Hoe implementeer je 'Cyber Security' op een offshore schip?

R
Redactie Jumboship
Redactie
Innovatie, Digitalisering & Robotica · 2026-02-15 · 6 min leestijd

Stel je voor: je staat op het dek van een heavy-lift schip, ergens ver op zee.

De kraan tilt een turbineblad van 80 ton. Op dat moment crasht je computersysteem. Geen alarms, geen stabilisatieberekening, niks. Het voelt alsof je plotseling blind bent in een storm.

Cyber security op een offshore schip is niet iets voor later. Het is nu nodig, net als je brandblusser of je reddingsvest. We gaan het vandaag samen regelen, stap voor stap.

Wat je nodig hebt voor een veilig digitaal schip

Je begint met de basics. Zonder de juiste spullen kun je niet beginnen.

Je hebt een netwerk nodig dat je echt kunt vertrouwen. Denk aan hardware die tegen een stootje kan en software die up-to-date is. Voor een gemiddeld offshore schip, zoals een DP-2 heavy-lift vessel, reken je op deze investering: Zorg dat je deze materialen op voorraad hebt, inclusief reserveonderdelen. Een extra switch of kabel kan een storing voorkomen. Het doel is om downtime te minimaliseren.

  • Een firewall: een FortiGate 100F of soortgelijk, rond de €2.500,- tot €3.500,-.
  • Een gesegmenteerd netwerk: scheiden van operationele techniek (OT) en IT. Gebruik een managed switch van Cisco, circa €800,-.
  • Antivirus en EDR: endpoint detection voor elke werkplek, denk aan SentinelOne of Bitdefender, ongeveer €15,- per device per jaar.
  • VPN-toegang: voor technici op afstand, bijvoorbeeld via een Cradlepoint router, rond de €600,-.
  • Training voor de crew: een basis cyber awareness training, circa €200,- per persoon.

Stap 1: Analyseer je huidige netwerk

Eerst moet je weten wat je nu hebt. Pak een schema van je netwerk.

  1. Loop langs elke kast. Noteer welke apparaten aangesloten zijn. Gebruik een labelprinter voor duidelijkheid.
  2. Check de firmware-versies. Schrijf ze op, bijvoorbeeld: "Switch Cisco 2960, firmware 15.2".
  3. Test de verbindingen. Gebruik een eenvoudige ping-test tussen de brug en de machinekamer.
  4. Identificeer kwetsbare plekken. Kijk naar open poorten of oude systemen, zoals een Windows XP-machine voor de boegschroef.

Als je die niet hebt, teken hem zelf. Begin met de brug, de machinekamer en de kraanbesturing.

Deze stap duurt ongeveer 2 tot 4 uur per schip. Veelgemaakte fout: je haasten en niet alles noteren. Neem de tijd, want een gemist apparaat is een gat in je beveiliging.

Realistisch voorbeeld: op een DP-2 schip ontdek je een oude laptop die de stabiliteit berekent. Die is niet beveiligd. Zet hem op een apart netwerk.

Stap 2: Segmenteer het netwerk

Nu ga je het netwerk opsplitsen. Dit heet segmentatie. Het voorkomt dat een virus van de brug naar de machinekamer springt.

  1. Maak drie zones: IT (kantoor), OT (operational technology, zoals de DP-systemen) en gast (bezoekers).
  2. Installeer de firewall tussen deze zones. Sluit de WAN-poort aan op de satelliet, de LAN-poort op je interne netwerk.
  3. Configureer regels: blokkeer alles tussen IT en OT, tenzij specifiek toegestaan. Bijvoorbeeld: alleen de engineer mag van IT naar OT.
  4. Test de segmentatie. Probeer vanaf een gast-laptop de machinekamer te bereiken. Dat mag niet lukken.

Je wilt dat de kraan gewoon werkt, zelfs als de e-mail crasht.

Reken op 4 tot 6 uur werk. Gebruik een VLAN-tagging op je switch, bijvoorbeeld VLAN 10 voor IT, VLAN 20 voor OT. Veelgemaakte fout: teveel openstellen.

Houd het strict; liever een teveel blokkeren dan te veel toestaan. Op een heavy-lift schip zorg je dat de kraanbesturing op een apart VLAN zit. Zo blijft die beschermd, zelfs als de navigatiecomputer een virus krijgt.

Stap 3: Beveilig toegang en wachtwoorden

Wachtwoorden zijn je eerste verdedigingslinie. Maar op een schip gebruiken mensen vaak "123456" of "schip". Dat moet veranderen.

