Seinen op groen voor cybersecurity

Cybersecurity is voor veel organisaties een steeds grotere uitdaging. Binnen Europa maakt men zich zorgen over de digitale kwetsbaarheid van de samenleving. Als reactie hierop komt er steeds meer op cybersecurity gerichte wetgeving en regulering. Dit artikel belicht de relevante ontwikkelingen op het gebied van cybersecurity waar de spoorsector mee te maken heeft en hoe de spoorsector, en meer specifiek NS, hiermee omgaat.

De spoorsector heeft te maken met steeds verdergaande digitalisering. Waar treinen van oudsher vooral afhankelijk waren van elektrische en mechanische componenten, is technologie op modern rijdend materieel steeds meer voorzien van software. Ook de planning en de bewaking van de veiligheid van het spoorgebruik gebeurt steeds meer digitaal. Figuur 1 geeft een algemeen overzicht van de belangrijkste digitale systemen rondom treinen.

De belangrijkste (geplande) digitale systemen aan boord van een trein zijn:
­

• Infotainment system (OBIS). Reizigers kunnen gebruikmaken van WiFi in de trein en zien informatie over aansluitingen of verstoringen op een display in de trein.
• Realtime Monitoring (RTM). Een trein wordt continu gemonitord op locatie, snelheid en de staat van de technische systemen aan boord. Zo kunnen problemen door monteurs worden voorzien en voorkomen nog voordat dit tot een storing leidt en kan onderhoud slimmer ingepland worden.
• Veiligheidssystemen. De komende jaren wordt een Europees digitaal systeem doorgevoerd (ERTMS) ter vervanging van de fysieke seinen langs het spoor. De machinist ziet hiermee op een beeldscherm of het spoor vrij is en van buitenaf kan worden ingegrepen als een trein zonder toestemming toch doorrijdt.
• Automatic Train Operation (ATO). In Nederland wordt in de toekomst een soort geavanceerde cruisecontrol verwacht waarmee een meer nauwkeuriger en zuiniger dienstregeling kan worden gereden.

Nederland kent het drukste spoor in Europa. De planning daarvan is zeer complex. Bij verstoringen moet het treinverkeer, materieel en personeel snel worden aangepast om de impact voor reizigers zoveel mogelijk te beperken. Daarbij is automatisering onontbeerlijk. Veel van deze digitale systemen zijn essentieel om een voorspelbare treindienst te kunnen leveren. Het is dus noodzakelijk dat ze altijd beschikbaar zijn en correct functioneren. En dat wordt een steeds grotere uitdaging door de toenemende dreiging van cyberaanvallen.

Toename digitale dreiging

Het Nationaal Cyber Security Center (NCSC) schetst een somber beeld in haar jaarlijkse Cybersecuritybeeld Nederland. Het NCSC ziet een enorme toename van de georganiseerde cybercriminaliteit. Doordat ransomware een zeer lucratief verdienmodel is, is cybercriminaliteit uitgegroeid tot een miljardenindustrie. Een bedrijfstak die steeds verder automatiseert en professionaliseert, met gespecialiseerde dienstverleners die de benodigde tools en expertise leveren om een ransomware aanval uit te voeren.

Daarnaast speelt de toenemende dreiging van statelijke actoren, zeker sinds het uitbreken van de oorlog in Oekraïne. Sabotage via cyberaanvallen is zowel relatief eenvoudig uit te voeren als moeilijk te traceren naar de bron en daarmee grotendeels risicoloos voor de aanvaller. Waar een land als Rusland terughoudend is om een EU-land fysiek aan te vallen, geldt dat niet voor een cyberaanval. De aanvaller is hierbij in het voordeel. De verdediger moet proberen om ieder deurtje dicht te houden, maar de aanvaller hoeft maar één zwakke plek te vinden en hij is binnen. En de verdediging zal dus minstens mee moeten gaan met toename van de dreiging.

Dat zorgt voor complexiteit in situaties waar security en safety elkaar kunnen raken. We gebruiken de Engelse termen, omdat het onderscheid in het Nederlands (veiligheid) minder duidelijk is. Onderstaande stellingen illustreren het verschil tussen beide focusgebieden:

• Safety: protecting humans from machines. Stays mainly stable over a lifetime.
• Security: protecting machines from humans. Changes frequently over a lifetime.

