Ongeschreven strategische risico's (1): APM Terminals (2 en slot)
Op 7 juni 2017 zette de eerste Chief Digital Officer de digitale strategie uiteen van moederbedrijf Maersk. Onder de titel ‘Everything will be digitised’ vertelde hij dat digitale innovatie één van de Must Win Battles was in de Stronger Together- strategie van het concern. Het zou volgens hem geen gemakkelijke battle worden om alles met elkaar te verbinden en aardig wat tijd kosten.
Er werd niet gesproken over de risico’s die een dergelijk Internet of Things met zich mee kan brengen, terwijl de voorbeelden er niet om liegen. Wat te denken van bijvoorbeeld de met het netwerk verbonden koelkast die werd gehackt en leidde tot identiteitsdiefstal, of gehackte bewakingscamera’s in sauna’s. Dergelijke ‘IoT'-risico’s leiden uiteindelijk tot omzetverlies, met name veroorzaakt door reputatieschade.
Op 27 juni 2017 werd de organisatie getroffen door een digitale aanval die wereldwijd slachtoffers maakte. De besmetting verliep via een Oekraïens boekhoudprogramma. Bij veel bedrijven werd alleen de boekhoudomgeving geraakt, bij APM ging alles plat. De terminal op de Maasvlakte raakte buiten bedrijf waardoor ladingen niet gelost konden worden, schepen moesten uitwijken en vrachtwagens geen vracht konden ophalen of wegbrengen. Tien dagen na de besmetting deden sommige systemen het nog steeds niet. Een klein jaar na de digitale aanval schat het bedrijf de schade op minstens 250 miljoen euro, een substantieel deel van de nettowinst.
Hoewel de hoogste ceo van Maersk nog steeds van een extern risico spreekt, heeft de gebeurtenis veel weg van een tamelijk bewust genomen strategisch risico. Volgens ceo Hagemann Snabe – tevens commissaris bij SAP en Siemens - was zijn bedrijf namelijk ‘collateral damage’ bij wat waarschijnlijk een staatsaanval was. Ironisch genoeg kon tijdens de aanval de oude, prijswinnende terminal gewoon blijven draaien, omdat de besturingssoftware afzonderlijk is aan te sturen.
De Volkskrant publiceerde uit interne documenten die spraken over een op zijn zachtst gesteld gebrekkige informatiebeveiliging. De essentie was dat lang niet alle updates werden geïnstalleerd. In het eerste jaar van oplevering kende het belangrijkste operationele systeem nog geen antivirussoftware en waren er geen penetratietesten geweest. Ook werd de digitale toegang voor onbevoegden lang niet gemonitord. De volgende zin in het artikel trok de meeste aandacht: ‘de leiding van de terminals hield in 2016 nog verbeteringen tegen omdat men niet wilde dat het systeem even plat zou liggen voor een upgrade.’
Het systeem van een volcontinu bedrijf een uurtje platleggen voor het installeren van een digitale patch kost inderdaad goudgeld. Geld dat keurig in een x aantal euro is uit te drukken en waarschijnlijk minder kost dan de 250 miljoen euro schade.
Er is geen eenduidig antwoord te geven op de vraag waarom de leiding de early warnings in de wind sloeg en uiteindelijk te maken kreeg met een enorme wake up call. Was het de vrees voor omzetverlies, statusangst of de mores om onder alle omstandigheden de toko draaiende te houden?
Met de kennis van nu zou je het een bewust genegeerd strategisch risico noemen, een achteraf onderschatte bedreiging van het realiseren van APM’s strategie. ‘De haven is tegenwoordig totaal aan IT overgeleverd'. Maar dat moet je eerst voelen om dat te beseffen,' aldus Havenonderzoeker Bart Kuipers van de Erasmus School of Economics.
APM en moederbedrijf Maersk leerden snel. Na de aanval herinstalleerden ze 45.000 pc’s en 4000 nieuwe servers. Dat ging vaker analoog dan je zou denken. Zo stond op de vierde dag de virusvrije Windows-versie klaar voor verzending richting 600 locaties, verspreid over de aardbol. Probleem: meer dan de helft had te traag internet om deze via het web te versturen. In allerijl kocht de ICT-afdeling in Londen 2000 memorysticks en plaatste een spoedorder bij een koeriersbedrijf. De ICT’ers kwamen er overigens achter dat de meeste winkels niet meer dan 50 sticks op voorraad hadden, zodat er niet alleen die dag geen memorystick meer te koop was in Londen, maar sommige locaties een dag later een stick ontvingen in de vorm van Homer Simpson.
In de recordtijd van tien dagen was het systeem weer op orde. En gedurende die tijd kon 80% van de business gewoon doorgaan. Gewoon met de hand. Op de site staan niettemin steeds vaker berichtjes dat gedurende korte tijd even niet gelost kan worden. En dat getuigt van gezond verstand.
Met dank aan:
· Maersk Post, sept-nov 2017, ‘When the screens went black’
· Maersk.com, juni 2017, ‘Everything will be digitised’
· Maritiem nieuws.nl, 6 juli 2015, ‘APM Terminals Rotterdam weer nummer 1 Terminal’
· Financieele Dagblad, 5 maart 2018, ‘Ik wil medewerkers geen onderdanen’
· Financieele Dagblad, 29 jun. 2017, ‘Dit-is-een-harde-wake-up-call-voor-de-haven’
· Volkskrant, 8 juli 2017, ‘Rotterdams containerbedrijf vóór cyberaanval meermaals gewaarschuwd voor gebrekkige ICT-beveiliging’
· Tweakers.net, 25 januari 2018, ‘Maersk-herinstalleerde-45000-pcs-in-10-dagen-na-notpetya-aanval’
· Tweakers.net, 16 augustus 2017, ‘Aanval met NotPetya-malware kost Maersk tot 256 miljoen euro’
René Pennings, april 2018