Martijn Kregting - 13 september 2024

'Cybersecurity moet tot in de haarvaten van de NS doordringen'

Is het belang van cybersecurity en – weerbaarheid al doorgedrongen tot in de haarvaten van de Nederlandse Spoorwegen (NS)? Dat is één van de kernvragen waar NS-CISO Dimitri van Zantvliet zich dagelijks mee bezighoudt. Zowel Van Zantvliet als zijn CIO-collega Hessel Dikkers hebben gewerkt bij verzekeraars en banken. Die zijn al veel langer bezig met een risk based, compliance driven security-aanpak, merkt Van Zantvliet op. Bij de NS was men hier toen hij aantrad ook al wel mee bezig, maar er was wel een inhaalslag nodig.

'Cybersecurity moet tot in de haarvaten van de NS doordringen' image

“De NS heeft natuurlijk al sinds oktober 1839 treinen rijden, al 175 jaar", vertelde Van Zantvliet onlangs in een interview met Dutch IT Leaders. "In de loop der jaren zijn er negen veiligheidsdomeinen ontwikkeld, zoals: spoorwegveiligheid; transfer-veiligheid voor mensen op stations, voedsel- en warenveiligheid voor onze kiosken, brandveiligheid, sociale veiligheid.”

Cyber-veiligheid vormt nu een tiende domein. De andere negen domein zitten veel meer in het DNA van de organisatie en haar medewerkers, weet de CISO. “Het zal nog wel enige tijd duren voordat ook cyber-veiligheid in het DNA zit, maar we kopiëren hier deels de aanpak van onze vakbroeders die op de andere negen domeinen zitten. Dit zal wel een stuk sneller moeten ditmaal, we hebben er geen 175 jaar voor.”

Driehoek wordt vierkant

Vaak wordt gesproken over de driehoek technologie, processen en mensen die binnen cyberweerbaarheid op orde moeten zijn. Je kunt er inmiddels met data wel een vierkant van maken, meent Van Zantvliet. Want ook data moet cybersecure en -weerbaar zijn.

“We hebben de afgelopen jaren dan ook hard opgeschaald in security-mensen op dit vierkant goed op orde te krijgen. Het bestuur ondersteunt dit ook volledig, zij hebben echt het eigenaarschap van dit dossier op zich genomen. We hebben dus de mensen en we hebben het budget, en dat is ook hard nodig, want het is een enorme klus. En natuurlijk moeten we ook rekening houden met de impact van technologie zoals AI en kwantum computing.”

Basishygiëne op orde

Maar uiteindelijk, benadrukt de CISO, is het allereerst een must om de basishygiëne op orde te hebben. 80 procent van alle aanvallen wereldwijd vindt nog altijd met gestolen credentials plaats, te vaak ontbreekt nog mfa (multifactorauthenticatie) op een inlogportaal, worden zwakke wachtwoorden gebruikt.

“Ook bij ons is die basis hygiëne dus nog het belangrijkste aandachtspunt. Vaak hoor je dat de mens hierbij de zwakste schakel is. Wij gebruiken die term niet. De mens is de enige schakel. Elke NS’er, op de trein, in de kiosk, op ons hoofdkantoor, is onderdeel van onze ‘human firewall’. Wij doen dan ook veel aan awareness-training - vaak ook met andere veiligheidsdomeinen. Denk aan phishing-simulaties, het herkennen van of iets een valide e-mail is of niet, moet je wel klikken op die link in een Whatsapp-bericht? Daar zetten we steeds meer stappen in.”

Het interview met Dimitri van Zantvliet gemist? Lees het hier terug. Of lees het interview met NS-CIO Hessel Dikkers.

Sophos All Colours BW 10-10-2024 tm 31-10-2024 Tanium BW 08/10/2024 - 01/11/2024
Axians 09/10/2024 - 22/10/2024