  1. Stel een wachtwoordbeleid in: minimaal 12 tekens, met cijfers en symbolen. Gebruik een wachtwoordmanager zoals LastPass, ongeveer €40,- per jaar per gebruiker.
  2. Schakel tweefactorauthenticatie (2FA) in voor alle kritieke systemen, zoals de DP-software. Bijvoorbeeld via een app op de telefoon.
  3. Beperk toegang: geef elke crewlid alleen toegang tot wat ze nodig hebben. De machinist krijgt niet de brugcomputer.
  4. Verander wachtwoorden elke 90 dagen. Plan dit in, bijvoorbeeld op de eerste maandag van de maand.

Maak het simpel maar sterk. Dit duurt ongeveer 1 uur om in te stellen, plus 10 minuten per persoon om te trainen.

Veelgemaakte fout: wachtwoorden opschrijven op sticky notes. Gebruik in plaats daarvan een kluis of een digitale manager. Specifiek voor offshore: de DP-operator moet 2FA hebben. Zonder dat kan een hacker de positie van het schip overnemen, met catastrofale gevolgen. Vergeet ook niet de cyber-hygiëne voor de bemanning aan boord te versterken.

Stap 4: Implementeer monitoring en updates

Nu zorg je dat je ziet wat er gebeurt. Monitoring is als een bewakingscamera voor je netwerk.

  1. Installeer een monitoring tool, zoals PRTG of Zabbix. Kost ongeveer €1.000,- voor een basislicentie. Stel alerts in voor verdachte activiteiten, bijvoorbeeld onbekende IP-adressen.
  2. Plan updates: controleer elke maand op nieuwe firmware voor je firewall en switches. Download van de officiële site, niet via openbare Wi-Fi.
  3. Test updates in een lab-omgeving voordat je ze op het schip zet. Gebruik een oude laptop als testmachine.
  4. Log alles: bewaar logs minimaal 30 dagen. Gebruik een externe server, niet de schijf van je hoofdsysteem.

Updates houden de boel fris. Reken op 2 uur per week voor monitoring en 4 uur per maand voor updates. Veelgemaakte fout: updates uitstellen.

Een verouderd systeem is een makkelijk doelwit. Op een offshore schip met heavy-lift apparatuur kan blind vertrouwen op systemen zonder menselijke back-up de kraan tijdelijk uitschakelen bij een updatefout.

Voorbeeld: gebruik een tool zoals Wireshark om verkeer te monitoren. Als je ongewoon veel data ziet naar een extern IP, onderzoek het meteen.

Stap 5: Train de crew en test je plannen

De beste beveiliging faalt als mensen niet weten wat te doen. Train je crew alsof het een oefening is voor een brand.

  1. Organiseer een basistraining van 2 uur. Leg uit wat phishing is: een nep-mail die je wachtwoord steelt. Gebruik voorbeelden van maritieme scams, zoals een fake factuur van een leverancier.
  2. Voer een phishing-test uit. Stuur een nep-mail naar de crew en kijk wie klikt. Tools zoals KnowBe4 kosten ongeveer €10,- per gebruiker per jaar.
  3. Maak een incidentplan: wie belt wie als er een hack is? Bijvoorbeeld: de kapitein belt de IT-manager, de engineer sluit de machinekamer af.
  4. Test het plan elke 6 maanden met een oefening. Simuleer een aanval op de DP en kijk hoe snel je reageert.

Doe dit met de hele crew, inclusief contractors. Duur: 1 dag per trainingssessie. Veelgemaakte fout: alleen de officieren trainen.

Iedereen moet meedoen, van de kok tot de matroos. Op een schip met 20 personen kost training ongeveer €4.000,- totaal.

Het voelt als een investering, maar het bespaart je een miljoenenclaim als het misgaat.

Verificatie-checklist

Om te zorgen dat alles klopt, loop deze checklist af. Vink elk item af na implementatie.

  • Netwerk schema is up-to-date en gedrukt op het schip.
  • Firewall is geïnstalleerd en getest tussen zones.
  • Wachtwoorden zijn veranderd en sterk, met 2FA ingeschakeld.
  • Monitoring tool draait en stuurt alerts naar je telefoon.
  • Updates zijn gepland en getest op een testmachine.
  • Crew is getraind en heeft de phishing-test gehaald.
  • Incidentplan is gedrukt en besproken tijdens een oefening.
  • Logs worden bewaard en gecontroleerd wekelijks.
  • Backup van kritieke data is gemaakt, bijvoorbeeld op een externe harde schijf van 1TB (kost €100,-).
  • Laatste audit is uitgevoerd door een externe partij, bijvoorbeeld een maritieme IT-dienst van €1.500,-.

Als je alles hebt afgevinkt, is je schip klaar voor de digitale zee. Hou het bij, want cyber security is een doorlopend verhaal, net als de voorbereiding op de unmanned offshore toekomst, of het reguliere onderhoud aan je motoren.