De Nederlandse Spoorwegen (NS) staan als 'aanbieder van een essentiële dienst' onder scherp toezicht van zowel cybercriminelen als de overheid. In een interview met Computable geven (inmiddels oud-)NS-bestuurslid Tjalling Smit en directeur Cybersecurity Dimitri van Zantvliet inkijk in de complexe uitdagingen op het gebied van digitalisering, cyberaanvallen en wetgeving.
Uitdagingen op securitygebied
Volgens Smit zijn de drie grootste uitdagingen het veranderende dreigingslandschap, het toenemende aanvalsoppervlak en de veranderende wetgeving. NS is een aantrekkelijk doelwit voor cybercriminelen die de Nederlandse infrastructuur willen ontregelen. Daarnaast neemt het aantal kwetsbare systemen toe door de digitalisering van diensten en processen. Van Zantvliet benadrukt dat NS als aanbieder van een essentiële dienst onder streng toezicht staat en mee moet gaan met de maatregelen vanuit de overheid.
Wetgevingsdruk
De wetgevingsdruk op het gebied van cybersecurity is de afgelopen jaren enorm toegenomen. NS moet voldoen aan verschillende wetten, zoals de Wbni en de aankomende NIS2 en Critical Entities Resilience Directive. Smit geeft aan dat het een voortdurende uitdaging is om compliant te blijven, maar dat NS er alles aan doet om zo veilig mogelijk te zijn.
Security versus creativiteit en innovatie
Van Zantvliet benadrukt dat security niet ten koste hoeft te gaan van creativiteit en innovatie. Door security 'by default' te organiseren en vanaf het begin van de levenscyclus mee te nemen, kunnen teams daarna alle tijd en ruimte hebben voor het creëren. NS zet ook innovatieve oplossingen in om de beveiliging te versterken, zoals firewalls met AI en een afgeschermde chatbot voor gevoelige informatie.
Organisatie van cybersecurity
De cybersecurity bij NS is georganiseerd volgens het drielijnenmodel, met 130 mensen betrokken bij de informatietechnologie en operationele technologie. De operatie zit grotendeels bij de verschillende NS-bedrijfsonderdelen zelf, terwijl het CISO Office de tweedelijns securityorganisatie vormt en ondersteuning biedt.
Governance en toezicht
Het toezicht op het securitybeleid is belegd bij een werkgroep Cybersecurity onder de board, voorgezeten door Smit. Van Zantvliet rapporteert rechtstreeks aan de board en geeft regelmatig updates over de cybersecurity. Smit benadrukt het belang van deze directe rapportagelijn om het thema cybersecurity hoog op de agenda te houden.
Uitdagingen, risico's en innovatieve oplossingen
NS staat voor grote uitdagingen op het gebied van cybersecurity, maar neemt deze zeer serieus. Door een proactieve aanpak, innovatieve oplossingen en een sterke governance-structuur probeert het bedrijf de risico's te beheersen en de veiligheid van zijn systemen en data te waarborgen.
Als bedrijf ook met cybersecurity aan de slag? Ontdek de diensten van Ultimum.
