Bij NS is cybersecurity van boven naar beneden geregeld

NS voert cybersecurity vanuit bestuur en commissarissen door tot voorbij it-teams

INTERVIEW – Als zogeheten ‘aanbieder van een essentiële dienst’ ligt NS onder een vergrootglas van cybercriminelen en de overheid. Hoe gaat het treinbedrijf om met de complexe wereld van digitalisering, hackers en wetgeving? Computable spreekt erover met (inmiddels oud-)NS-bestuurslid Tjalling Smit en directeur Cybersecurity Dimitri van Zantvliet. ‘Het dreigingslandschap wordt steeds lelijker en wij zijn een aantrekkelijk doelwit.’

We treffen Smit en Van Zantvliet in het hoofdkantoor van NS, pal naast station Utrecht Centraal. Hier zetelen de vijfkoppige raad van bestuur en het CISO Office, en bevindt zich een deel van de cybersecurity-ondersteuning aan de verschillende NS-afdelingen. Het treinbedrijf heeft zijn handen vol aan cybersecurity, maar heeft de zaakjes aardig op orde, luidt de boodschap.

Welke uitdagingen heeft NS op securitygebied?
Smit: ‘Het dreigingslandschap, het aanvalsoppervlak en de wetgeving zijn de drie belangrijkste uitdagingen van onze cybersecurity. Zo wordt het dreigingslandschap steeds lelijker, terwijl wij een aantrekkelijk doelwit zijn. Steeds meer partijen proberen onze systemen plat te leggen, bijvoorbeeld om de Nederlandse steun aan Oekraïne. Zeker voor grote maatschappelijke organisaties als de onze hebben ontregelde systemen veel impact.’

‘Daarnaast neemt het aanvalsoppervlak toe, de technische omgeving die kwetsbaar is voor misbruik. Veel van onze diensten en systemen zijn of worden gedigitaliseerd, zowel het directe klantcontact als analoge operationele omgevingen. Denk aan de systemen van fietsenstallingen, kluisjes, camera’s en de hele communicatie tussen trein en infrastructuur.’

Van Zantvliet: ‘Op nationaal en Europees niveau ziet de overheid deze risico’s. Wij zijn sinds eind 2021 aangemerkt als aanbieder van een essentiële dienst en lopen mee met maatregelen vanuit de overheid om de dreiging zo goed mogelijk te beheersen, bijvoorbeeld via het Nationaal Cyber Security Centrum. We verrichten zelf ook sectorale threat intelligence en wisselen dreigingsinformatie uit met andere railbedrijven in Nederland en Europa. Iedereen gebruikt dezelfde leveranciers en dus hebben we allemaal baat bij informatie over kwetsbaarheden.’

‘Er zijn wetten die ons helpen weerbaar te blijven. De wetgevingsdruk is de afgelopen jaren enorm toegenomen. Wij vallen onder de Wbni, de Wet beveiliging netwerk- en informatiesystemen. Die brengt allerlei compliance-verplichtingen met zich mee. We liggen onder een vergrootglas en dat neemt de komende tijd verder toe. Nu zijn we bezig met de implementatie van Wbni-opvolger NIS2 en de Critical Entities Resilience Directive. In totaal komen er acht cyberwetten op ons af, zoals de Cyber Security Act, de EUCC en de Cyber Resilience Act.’

Zijn alle securityregels nog wel bij te benen?
Smit: ‘We moeten er steeds meer werk in steken om compliant te blijven. We doen er alles aan om zo veilig mogelijk te zijn, maar honderd procent veilig is het nooit. Het is een voortdurend kat-en-muis-spel.’

‘We hebben een speciaal team dat zich bezighoudt met nieuwe wet- en regelgeving, zowel de beïnvloeding als de uiteindelijke implementatie. Het zou voor ons het gemakkelijkst zijn om cybersecurity op basisniveau te regelen en verder niet te veel tijd te geven. Maar wij kiezen ervoor om het onderwerp helemaal vanuit de Raad van Commissarissen en de Raad van Bestuur naar beneden door te voeren.’

Van Zantvliet: ‘Toezicht van boven naar beneden is wel nodig. We hebben ruim tweehonderd enthousiaste it-teams bij NS, maar bij hen staat het voldoen aan wet- en regelgeving meestal niet bovenaan de verlanglijst. Zij willen creatief zijn en code schrijven. Dat mag uiteraard, maar wel met oog voor cybersecurity.’

Bij onze it-teams staat wet- en regelgeving meestal niet bovenaan de verlanglijst

– Dimitri van Zantvliet

Gaat security niet ten koste van creativiteit en innovatie?
Van Zantvliet: ‘Als alle teams security by default organiseren, scheelt dat juist veel werk achteraf. We willen voorkomen dat teams eerst gaan bouwen en pas later over de beveiliging nadenken. Als ze het direct volgens de richtlijnen doen, hebben ze daarna alle tijd en ruimte voor het creëren.’

