Het negeren van fysieke poortbeveiliging (USB-sticks) op de brug
Je staat op de brug van een zware hijsschip, ergens op de Noordzee.
De wind waait, de golven slaan tegen de romp en je hebt net de laatste instructies doorgestuurd naar het kraanpersoneel. Opeens valt alles stil. Het navigatiesysteem loopt vast, de digitale kaarten verdwijnen van het scherm. De oorzaak?
Een simpele USB-stick die per ongeluk is aangesloten. Dit is geen verhaal uit een film; het is een reëel risico dat dagelijks op onze schepen speelt. We praten veel over cyberaanvallen op afstand, maar vergeten vaak de grootste bedreiging: de fysieke poorten op onze eigen brug.
Wat is fysieke poortbeveiliging eigenlijk?
Fysieke poortbeveiliging betekent simpelweg dat je controleert en beheert welke apparaten via kabels of poorten met je scheepscomputers worden verbonden.
Denk aan USB-poorten, ethernet-aansluitingen of HDMI-poorten. In de maritime wereld draait dit vaak om het weren van ongeautoriseerde USB-sticks. Zo'n stick kan namelijk malware meebringen of cruciale data stelen zonder dat je het door hebt.
Op een gemiddeld heavy-lift schip of een offshore support vessel zitten tientallen computersystemen. Van het Dynamic Positioning (DP) systeem tot aan de communicatie-apparatuur.
Elke USB-poort is een open deur. Als je die niet bewaakt, laat je letterlijk iedereen binnen die een stukje plastic in de buurt kan brengen.
Het is alsof je de poort van het fort open laat staan. De risico's zijn enorm. Een aanval via een USB-poort kan leiden tot het uitvallen van navigatie, verlies van positiebepaling of zelfs het overnemen van controle over kranen en lieren. In de offshore-industrie kan dit leiden tot onveilige situaties of enorme financiële schade door stilstand. Het gaat hier niet alleen om data, maar om veiligheid en continuïteit.
Waarom dit op de brug zo'n groot issue is
De brug is het hart van het schip. Hier worden alle cruciale beslissingen genomen.
Tegelijkertijd is het een plek waar veel verschillende mensen komen: stuurmannen, kapiteins, technici en soms bezoekers van klanten. Iedereen heeft wel eens iets nodig: een presentatie, een update of een nieuw kaartmateriaal. De verleiding om even snel een USB-stick te gebruiken is enorm. In de praktijk zien we dat veiligheidsprocedures soms worden genegeerd voor het gemak.
"Het duurt te lang om het via de beveiligde server te halen, ik heb de bestanden wel op een stick." Zo'n moment van onoplettendheid is genoeg. Een USB-stick die gebruikt is op een besmette laptop op kantoor, kan op het schip een ramp veroorzaken.
De infectie verspreidt zich via het netwerk naar systemen die normaal gesproken nooit online zijn.
Denk aan de specifieke systemen aan boord. Een Kongsberg K-Chief 500 brandstof- en alarmsysteem of een Marintekna navigatiecomputer zijn kwetsbaar. Deze systemen draaien vaak op verouderde besturingssystemen omdat updaten ingewikkeld is.
Ze zijn perfecte doelwitten voor een simpele USB-aanval. De impact op heavy-lift operaties is direct merkbaar; als de kraanbesturing uitvalt, ligt de klus stil en kost dat duizenden euros per uur.
De werking van poortbeveiliging: van blockeren tot beheren
Het werkt eigenlijk heel simpel. Je kunt USB-poorten op drie manieren beveiligen: volledig uitzetten, alleen lezen toestaan of volledig beheren via software.
De meest extreme vorm is het fysiek dichtplakken van de poorten met kit of het verwijderen van de interne headers.
Dit werkt, maar is onpraktisch. Updates zijn dan onmogelijk zonder een technicus. Een betere oplossing is het gebruik van hardwarematige USB-controleurs.
Dit zijn kleine kastjes die tussen de computer en de USB-kabel komen. Ze herkennen alleen specifieke apparaten, zoals een toetsenbord of muis, en blokkeren alles wat daar niet op lijkt. Denk aan producten van merken wie Granit, die speciale "locked USB" kabels leveren. Deze kabels hebben een unieke chip en passen alleen op specifieke poorten.
Kosten: ongeveer €150-€250 per set. Softwarematige oplossingen zijn nog slimmer.
Programmeerbare USB-firewalls, zoals die van Silex of Digi, kunnen ingesteld worden om alleen specifieke vendors of product-ID's te accepteren. Je kunt een whitelist maken: alleen de muis van Merk X, alleen de harde schijf van Merk Y.
