Hoewel veiligheid een hot topic is in de ov-wereld, is digitale veiligheid (cybersecurity) nog een onderbelicht thema. En dat moet veranderen, vinden Dimitri van Zantvliet, directeur cybersecurity bij NS, en Marco de Jong, chief information security officer bij Vialis. Een dubbelgesprek. “Binnen de keten ben je zo sterk als je zwakste schakel.”
Cybersecurity heeft meer aandacht nodig
Dit artikel komt uit OV-Magazine 4/2023: Vakkennis. Neem ook een abonnement en lees alle artikelen ook online in onze digitale bibliotheek!
Bij NS groeit de aandacht al jaren, trapt Van Zantvliet af. Dat moet ook wel, want: “Alle aanbieders van essentiële diensten moeten voldoen aan strenge Europese wetgeving volgens de richtlijn NIS (Network and Information Security directive). Daardoor wordt de compliancedruk steeds hoger. Daarnaast moeten we een enorme inhaalslag maken, omdat de spoorwegsector slechts een paar jaar gereguleerd is op cybersecurity-gebied. Het dreigingslandschap groeit de laatste jaren enorm. We investeren daarom veel in nieuw personeel en hebben een eigen Cyber Academy. Verder staat de spoorsector voor veel digitale transities, zoals de uitrol van Ertms (European Rail Traffic Management System). Digitale transities kunnen ook kwetsbaar maken.”
Bij Vialis, onderdeel van VolkerWessels, heeft digitale veiligheid een hoge prioriteit en is er aandacht voor ontwikkelingen op het gebied van digitale veiligheid, maar dat kan volgens De Jong nog beter. “Soms wordt nog gedacht: ‘Zo’n cyberaanval overkomt ons niet, we hebben het wel op orde.’ Dat is een groot risico. Wij besteden een groot deel van onze tijd aan de awareness bij onze eigen medewerkers. Ook wij hebben te maken met een grote hoeveelheid, steeds veranderende, regels vanuit verschillende opdrachtgevers. Wij ontwerpen, bouwen en onderhouden assets in de vitale infra. Dit houdt in dat ook wij aan de NIS moeten voldoen per september 2024. Op dit moment lopen er gesprekken met onze opdrachtgevers hoe en welk deel we hiervan in moeten vullen. Dat is best een ingewikkeld proces.”
Bij Vialis werkt De Jong met ongeveer tien man aan cybersecurity. Daarmee heeft Vialis heeft ten opzichte van andere partijen een relatief groot team: “We werken soms alleen wel voor tien opdrachtgevers tegelijk met allen een eigen interpretatie van de normeringen en richtlijnen.” Ter vergelijking: bij NS werken meer dan 130 man direct of indirect aan cybersecurity, weet De Jong. “Partijen als NS, ProRail en RWS hebben hun zaakjes redelijk op orde, maar de toeleveranciers nog onvoldoende.”
Risico op cyberdreigingen
Dat kan dus een groot risico vormen. Van Zantvliet vertelt dat NS wekelijks met wel duizenden DDOS-aanvallen te maken heeft. “DDOS zorgt voor een overbelasting van servers en dan kan het zijn dat systemen er tijdelijk uitliggen. Eind oktober lag OVpay er bijvoorbeeld nog uit. De websites bij collega-bedrijven valt ook wel eens uit, dan kan je geen tickets verkopen. Bij Deutsche Bahn waren in 2022 twee communicatiekabels doelbewust doorgeknipt en kwamen er geen digitale signalen meer bij de treinen binnen.”
NS heeft geen last gehad van zulke sabotageacties en de operatie is nog nooit stilgevallen door cyberaanvallen, maar in de toeleveringsketen heeft hij wel storingen meegemaakt. “Begin dit jaar had marktonderzoeksbureau Blauw een datalek. Dan ligt dus data van onze klanten op straat. Als de supply chain geïnfecteerd kan worden, dan kan dat ons dus ook aantasten.”
“De sector mag nog weerbaarder worden tegen buitenlandse cybercriminelen”, zegt De Jong, “en daar kunnen we allemaal aan bijdragen door meer awareness te creëren, ook in de toeleveranciersketen. Dit is binnen de gehele markt écht een issue.”
Urgentiegevoel moet groeien
Bij de Nederlandse ov-bedrijven is dat bewustzijn er wel, vult Van Zantvliet aan, hoewel hij ook ziet dat elke vervoerder in een ander tempo werkt. “Wetgedreven moet iedereen wel stappen zetten. Het gaat alleen niet snel genoeg, want de buitenwereld gaat sneller. Om dit thema hoog op de agenda te krijgen, moet het ook binnen bestuurskamers als prio worden beleefd. Ik vraag me af of al mijn collega’s evenveel support krijgen als ik bij NS krijg.”
Dat heeft er waarschijnlijk mee te maken dat de urgentie nog onvoldoende wordt gevoeld, denkt De Jong. “De markt kan heel snel opschalen en wijzigingen doorvoeren als de urgentie wordt gevoeld. Blijkbaar wordt dat nog onvoldoende gevoeld.” Van Zantvliet: “Maar als vervoerder gaan wij straks van toeleveranciers eisen dat ze aan de richtlijnen voldoen, Marco. Dus wil je dan wachten totdat je niet meer mag meedoen aan aanbestedingen? Ik zou daarop voorsorteren.”
Organisaties zouden de urgentie dus wel moeten voelen. Waarom wordt dat dan niet zo beleefd? “Dit onderwerp bestaat nog niet zo lang”, denkt Van Zantvliet. “Er bestaan veel veiligheidsdomeinen en cyber is relatief nieuw, het zit nog niet overal in ons dna. En je moet op dit thema ook samenwerken met andere vervoerders, overheden en de Inspectie Leefomgeving en Transport.”
Blikveld verruimen
De Jong, instemmend: “Het gaat ook over het delen van data en de kwetsbaarheden die daarachter schuilgaan. Het is belangrijk om daarin te kijken naar de gehele keten.” Van Zantvliet weer: “Als je data uitwisselt, dat legt ook zwaktes bloot. Daarvoor moet je als organisatie dus niet bang zijn. Uiteindelijk is de keten zo sterk als de zwakste schakel, dus grote en kleine organisaties moeten elkaar gewoon helpen om even sterk te staan.”