‘Shift left is een van de pijlers van onze strategie: breng security zoveel mogelijk naar het begin van de levenscyclus. Het is ongelooflijk belangrijk om het al vanaf het eerste ontwerp mee te nemen. Cybersecurity moet prioriteit krijgen bij alles wat we bouwen. Op basis van risico-classificatie en kwetsbaarheidsanalyses bepalen we welk securityniveau elke asset moet hebben. Als je iets missie-kritisch bouwt en beheert, moet je extra beveiligingsmaatregelen implementeren. Ook al is dat soms niet leuk.’

‘Er is een apart team dat te implementeren securitypakketten ontwikkelt. Ook zetten we innovatieve oplossingen in om de beveiliging te versterken. Zo rusten we treinen uit met firewalls die afwijkend netwerkgedrag herkennen met behulp van ai, en is er extra encryptie tussen trein en spoorinfrastructuur. Ook ontwikkelden we een afgeschermde chatbot, waarmee collega’s in een beveiligde omgeving gevoelige informatie kunnen raadplegen, zoals securitypolicy’s, wachtwoordbeleid en technische handboeken.’

Hoe is de cybersecurity bij NS georganiseerd?
Van Zantvliet: ‘In totaal zijn zo’n 130 mensen betrokken bij de cybersecurity van onze informatietechnologie en operationele technologie. We gebruiken daarvoor het drielijnenmodel van operatie, ondersteuning en internal audit.’

‘De operatie, ofwel eerstelijns security, zit grotendeels bij de verschillende NS-bedrijfsonderdelen zelf. Zij hebben hun eigen local information security offices (liso’s), software reliability engineers en pentesters die de eigen systemen aanvallen en de weerbaarheid tegen social engineering uittesten. Voor de treindigitalisering en stations hebben we ot-specialisten.’

‘Ook eerstelijns is ons security operations center, dat we deels uitbesteden aan wat tegenwoordig Eviden heet. Daarnaast verzorgen we zelf een cyber emergency response team. Alle eerstelijnsteams zitten momenteel in een reorganisatie. Ze worden samengevoegd en zo’n tien mensen komen later dit jaar terecht bij het CISO Office, waaraan ik leiding geef.’

‘Het CISO Office is de tweedelijns securityorganisatie en ondersteunt de eerstelijns. Er werken momenteel 25 mensen waar dus ongeveer tien bij komen. Dan zijn we in 2,5 jaar tijd gegroeid van vier naar 35 medewerkers. Een ander deel van het tweedelijnswerk besteden we uit aan Capgemini, Secura en aan het consortium van KPN en Conclusion. Deze laatste twee verzorgen sinds een jaar of tien onze it.’

Hoe zit het met de governance, het toezicht op jullie securitybeleid?
Van Zantvliet: ‘Governance is het derde onderdeel van ons drielijnenmodel. Onder de board zit een werkgroep Cybersecurity. Die is gemandateerd om de cybersecurity-roadmap aan te sturen. Tjalling zit de werkgroep voor en ik ben verantwoordelijk voor de cybersecurity. In de groep zitten ook de directeur Risk, de directeur IT, de directeur Corporate Security en de directeur Treindigitalisering. Zo is verreweg de gehele organisatie vertegenwoordigd.’

Smit: ‘Om NS weerbaar te maken en houden stelden we Dimitri 2,5 jaar geleden aan als ciso. We kozen er expliciet voor om hem rechtstreeks aan de board te laten rapporteren en bijvoorbeeld niet aan de directeur IT. Dat is vrij uniek. We praten Dimitri regelmatig bij over de discussies die in de board plaatshebben. Bovendien rapporteert hij vier maal per jaar aan de board en krijgen onze commissarissen jaarlijks een deep dive over cyberrisico’s.’

Het is niet altijd leuk om te horen dat security prioriteit heeft bij alles wat we ontwerpen. Maar het is de inconvenient truth

– Tjalling Smit

Als directeur Commercie & Ontwikkeling heeft u cybersecurity in portefeuille. Lukt het om de overige vier bestuursleden te overtuigen van dit thema?
Smit: ‘Ik zou liegen als ik zeg dat dit altijd makkelijk is. We besteden veel geld aan it en elke verbetering heeft een it-afhankelijkheid. Dan is het niet altijd leuk om te horen dat security prioriteit heeft bij alles wat we ontwerpen. Maar het is de inconvenient truth. Iedereen beseft het belang van security en we begrijpen de dilemma’s die dit met zich meebrengt.’

