5 minuten 25 sep 2019
Hoe de NMBS samen met EY haar cyber security versterkt

Hoe de NMBS samen met EY haar cyber security versterkt

Door

EY België

Multidisciplinaire professionele dienstenorganisatie

5 minuten 25 sep 2019

Toon bronnen

Hoe kan je kritische infrastructuur structureel beschermen tegen een cyberaanval?

Wat als een cyberaanval de drinkwatervoorziening in het gedrang brengt of het spoorverkeer lamlegt? Beheerders van kritieke infrastructuur – zoals de NMBS – nemen structurele maatregelen om dit soort situaties te voorkomen of op z’n minst de impact ervan te beperken. “De NIS-richtlijn creëert een wettelijk kader en stimuleert Europese samenwerking”, zeggen Koen Machilsen, director Cyber Security and Privacy bij EY (rechts op de foto) en Tim Groenwals, Chief Information Security Officer bij de NMBS (links).

Wat houdt de NIS-richtlijn precies in?
Machilsen:
“De Directive on Security of Network and Information Systems (NIS) wil cyber security op nationaal niveau verbeteren en de Europese samenwerking hieromtrent verhogen. In elke lidstaat moet er bijvoorbeeld een Computer Security Incident Response Team (CSIRT) komen dat cyberdreiging monitort. Daarnaast legt de richtlijn beheerders van kritische infrastructuren en digitale dienstverleners ook verplichtingen op inzake risk management en incident reporting. Het huidige wetsontwerp geeft aan dat bedrijven daarop zullen geaudit worden en over een periode van twee jaar een ISO 27001 certificering moeten behalen.”
Groenwals: “Naarmate infrastructuur, gebouwen en (rollend) materieel geautomatiseerd wordt en met sensoren wordt uitgerust, kunnen niet alleen beheerders ze vanop afstand sturen, maar in het slechtste geval ook personen of organisaties met slechte bedoelingen. Vier jaar geleden was de NMBS-website 36 uren niet beschikbaar door een DDoS-aanval. Wie erachter zat zijn we nooit te weten gekomen, maar het gevolg was dat onze reizigers geen reisinformatie konden opzoeken en geen tickets kopen.
De NIS-richtlijn wil dat landen en kritieke infrastructuren maatschappelijke en economische stabiliteit kunnen garanderen wanneer een cyberaanval het transport, de banksector, financiële markten, energie- en drinkwaterbevoorrading of gezondheidszorg treft. In dat soort situaties moet de burger gerust kunnen zijn dat er nog altijd water uit de kraan komt of dat hij nog steeds geld van zijn rekening zal kunnen halen.”

De NIS-maatregelen geven grote zekerheid waarmee je de impact van cyberincidenten onder controle houdt.
Koen Machilsen
director Cyber Security and Privacy bij EY

Wat moeten bedrijven nu precies doen in het kader van de NIS-richtlijn?
Machilsen:
“Ze moeten een stevig en gestructureerd cyberrisicobeheer opzetten, en inzetten op zowel proactieve beveiligingsmaatregelen als op het vlak van incident response. Hoewel de richtlijn nog moet worden omgezet naar Belgisch recht en sectoraal verder moet worden uitgewerkt, zijn heel wat bedrijven er toch al volop mee bezig. Zo krijgen we opvallend meer vraag naar simulatie-oefeningen omtrent cyber security.”
Groenwals: “Wat de NIS-richtlijn oplegt, is geen rocket science. Het komt erop neer dat je als een goede huisvader omgaat met technologie, IT systemen en informatie. Dat is op zich niet nieuw, maar het wordt nu door de Europese coördinatie meer geregulariseerd.”

Hoe pakt de NMBS cyber security aan?
Groenwals:
“In eerste instantie hebben we ervoor gezorgd dat het directiecomité van ons bedrijf zich ten volle bewust is van de dreiging en de mogelijke impact van cyberincidenten. Die aanvallen hoeven trouwens niet per se tegen ons bedrijf gericht te zijn: ook een incident bij een van onze leveranciers – onze cloud provider bijvoorbeeld – kan gevolgen hebben voor onze klanten. Nu zijn we aan het bepalen welke businessprocessen echt essentieel zijn om onze dienstverlening te garanderen. Onderhoud en treinen laten rijden zijn sowieso de kern van onze business en moeten overeind blijven. Maar moeten we bij een cyberaanval ook per se onze ticketverkoop kunnen blijven garanderen? Misschien is het een optie om bij incidenten die onze ticketverkoop platleggen de reizigers gewoon gratis laten rijden. Op basis van dit soort strategische keuzes zullen we de scope van onze NIS-inspanningen bepalen en daarna alle processen binnen deze scope met een security-bril analyseren.”

Cyberaanvallen kun je niet vermijden. De vraag is dan in welke mate je die incidenten een impact laat hebben op je klanten en business. Dat is puur risk management.
Koen Machilsen
Director Cyber Security and Privacy bij EY

Moeten bedrijven grote budgetten vrijmaken om NIS-compliant te worden?
Groenwals:
“Dat valt in principe wel mee. Veel bedrijven zijn sowieso al bezig met informatie- en cyber security en zullen hier en daar een proces moeten optimaliseren of een nieuwe policy schrijven.”
Machilsen: “Het hangt er ook vanaf hoe ver bedrijven staan in hun digitaliseringsproces en in welke mate ze security daarin reeds hebben gebudgetteerd.”
Groenwals: “In dat opzicht is de timing van de NIS-richtlijn ideaal want veel bedrijven zitten volop in de digitaliseringsfase en kunnen dus kiezen voor security by default.”

Welke meerwaarde biedt EY in het NIS-compliance verhaal van de NMBS?
Machilsen: “We zijn daarin een strategische, tactische en operationele partner voor de CISO (Chief Information Security Officer). Het gaat om een langetermijnrelatie waarin we het team inzichten, methodologieën en best practices aanreiken, meehelpen aan procesverbeteringen en meer cyber security bewustzijn creëren, en crisismanagementoefeningen begeleiden. Onze propositie bevat ook een heel technische component in die zin dat we applicaties en systemen ook effectief gaan beveiligen. Naast de NMBS doen ook utility providers en bedrijven in de Antwerpse haven een beroep op onze services.”

Hoe zouden jullie het belang van de NIS-richtlijn samenvatten?
Groenwals: “Concurrenten, misdaadorganisaties, vreemde mogendheden of gewoon studenten die uit zijn op een kick: ze kunnen allemaal cyberaanvallen opzetten tegen onze kritieke infrastructuur. Het is goed dat Europa zich daartegen wapent want zo’n aanval kan grote gevolgen hebben. Stel je maar eens voor wat er gebeurt als niemand nog elektriciteit heeft in huis of geld kan afhalen om een brood te kopen…”
Machilsen: “Of wat je mag verwachten als een containerterminal in de Antwerpse haven getroffen wordt. Hele supply chains vallen stil. Het is een goede zaak dat er op sector-, nationaal en Europees niveau informatie wordt uitgewisseld en maatregelen worden getroffen om dergelijke effecten op onze economie te voorkomen of te beperken.”

Impulse nieuwsbrief

Blijf op de hoogte van het laatste EY België nieuws en ontdek inspirerende ondernemersverhalen.

Inschrijven

Samenvatting

Beheerders van kritieke infrastructuur nemen structurele maatregelen om cyberaanvallen te voorkomen of op z’n minst de impact ervan te beperken. De NIS-richtlijn creëert daarvoor een wettelijk kader.

Over dit artikel

Door

EY België

Multidisciplinaire professionele dienstenorganisatie