Ik ben vandaag online te gast bij RijnIJssel voor de 45ste MBO Digitaal Conferentie (voorheen saMBO-ICT). Op vrijdag opent Onno Wierbos met de keynote en laat zien hoe digitalisering en cyberrisico’s hand in hand toenemen en wat de NS doet om weerbaar te blijven.
Onno vertelt over het ambitieniveau van de NS, namelijk niet zozeer alleen ‘treinen regelen’, maar in samenwerking met andere partijen de mobiliteit verbeteren. De digitalisering is al enorm toegenomen (naast reizigersinformatie ook digitale sloten op OV fietsen, lockers, OV-Chipkaart etc) en zal verder toenemen als er zelfrijdende treinen komen. Hand in hand met deze toename zijn de cyber risico’s.
Een voorbeeld was het systeem voor het versturen van ‘kerstpakketten’. Waarin een relatief kleine aanpassing van het ingevoerde personeelsnummer veel meer toonde dan hoorde. Gelukkig niet landelijk ontwrichtend lijkt me, maar een terechte melding bij de Autoriteit Persoonsgegevens. Daarnaast was er inbreuk op de accounts van hun medewerkers.
Hun aanpak:
- Definiëren van hun kroonjuwelen (ze hebben 190 applicaties). Ik verwacht om te prioriteren en overzicht te hebben.
- Awareness kweken door phishing mail te simuleren.
- Online trainingen voor personeel.
- Kwetsbaarheden ontdekken, door Red Teaming (preventief).
- Interne expertise en formatie om aanvallen te signaleren en af te slaan (reactief).
- Samenwerking met andere organisaties.
Hij vertelt over een hele rits cyberaanvallen bij andere vervoersorganisaties. Met gevolgen als databases met medewerker gegevens die op straat liggen en ransomware. Indrukwekkend aantal, in één kalenderjaar en dan nog alleen die cybercrisissen die openbaar zijn. Belangrijkste boodschap: “je komt een keer aan de beurt“. Mijn eigen stelling ook. “Dat overkomt ons nooit” roepen is naïef of overmoedig.
De dreigingsactoren die ze zien:
- Grootmachten: het risico dat een andere grootmacht specifiek ‘onze’ NS in het vizier heeft lijkt klein. Het kan echter ook zitten in de keten van leveranciers van je systemen. Als deze doelwit worden, heb je daar wel degelijk last van.
- Georganiseerde misdaad: een reëel risico omdat gijzelsoftware veel geld oplevert.
- Hacktivisme: een voorbeeld zou zijn dat een hacker op alle displays informatie gaat tonen voor zijn/haar maatschappij-kritische boodschap.
- Kwaadwillende medewerkers.
- Scriptkiddies
Onno vertelt rustig, is zich bewust van hun maatschappelijke rol en het vergrootglas waaronder ze liggen. Hij is open over voormalige kwetsbaarheden in hun systemen, wat ik erg respecteer.
Leestip van hem: Het is oorlog maar niemand die het ziet van Huib Modderkolk.
Vraag uit het publiek:
Speelt Enterprise Architectuur een rol om te weten te komen waar kwetsbaarheden zitten? Enterprise Architectuur wordt steeds belangrijker en inderdaad ook in het voorbeeld van de fietsensloten, stallingen en financiële afrekeningen. Daarnaast hebben we overzicht op het landschap nodig, gezien de 190 applicaties.