‘We hebben bijvoorbeeld drie jaar gewerkt aan de migratie van allerlei databronnen naar een eenduidige dataomgeving. Dat was niet altijd leuk en veel monnikenwerk, maar had wel de steun van de hele board. Elk bestuurslid begreep dat we moesten opruimen en zo de basis voor de toekomst konden leggen.’

En kost het moeite om de rest van NS te overtuigen?
Van Zantvliet: ‘Dat valt mee. NS heeft al heel lang negen veiligheidsdomeinen, waaraan elke medewerker zich strikt houdt, zoals spoorwegveiligheid, sociale veiligheid en arbeidsveiligheid. We hebben daar cybersecurity aan toegevoegd en verwachten dat dit net als die andere domeinen in het dna van het bedrijf terechtkomt.’

‘Om dit te bevorderen heeft NS een stevig cultuurprogramma voor cybersecurity, met veel aandacht voor awareness en interne campagnes. Wij zien de mens niet als de zwakste, maar als enige schakel. Of het nu gaat om rijdend personeel of kantoorpersoneel, iedereen helpt mee de boel veilig te houden. Zowel fysiek als digitaal.’

De boel veilig houden ondanks toenemende cyberrisico’s, dat blijft de uitdaging voor aantrekkelijk doelwit NS. Door het CISO Office als autonome tweedelijnsorganisatie rechtstreeks aan het bestuur te laten rapporteren, staat het thema cybersecurity in elk geval hoog op de agenda in de boardroom. Of de directeuren dat nu leuk vinden of niet.

NS en de cloud

Ook bij NS is sprake van een beweging naar de cloud. Het treinbedrijf hanteert een cloud first-strategie, waarbij het meestal de cloudomgeving van KPN en Conclusion gebruikt. ‘Azure en AWS zijn ook opties als de business case interessant is’, aldus commercieel directeur Smit.

‘Uiteraard zijn wij ons bewust van de discussie over Europese cloudsoevereiniteit’, vertelt hij. ‘Ook wij voeren die discussie stevig. NS zit in de commissie-Vitaal vanuit VNO-NCW, waarin alle organisaties met als vitaal bestempelde infrastructuur deelnemen. We snappen dat de overheid wil voorkomen dat alle data toegankelijk moeten zijn voor de Amerikaanse overheid, en dat men daarom roept om een soevereine cloud. Maar is een Franse cloud dan wel acceptabel voor de Nederlandse overheid? Of gaan we er alsnog snel een zelf bouwen?’

Nebu-datalek

Begin 2023 bleken de gegevens van 780.000 NS-klanten mogelijk te zijn ontvreemd via een datalek bij Nebu, leverancier van enquêtesoftware.

Smit: ‘NS is kwetsbaar als het gaat om persoonsgegevens. Reizigers vertrouwen ons die data toe, terwijl de beveiliging afhangt van de gehele keten. Vorig jaar bleek een leverancier van een leverancier zijn zaakjes niet op orde te hebben. Toch voelden we ons verantwoordelijk. Wij waren het eerste gedupeerde bedrijf dat klanten over het lek informeerde. Ik ben bij NS verantwoordelijk voor het gehele commerciële gedeelte en kan je vertellen dat het een pijnlijk besluit was.’

Van Zantvliet: ‘Ik vermoed dat veel bedrijven ervoor zouden kiezen om het lek onder het tapijt te schuiven. Zo niet bij NS. Wij hadden intern wel een stevige discussie over of je de klant niet onnodig bang maakt. Maar we wilden ze handelingsperspectief geven en riepen op om wachtwoorden aan te passen. Dat was voor mij echt een wow-moment. Wat een radicale transparantie.’

Tjalling Smit
Sinds 2017 directeur Commercie & Ontwikkeling en verantwoordelijk voor de ontwikkel-, verkoop- en marketingactiviteiten en de dienstregeling van NS. Ook cybersecurity valt in zijn portefeuille. Voordien werkte hij bij Air France-KLM, waar hij in 2001 begon als management trainee en uiteindelijk doorgroeide tot eindverantwoordelijke voor alle online-verkopen en -diensten van deze groep van luchtvaartmaatschappijen. Begin augustus vertrok Smit als NS-bestuurder en werd hij cco bij Landal.

Dimitri van Zantvliet
Sinds 2021 chief information security officer bij NS en inmiddels ook directeur Cybersecurity. Hij is betrokken bij de commissie-Vitaal van VNO-NCW en bij de Nederlandse en Europese ISAC (Information Sharing Analysis Centre) voor het spoorwezen. Hij richtte begin 2024 CISO Platform Nederland op, een vakvereniging die deze van oorsprong technische beroepsgroep helpt zichtbaarder en professioneler te worden.

Dit artikel verscheen eerder in Computable #2 2024. Lees hieronder het gehele magazine.