Als je al sinds 1839 reizigers vervoert, heb je een indrukwekkende staat van dienst op het gebied van veiligheid. ‘We hebben 10 veiligheidsdomeinen binnen het bedrijf,’ vertelt Dimitri van Zantvliet, Directeur Cybersecurity van de NS. ‘Zoals brand-, arbeid- of transferveiligheid – de veiligheid van passagiers op de perrons. Cybersecurity is het nieuwste domein. Die ruim 180 jaar ervaring helpt ons zeker, veiligheid zit in het dna van de NS.’ Aan gebrek aan aandacht voor cybersecurity hoeft Dimitri dus niet te klagen. Zijn missie is vooral de complexiteit aan cybersecurityrisico’s managen.
Dimitri is nu 3 jaar CISO bij de NS. Het moment dat er in die periode voor hem uitsprong, was het datalek van vorig jaar voorjaar. ‘Niet om het datalek zelf, dat was voor de 780.000 getroffen reizigers natuurlijk ongelooflijk vervelend. Het ging mij er vooral om hoe radicaal open en transparant we op dit datalek reageerden, dat overigens via een supplier ging. Eerst was er aarzeling in het bedrijf over het naar buiten brengen van het lek: loop je niet het risico dat je mensen onnodig bang maakt? Maar de FG (functionaris gegevensbescherming) en ik wilden reizigers handelingsperspectief beiden. Dat ze bijvoorbeeld hun wachtwoord aan konden passen en rekening houden met de mogelijkheid van identiteitsfraude.’ Dit datalek laat meteen een belangrijk securityrisico voor de NS zien: ketensamenwerking. Hoe ze zich tegen deze en andere securityrisico’s bewapenen? Naast veel technische maatregelen, gebruiken ze de kennis en ervaring die al in de NS zit, vertelt Dimitri.
‘We trekken veel op met de collega’s van de andere veiligheidsdomeinen. Zij kunnen soms als voorbeeld dienen bij het maken van processen, procedures, protocollen en het werken aan bewustwording. Daarnaast zorgen we ervoor dat we op nationaal en internationaal niveau goed geïnformeerd zijn over cybersecuritydreigingen en -risico’s. Continu. Met frequente updates van ons sectoraal dreigingsbeeld bijvoorbeeld. We werken samen met de politie, de veiligheidsdiensten en het Nationaal Cyber Security Centrum. En we wisselen actief dreigingsinformatie uit met Nederlandse en Europese railway collega’s via onze Information Sharing and Analysis Centres (ISAC)’s.’
Datacenters op wielen
De reikwijdte van cybersecurity binnen NS is groot, schetst Dimitri. Het bedrijf heeft immens veel assets: van de treinstellen en alle apparatuur daarop, onderhouds- en servicebedrijven tot de Julia’s en toegangspoorten op de meer dan 400 stations. Al die assets brengen bovendien een scala aan ketensamenwerkingen met zich mee. Een complex landschap om te beveiligen dus.
‘Alleen al voor de operationele aansturing werken we met meer dan duizend applicaties in de treinen en op de stations. Onze treinstellen zelf zijn complete datacenters op wielen. De oudere – soms wel 40 jaar oud – hebben geïsoleerde systemen, werken soms pneumatisch en zijn niet verbonden aan netwerken of internet. Daardoor vormen ze een minder groot cybersecurityrisico. De nieuwste intercity’s daarentegen zitten vol met digitale systemen: verwarming, ventilatie, airconditioning, reizigerswifi, de operationele besturing – ga maar door. Door die systemen goed te segmenteren, zorgen we ervoor dat als er iets gebeurt, het binnen een trein niet overslaat. In de treinen hebben we daarom firewalls draaien, zelfs AI: we zijn één van de eerste spoorwegen ter wereld die AI op de trein hebben draaien voor die beveiliging.’
AI in de kern
‘Gaat het om AI, dan liepen we op de muziek vooruit. AI heeft altijd al in de core van ons bedrijf gezeten.’ Met een schuine glimlach: ‘Kijk maar naar trAIn en rAIl. Maar even zonder gekheid: al vanaf 1985 maken we gebruik van een expert systeem. Voor Europese goederenvervoer bijvoorbeeld, zodat tarieven automatisch op elkaar afgestemd konden worden. Tegenwoordig zetten we ook generative AI in. Zo kunnen onze hoofdconducteurs, als ze een boete uitschrijven, de casus aan de chatbot voorleggen en meteen zien welke regelgeving aan de orde is. We hebben dus vooral profijt van AI en zien het niet enkel als een groot cybersecurityrisico.’
eBook: De toekomst van cybersecurity
5 grote uitdagingen: hoe passen organisaties hun securitystrategie hierop aan? Ontdek het in dit eBook.
DownloadBasishygiëne
Het grootste risico is nog altijd, zoals bij zoveel organisaties in Nederland, gebrek aan goede basishygiëne. ‘80% van de succesvolle aanvallen in ons land komt door credentials die hergebruikt worden. Je moest eens weten hoeveel credentials er van Nederlanders op het darkweb worden aangeboden! Daar richten we veel procedures en bewustwordingsprogramma’s op in.’ Als ergens de basishygiëne niet goed op orde is, kun je natuurlijk last van DDoS-aanvallen, Phishing of malware krijgen, waarschuwt Dimitri.
Vooruitkijken is steeds belangrijker. ‘Bij de inval in Oekraïne gebruikte Rusland malware en – nog veel erger – wiperware om de spoorwegen daar plat te leggen. Wiperware brengt veel schade toe: het zorgt ervoor dat je systemen niet meer kunt rebooten. Daarom namen wij ook daar voorzorgsmaatregelen. Je weet nooit hoever zo’n aanval kan reiken.’
Kroonjuwelen
‘Als organisatie moet je heel goed weten wat je risico’s zijn. Of je nou groot of klein bent, inzicht in je kroonjuwelen is key. Voorbeelden van onze kroonjuwelen zijn de B@P en de B@M: de systemen waarmee we respectievelijk personeel en materieel bijsturen. Is er ergens een bovenleidingsbreuk, dan heb je de B@P en de B@M nodig om een trein én alles wat er achteraan komt, te kunnen bijsturen. Die systemen mogen er nooit uitliggen.’ De essentie van cybersecurity is volgens Dimitri risicogebaseerd. ‘Welke risico’s loop je, welke partijen en welke stakeholders hebben daarin een rol, wat is de kans dat een risico optreedt? Afhankelijk van je risicobereidheid tref je maatregelen.’
‘Net als KPN hebben we niet alleen veel historie, maar zijn wij ook een vitaal bedrijf voor de Nederlandse samenleving. Daarom doen we mee aan consultatierondes bij nieuwe securitywetgeving. Is een nieuwe wet uitvoerbaar? En hoe matcht het met andere wetgeving, zoals onze spoorwetten?’ Gecombineerd met de eigen legal en compliance competence centers, inclusief één speciaal voor cyber, heeft de NS daardoor goed zicht op de impact van nieuwe securitywet- en regelgeving. En op de risico’s voor de eigen bedrijfsvoering en cybersecurity. Want die risico’s, die verliest Dimitri met zijn cyberteams geen moment uit het oog.
Deze veilige (security)diensten van KPN gebruikt NS
Endpointprotectie
Identity & Access Management (IAM)
Multifactor Authenticatie (MFA)
Gesegmenteerde netwerken
Network Access Control (NAC)
Zero Trust Network Access
CASB
Firewalls
Logfile Management