Deze devices kosten tussen de €200 en €500 per stuk. Ze zorgen ervoor dat er geen onbekende USB-apparaten herkend worden, ongeacht wat er in wordt gestopt. Een derde variant is de "USB Data Blocker".
Dit is een klein dongle van ongeveer €30-€50 dat je tussen een apparaat en de poort plaatst.
Het zorgt ervoor dat er geen data wordt overgedragen, alleen stroom. Handig voor het opladen van telefoons of tablets op de brug. Zo voorkom je dat iemand per ongeluk data overzet of een virus meeneemt via zijn oplaadkabel.
Prijzen en praktijkvoorbeelden voor offshore schepen
De investering in goede beveiliging valt mee vergeleken met de kosten van een stilstand. Laten we kijken naar een typisch scenario voor een Platform Supply Vessel (PSV).
Je hebt 5 tot 10 werkplekken op de brug die potentieel USB-poorten hebben.
Een totaalpakket van hardwarematige blokkades en enkele data blockers kost je ongeveer €1.500 tot €2.500. Voor een groter Heavy Lift Vessel (HLV) met uitgebreide brugsystemen en DP-controles, wil je misschien een centraal beheerd systeem. Oplossingen van de beste leveranciers van maritieme IT-hardware en servers of specificaties voor "Maritime Cyber Security" bieden managementsoftware.
Dit kost al snel €5.000 tot €10.000 exclusief installatie. Maar dit stelt je in staat om vanaf één plek te zien welke USB-apparaten ooit zijn aangesloten en om ze direct te blokkeren.
Er zijn ook goedkopere, tijdelijke oplossingen. USB-sloten: plastic pluggen die je in de poort draait en op slot doet met een sleuteltje. Die kosten €5 per stuk. Handig voor als je een schip huurt en snel moet optreden, maar niet veilig genoeg voor dagelijks gebruik op een kritiek systeem.
De duurdere systemen bieden logboeken; je kunt zien wie, wanneer, welke stick heeft gebruikt.
Dat is goud waard bij een incidentonderzoek. Denk ook aan de educatie; kies voor de beste aanbieders van maritieme cybersecurity trainingen. Een workshop "Cyber Hygiene" voor de bemanning kost ongeveer €800 per dag voor een groep van 10 personen.
Dit is vaak goedkoper en effectiever dan dure hardware alleen. De combinatie van mens en techniek is het sterkst. Zorg dat je bemanning begrijpt waarom die USB-stick van de klant niet zomaar in de DP-computer mag.
Handige tips voor directe implementatie
Wil je morgen al beginnen? Hier is een concreet actieplan.
Deel het op in drie stappen: Inventariseren, Beveiligen, Controleren. Een extra tip: gebruik "kiosk modus" waar mogelijk.
- Inventariseren: Loop de brug na. Tel alle USB-poorten. Maak een lijst van welke poorten voor welk systeem worden gebruikt. Vraag de stuurman: "Waar gebruik jij die USB-poort voor?" Je zult versteld staan van de antwoorden.
- Beveiligen: Koop vandaag nog een setje USB-sloten (plastic pluggen) en plak ze dicht op de systemen die nooit mogen worden aangeraakt, zoals de DP-computer of het alarmsysteem. Bestel daarnaast enkele data blockers voor de algemene werkplekken.
- Controleren: Schrijf een simpele regel in het veiligheidsplan: "Geen USB-sticks gebruiken zonder toestemming van de kapitein of ETO." Hang een briefje bij de schermen. Controleer eens per week of er onbekende sticks in zitten.
Dit betekent dat computers zo zijn ingesteld dat ze alleen specifieke software draaien en geen toegang geven tot bestandsbeheer of instellingen. Dit maakt het moeilijker voor een virus om zich te verspreiden, zelfs als er per ongeluk een besmette stick wordt ingeplugd. Vraag je IT-leverancier naar de risico's van verouderde software op kritieke navigatiesystemen (ECDIS). Denk na over een "Clean USB" beleid.
Schaf een paar speciale, gecertificeerde USB-sticks aan (bijvoorbeeld de IronKey of een vergelijkbare maritieme variant).
Deze zijn versleuteld en vaak beschermd tegen fysieke manipulatie. Maak deze sticks beschikbaar voor het overzetten van data. Zo voorkom je dat iedereen zomaar zijn eigen goedkope stick vanuit de haven meeneemt.
Kosten: €50-€100 per stick, maar de gemoedsrust is onbetaalbaar. Uiteindelijk draait het allemaal om bewustzijn.
De duurste firewall helpt niet als de kapitein zelf denkt: "Ik plug even snel mijn privéstick in voor die ene foto." Praat erover. Maak het bespreekbaar.
Zorg dat iedereen aan boord snapt dat de digitale veiligheid net zo belangrijk is als de fysieke veiligheid tijdens een zware hijswerkzaamheid.