Onderzoek cyberveiligheid industrie Oost-Nederland
Juni 2022
De veiligheidsregio’s in Gelderland en Overijssel (Oost-5) hebben gezamenlijk onderzoek laten doen naar de staat van de cyberveiligheid bij Brzo-bedrijven. Omdat in de chemische industrie veel complexe processen op afstand worden gestuurd en gemonitord, kunnen cyberincidenten, zoals hacking, ook gevolgen hebben voor de fysieke veiligheid. De vijf oostelijke veiligheidsregio’s willen weten in hoeverre bedrijven hierop zijn voorbereid en structureel aandacht hebben voor de beveiliging van hun kritische digitale systemen. Johan Kloppenburg en Nienke Ree van Veiligheidsregio IJsselland en Fleur Smelt van Veiligheidsregio Twente waren de trekkers van het onderzoek, dat door studenten van Hogeschool Saxion is uitgevoerd.
“Dat hacking en gijzeling van kritische ict-systemen reële gevaren zijn, hebben we de afgelopen jaren kunnen zien aan verschillende praktijkvoorbeelden in binnen- en buitenland”, vertelt Johan Kloppenburg. “Onder andere na een hack bij een grote containerterminal in de Rotterdamse haven ontstonden grote problemen in de logistieke keten, die ook effecten hadden op de omgeving. Bij Brzo-bedrijven met complexe chemische processen en opslag en productie van gevaarlijke stoffen zijn veel verdergaande consequenties denkbaar, als processen zodanig ontregeld worden dat er een calamiteit optreedt. Dat is niet ondenkbeeldig.”
De praktijk van cyberincidenten zette ook de afdelingen industriële veiligheid in Oost-Nederland aan het denken; hebben de Brzo-bedrijven hun digitale veiligheid goed voor elkaar? Na een brainstormsessie met Genserik Reiniers, hoogleraar veiligheid van gevaarlijke stoffen aan de TU Delft, besloten de ‘Oost-5’ regio’s in 2021 gezamenlijk op te trekken. Zij vroegen Hogeschool Saxion het onderzoek naar de staat van de cyberveiligheid in de Brzo-industrie uit te voeren. Afgelopen voorjaar werden alle Brzo-bedrijven in de vijf betrokken regio’s, bij elkaar circa vijftig, aangeschreven en gevraagd een enquête in te vullen.
Fleur Smelt van VR Twente begeleidde de studenten bij het onderzoek. Zij licht toe: “Om ons goed voor te bereiden hebben de student-onderzoekers en ook onze Brzo-inspecteurs een training gehad van Fox IT, een van de grote spelers op het gebied van cybersecurity. Met die belangrijke basiskennis van digitale gevaren en de werkwijze van hackers, konden we aan de slag om ons een beeld te vormen van de mogelijke impact van een cyberincident op een industrieel risico-object. Daarop hebben we onze vragenlijsten gebaseerd, die we hebben opgestuurd aan de bedrijven. Met bedrijven die daartoe specifiek bereid waren, zijn daarna ook nog meer inhoudelijke dieptegesprekken gevoerd.”
Volgens Fleur Smelt was de respons van de bedrijven minder hoog dan verwacht. Slechts vijftien bedrijven vulden de enquête in en maar een paar bedrijven bleken bereid tot een verdiepend gesprek. Ook een herinneringsmail, twee weken na de initiële uitvraag, leverde niet meer deelname van bedrijven op. Volgens Nienke Ree kunnen daarvoor verschillende redenen zijn, maar mogelijk worden de gevaren van cyberrisico’s nog onvoldoende onderkend. “Dat merken we ook bij het opstellen van rampbestrijdingsplannen. Het digitaal risicobewustzijn in de branche mag beslist meer aandacht hebben.”
Johan Kloppenburg beaamt dat het digitaal risicobewustzijn bij de industrie minder hoog is dan de aandacht voor fysieke veiligheidsaspecten van installaties: “Ik verbaas mij regelmatig over het gemak waarmee kritische digitale systemen van bedrijven toegankelijk blijken voor onbevoegden en kwaadwillenden. In principe zijn alle op afstand bestuurbare systemen kwetsbaar, dat moeten bedrijven en overheden zich realiseren. De kans op keteneffecten is groot bij het falen van kritische systemen in de risico-industrie. Dat hebben de HSE-afdelingen van de bedrijven nog onvoldoende op het netvlies.”
Het onderzoek is afgerond en de resultaten worden nu verwerkt, waarna de regio’s in de eerste week van juli het eindrapport hopen te kunnen presenteren. Daarmee stopt het echter niet. Johan Kloppenburg verwacht dat bij toekomstige Brzo-inspecties intensiever op cyberveiligheid zal worden geïnspecteerd.
Lees ook
In de industriële energievoorziening is ammoniak de komende jaren belangrijk als drager voor waterstof en mogelijk ook als brandstof. De industrie sorteert daar al op voor, met plannen voor uitbreiding van bestaande ammoniakopslagterminals en aanvragen voor zowel ombouw van cryogene tanks als nieuwe opslagtanks.
Passie voor de brandweer zit bij Peter Meijer in het bloed. Hij begon 32 jaar geleden als aspirant-brandwacht bij de toenmalige Regionale Brandweer Noord-Kennemerland en werkte zich in de loop der jaren uiteindelijk op tot Hoofdofficier van Dienst.
De externe noodplannen in het kader van de Seveso III-richtlijn, beter bekend als ‘rampbestrijdingsplannen voor Brzo-bedrijven’ zijn bijna overal up to date.
Op 6 september jl. is bij het NIPV de nieuwe ‘adviesleerroute’ Industriële Veiligheid van start gegaan. Het is, na de leerstroom Ruimtelijke Veiligheid, de tweede leerstroom die wordt aangeboden.
Het LEC IV is dit jaar mediapartner op het Nationaal Seveso Congres, dat op 23 november a.s. in Utrecht wordt gehouden. Op het congres, georganiseerd door kennis- en opleidingsinstituut Outvie, worden actuele thema’s in het Seveso/Brzo-domein geadresseerd, waaronder de consequenties van invoering van de Omgevingswet, de energie- en grondstoffentransitie en de gevolgen van klimaatverandering voor de sector. Het LEC IV neemt tijdens het congres deel aan een inspiratietafel over de blusschuimtransitie.
Tijdens Brzo-inspecties zijn in 2022 minder overtredingen geregistreerd dan in het voorgaande jaar. Dit blijkt uit de jaarlijkse rapportage ‘Staat van de Veiligheid 2022’. De positieve trend is voor de landelijke inspectiediensten en de partners in het Netwerk Industriële Veiligheid geen reden om tevreden achterover te leunen, want slechts bij vijf procent van de bedrijven is in het geheel geen overtreding of afwijking op veiligheidsgebied geregistreerd. Bovendien deden zich vorig jaar 4282 ‘ongewone voorvallen’…
Verslag van bezoek van lector Energie- en transportveiligheid Nils Rosmuller en adviseur Energie- en transportveiligheid Tom Hessels aan de International Conference on Fires in vehicles (FIVE) in het Noorse Stavanger.
De elektronische leeromgeving (ELO, het huidige CumLaude) en MijnNIPVexamens voor de administratie van de examens worden vervangen. Hier leest u de meest actuele stand van zaken over de status en voortgang van beide projecten.
“Het is de maatschappelijke component die dit werk bijzonder maakt. Hulpverlener zijn moet in je systeem zitten: je doet iets voor een groter goed”, zegt Tanja Guyken, decaan Operationele Brandweeropleidingen bij het NIPV.