Dimitri van Zantvliet, CISO NS: ‘We hoeven niet te winnen, alleen in de race te blijven’

Dimitri van Zantvliet, CISO bij de NS.

“Dertig jaar geleden benoemde Citybank de eerste CISO”, schetst Van Zantvliet het prille begin van de CISO. “Dat was toen nog een zeer technische functie. Inmiddels is het veel meer een managementfunctie. Je kunt nog altijd een technische CISO hebben, maar ook een transformationele CISO, een Risk & Governance-CISO: in totaal 5 smaken die Forrester onderkent.”

De CISO is dus een volwassen beroepsgroep. En dat is ook hard nodig, gezien de ontwikkeling van de cybercrime-sector. De wereldwijde cybercrime-economie is goed voor 10,6 biljoen dollar per jaar. Na China en de VS is dat in omvang de derde economie ter wereld. Cybersecurity, of liever de bredere cyberweerbaarheid, is dan ook voor elke organisatie cruciaal geworden. Je kunt en mag gewoon niet meer zonder dit specialisme, benadrukt Van Zantvliet.

Bepalen van roadmap

“De NS heeft op dit gebied 3 drivers die onze roadmap bepalen. Allereerst is dat ons aanvalsoppervlak. De digitale transitie zorgt voor veel meer internetaansluitingen en cloud-koppelingen. Al die connecties, de groeiende hoeveelheid gebruikers hiervan, zijn potentiële kwetsbaarheden. Verder is er een sterk groeiend aantal mobiele verbindingen en IoT-aansluitingen.”

Ten tweede heb je het dreigingslandschap. Alleen al in de drie jaar dat Van Zantvliet bij de NS werk, is dat enorm verslechterd. “In december 2021 zijn wij aangewezen als aanbieder van essentiële diensten (AED), als vitale infrastructuur. Dat betekent dat we aan de eisen van de WBNI moeten voldoen, die straks wordt aangepast met de regulering van NIS2. Daar zijn we nu druk mee bezig. “Spoorvervoer is vitaal voor de Nederlandse economie en mag niet uitvallen. Maar het kan bijvoorbeeld ook gebeuren dat spoorweginfrastructuur, waarover soms materieel naar Oekraïne wordt vervoerd, doelwit wordt van cyberaanvallen. Dat moeten we natuurlijk voorkomen.”

Juridische landschap

De derde stuwende kracht achter de cybersecurity-roadmap is het juridische landschap. De NS moet momenteel aan drie wetten voldoen die met cybersecurity te maken hebben (zoals de WBNI en de AVG), met nog eens acht Europese wetten die eraan komen. “En steeds meer bedrijven die mobiliteit bij de NS inkopen, willen dat we relevante ISO-certificeringen hebben. Ook daar zijn we de afgelopen jaren druk mee geweest en hebben we een redelijke inhaalslag in gemaakt.”

Inhaalslag

Is het belang van cybersecurity en – weerbaarheid al doorgedrongen tot in de haarvaten van de NS? Zowel Van Zantvliet als zijn collega en CIO Hessel Dikkers hebben gewerkt bij verzekeraars en banken. Die zijn al veel langer bezig met een risk based, compliance driven security-aanpak, merkt Van Zantvliet op. Bij de NS was men hier toen hij aantrad ook al wel mee bezig, maar ook hier was een inhaalslag nodig.

“De NS heeft natuurlijk al sinds oktober 1839 treinen rijden, al 175 jaar. In de loop der jaren zijn er negen veiligheidsdomeinen ontwikkeld, zoals: spoorwegveiligheid; transfer-veiligheid voor mensen op stations, voedsel- en warenveiligheid voor onze kiosken, brandveiligheid, sociale veiligheid.”

“Het zal nog wel enige tijd duren voordat ook cyber-veiligheid in het DNA zit."

Cyber-veiligheid vormt nu een tiende domein. De andere negen domein zitten veel meer in het DNA van de organisatie en haar medewerkers, weet de CISO. “Het zal nog wel enige tijd duren voordat ook cyber-veiligheid in het DNA zit, maar we kopiëren hier deels de aanpak van onze vakbroeders die op de andere negen domeinen zitten. Dit zal wel een stuk sneller moeten ditmaal, we hebben er geen 175 jaar voor.”

Driehoek wordt vierkant

Vaak wordt gesproken over de driehoek technologie, processen en mensen die binnen cyberweerbaarheid op orde moeten zijn. Je kunt er inmiddels met data wel een vierkant van maken, meent Van Zantvliet. Want ook data moet cybersecure en -weerbaar zijn.

