Hoe de NMBS samen met EY haar cyber security versterkt

Hoe kan je kritische infrastructuur structureel beschermen tegen een cyberaanval?

Wat als een cyberaanval de drinkwatervoorziening in het gedrang brengt of het spoorverkeer lamlegt? Beheerders van kritieke infrastructuur – zoals de NMBS – nemen structurele maatregelen om dit soort situaties te voorkomen of op z’n minst de impact ervan te beperken. “De NIS-richtlijn creëert een wettelijk kader en stimuleert Europese samenwerking”, zeggen Koen Machilsen, director Cyber Security and Privacy bij EY (rechts op de foto) en Tim Groenwals, Chief Information Security Officer bij de NMBS (links).

Wat houdt de NIS-richtlijn precies in?
Machilsen: “De Directive on Security of Network and Information Systems (NIS) wil cyber security op nationaal niveau verbeteren en de Europese samenwerking hieromtrent verhogen. In elke lidstaat moet er bijvoorbeeld een Computer Security Incident Response Team (CSIRT) komen dat cyberdreiging monitort. Daarnaast legt de richtlijn beheerders van kritische infrastructuren en digitale dienstverleners ook verplichtingen op inzake risk management en incident reporting. Het huidige wetsontwerp geeft aan dat bedrijven daarop zullen geaudit worden en over een periode van twee jaar een ISO 27001 certificering moeten behalen.”
Groenwals: “Naarmate infrastructuur, gebouwen en (rollend) materieel geautomatiseerd wordt en met sensoren wordt uitgerust, kunnen niet alleen beheerders ze vanop afstand sturen, maar in het slechtste geval ook personen of organisaties met slechte bedoelingen. Vier jaar geleden was de NMBS-website 36 uren niet beschikbaar door een DDoS-aanval. Wie erachter zat zijn we nooit te weten gekomen, maar het gevolg was dat onze reizigers geen reisinformatie konden opzoeken en geen tickets kopen.
De NIS-richtlijn wil dat landen en kritieke infrastructuren maatschappelijke en economische stabiliteit kunnen garanderen wanneer een cyberaanval het transport, de banksector, financiële markten, energie- en drinkwaterbevoorrading of gezondheidszorg treft. In dat soort situaties moet de burger gerust kunnen zijn dat er nog altijd water uit de kraan komt of dat hij nog steeds geld van zijn rekening zal kunnen halen.”

Wat moeten bedrijven nu precies doen in het kader van de NIS-richtlijn?
Machilsen: “Ze moeten een stevig en gestructureerd cyberrisicobeheer opzetten, en inzetten op zowel proactieve beveiligingsmaatregelen als op het vlak van incident response. Hoewel de richtlijn nog moet worden omgezet naar Belgisch recht en sectoraal verder moet worden uitgewerkt, zijn heel wat bedrijven er toch al volop mee bezig. Zo krijgen we opvallend meer vraag naar simulatie-oefeningen omtrent cyber security.”
Groenwals: “Wat de NIS-richtlijn oplegt, is geen rocket science. Het komt erop neer dat je als een goede huisvader omgaat met technologie, IT systemen en informatie. Dat is op zich niet nieuw, maar het wordt nu door de Europese coördinatie meer geregulariseerd.”

Hoe pakt de NMBS cyber security aan?
Groenwals: “In eerste instantie hebben we ervoor gezorgd dat het directiecomité van ons bedrijf zich ten volle bewust is van de dreiging en de mogelijke impact van cyberincidenten. Die aanvallen hoeven trouwens niet per se tegen ons bedrijf gericht te zijn: ook een incident bij een van onze leveranciers – onze cloud provider bijvoorbeeld – kan gevolgen hebben voor onze klanten. Nu zijn we aan het bepalen welke businessprocessen echt essentieel zijn om onze dienstverlening te garanderen. Onderhoud en treinen laten rijden zijn sowieso de kern van onze business en moeten overeind blijven. Maar moeten we bij een cyberaanval ook per se onze ticketverkoop kunnen blijven garanderen? Misschien is het een optie om bij incidenten die onze ticketverkoop platleggen de reizigers gewoon gratis laten rijden. Op basis van dit soort strategische keuzes zullen we de scope van onze NIS-inspanningen bepalen en daarna alle processen binnen deze scope met een security-bril analyseren.”

Moeten bedrijven grote budgetten vrijmaken om NIS-compliant te worden?
Groenwals: “Dat valt in principe wel mee. Veel bedrijven zijn sowieso al bezig met informatie- en cyber security en zullen hier en daar een proces moeten optimaliseren of een nieuwe policy schrijven.”
Machilsen: “Het hangt er ook vanaf hoe ver bedrijven staan in hun digitaliseringsproces en in welke mate ze security daarin reeds hebben gebudgetteerd.”
Groenwals: “In dat opzicht is de timing van de NIS-richtlijn ideaal want veel bedrijven zitten volop in de digitaliseringsfase en kunnen dus kiezen voor security by default.”