cyberaanvallen op bedrijven van binnenuit wordt gepleegd. “Beveiliging kost geld. Dat is waar. Maar wat kost een geslaagde cyberaanval? Alle reden dus om screening en security-awareness van medewerkers op orde te hebben!”