“We hebben de afgelopen jaren dan ook hard opgeschaald in security-mensen op dit vierkant goed op orde te krijgen. Het bestuur ondersteunt dit ook volledig, zij hebben echt het eigenaarschap van dit dossier op zich genomen. We hebben dus de mensen en we hebben het budget, en dat is ook hard nodig, want het is een enorme klus. En natuurlijk moeten we ook rekening houden met de impact van technologie zoals AI en kwantum computing.”

Basishygiëne op orde

Maar uiteindelijk, benadrukt de CISO, is het allereerst een must om de basishygiëne op orde te hebben. 80 procent van alle aanvallen wereldwijd vindt nog altijd met gestolen credentials plaats, te vaak ontbreekt nog mfa (multifactorauthenticatie) op een inlogportaal, worden zwakke wachtwoorden gebruikt.

“Ook bij ons is die basis hygiëne dus nog het belangrijkste aandachtspunt. Vaak hoor je dat de mens hierbij de zwakste schakel is. Wij gebruiken die term niet. De mens is de enige schakel. Elke NS’er, op de trein, in de kiosk, op ons hoofdkantoor, is onderdeel van onze ‘human firewall’. Wij doen dan ook veel aan awareness-training - vaak ook met andere veiligheidsdomeinen. Denk aan phishing-simulaties, het herkennen van of iets een valide e-mail is of niet, moet je wel klikken op die link in een WhatsApp-bericht? Daar zetten we steeds meer stappen in.”

Duidelijke verschuiving

Aan de andere kant van het speelveld bevinden zich de cybercriminelen. Van Zantvliet ziet een duidelijke verschuiving in hun herkomst en doelen, en wijst om dit te onderstrepen naar de laatste dreigingsrapporten van de AIVD, de MIVD, de NCTV: het gaat allemaal over state sponsored actors.

“Dat was al aan de gang en wordt nu erger als gevolg van de oorlog in Oekraïne, maar ook de Gaza-crisis. En Taiwan kan ook een mondiale crisis worden. Maar criminele bendes hebben nog altijd de meeste impact, tegenwoordig vaak met spray and pray, volledig geautomatiseerde aanvallen. Ze buiten kwetsbaarheden uit, verkopen gestolen credentials, doen aan access brokering. Dit is nog wel de meest voorkomende aanvalsactor om rekening mee te houden.”

Zelf doen of uitbesteden

Ook een grote organisatie zoals de NS kan niet alles zelf doen. Veel standaard, ‘of the shelf’-zaken worden ingekocht of uitbesteed. Sommige specialismen, zoals forensics, zijn zo complex dat ook de NS die niet meer zelf kan betalen. Maar beleid, strategie, architectuur, de koppeling tussen cybersecurity en het laten rijden van treinen, dat soort zaken houden Van Zantvliet en zijn teams in eigen handen.

“Ook nieuwe wetgeving die op ons afkomt, zoals de AI Act, de CRA, de CSA, vertalen we liever zelf naar wat het voor onze organisatie betekent. Daar zetten we veel experts op uit alle geledingen van de organisatie. Maar level 1 en 2 SOC-analisten, triage- en standaard cybersecurity-diensten, die kopen we dan weer in.”

Ook heeft de NS veel goede security-mensen aan zich kunnen binden. Zij – zeker de jongeren - hebben vaak iets met het OV, met het relatief groene karakter van de NS. “Dus we zijn als security-organisatie wel flink gegroeid, met zware expertises zoals threat intelligence, ethisch hacken, GRC, awareness, delen van IOC’s, use case development, tweedelijns ondersteuning. Tot op heden werkt deze verdeling prima. Maar ook onze leveranciers hebben moeite om aan mensen te komen, dus het is wel een krappe markt.”

In de race blijven

Over de nabije toekomst is Van Zantvliet optimistisch. “Ik denk dat we de rat race waar we in zitten, niet hoeven te winnen”, meent hij. “We moeten alleen in de race zien te blijven. We moeten elk jaar, elke week, elke dag weer een stukje beter worden, leren – ook van fouten. En dat betekent ook leren dat het beter is om transparant te zijn wanneer er iets misgaat bij onszelf of een van onze leveranciers”

Een goed voorbeeld hiervan is de hack van Blaauw vorig jaar, waarbij ook gegevens van 850.000 NS-reizigers mogelijk gestolen werden. “Er is een discussie gevoerd in de directie: moeten we mensen bang maken met onvolledige informatie, of hen handelingsperspectief bieden, zodat ze bijvoorbeeld hun wachtwoord kunnen wijzigen. Naar dat laatste ging de voorkeur van mij en de FG Annemarie uit en dat hebben we uiteindelijk ook gedaan. Het komt je reputatie niet altijd ten goede, maar ik denk dat het op langere termijn de betere keuze is. Je kunt nou eenmaal niet alles dichttimmeren, dus dit zal vaker gebeuren. Maar ik heb er het volste vertrouwen in dat we in de race zullen blijven.”