De cyberaanvaller is in het voordeel. Hij hoeft maar één zwakke plek te vinden en hij is binnen

Risicomanagement

In het verleden was risicomanagement binnen de spoorsector vooral gericht op het veilig rijden van treinen en veilig vervoeren van reizigers. Dit is dan ook sterk verankerd in de veiligheidscultuur binnen spoorwegbedrijven. Voor cybersecurity is dat nog niet vanzelfsprekend. ENISA (2020) stelt dat, in het geval van cybersecurity vooral de basismaatregelen goed worden toegepast in de spoorsector, zoals fysieke toegang tot systemen en scheiding van systemen.¹

Beveiligingsmaatregelen die geavanceerde technische deskundigheid vereisen, zoals cryptografie (versleuteling) en cybersecuritymaatregelen in het industrieel domein worden minder vaak toegepast. Dit kan worden verklaard door de specifieke context van operationele technologie (OT) bij spoorwegen, die de implementatie van cybersecuritymaatregelen bemoeilijken. Redenen hiervoor zijn onder andere de aanwezigheid van verouderde systemen (legacy), verwevenheid van systeemnetwerken tussen bijvoorbeeld vervoerders en beheerders van de spoorweginfrastructuur, afhankelijkheid van leveranciers voor beveiligingsoplossingen en veiligheidsoverwegingen bij het updaten van dergelijke systemen.

De spoorsector kenmerkt zich door een verscheidenheid aan partijen die alle een zwaar stempel drukken. Dat heeft gevolgen voor de IT-systemen

Evoluerende sector

De sector evolueert ook omdat ze zich geleidelijk openstelt voor concurrentie. Dit heeft gevolgen voor de IT-systemen, omdat dit leidt tot een herverdeling van verantwoordelijkheden en de scheiding van spoorwegsystemen en -infrastructuur. Daarnaast kenmerkt de spoorsector zich door een verscheidenheid aan partijen die alle een zwaar stempel drukken. Betrokken partijen in de spoorsector zijn onder andere spoorwegvervoerders (zoals NS, Keolis, Arriva, Connexxion), infrastructuurbeheerders (ProRail), fabrikanten van treinen (zoals Alstom, Siemens, Stadler, CAF), overheidsorganen en toezichthouders en belangenbehartigers voor medewerkers en reizigers. De afhankelijkheden tussen deze ketenpartners komen onder andere voort uit veiligheidsvereisten, operationele en financiële verantwoordelijkheden, naleving van wet- en regelgeving, kosten en contractuele verplichtingen.

Verschillende belangen belemmeren een integrale aanpak en flexibele omgang bij het (acuut) inspelen op cybersecurityrisico’s binnen de spoorsector. Om cybersecurityrisico’s goed te beheersen is dus een combinatie nodig van maatregelen binnen de spoorsector als geheel én maatregelen binnen de specifieke organisaties in de sector.

Toename cyberwetgeving en -normen

De toename van digitalisering en cyberdreiging speelt uiteraard ook in andere sectoren. De Europese Unie realiseert zich dat we als samenleving steeds kwetsbaarder worden voor cyberaanvallen en komt daarom met wetgeving rondom cybersecurity. Die is gericht op het voorkomen van maatschappelijke verstoring door cyberaanvallen door de meest essentiële diensten goed te beschermen. Daarnaast wordt breder gekeken hoe de cybersecurity van producten en diensten kan worden verhoogd. Dat levert een toename op van de compliancedruk voor leveranciers van digitale producten en diensten, maar ook voor andere leveranciers die afhankelijk zijn van digitale middelen. Hierna volgt een overzicht van de bestaande en geplande wetgeving die de spoorsector raakt. Daarnaast wordt toegelicht welke normen voor informatiebeveiliging van toepassing zijn op de spoorsector.

Cyberwetgeving voor essentiële diensten
De spoorsector valt onder de Wet beveiliging netwerk- en informatiesystemen (WBNI), de nationale implementatie van de Europese NIS directive. De wet beschrijft wat organisaties moeten doen op het gebied van cybersecurity om ervoor te zorgen dat essentiële diensten die voor onze maatschappij van levensbelang zijn, goed beschermd zijn.

De wet schrijft een zorg- en een meldplicht voor en wordt verder uitgewerkt in een besluit (Bbni) en, voor de transport- en drinkwatersector, in een ministeriële regeling. Deze laatste geeft invulling aan de zorgplicht door het voorschrijven van een information security managementsysteem, risicomanagement- en compliance-eisen ten aanzien van beveiligingsmaatregelen. De meldplicht houdt in dat cyberincidenten met aanzienlijke gevolgen voor de dienstverlening aan het betreffende ministerie moeten worden gemeld. Figuur 2 geeft een overzicht van de aanbevolen beveiligingsmaatregelen voor implementatie van de NIS directive (door de NIS cooperation group).

De NIS-richtlijn is van toepassing op een relatief beperkte set van aanbieders van essentiële diensten (AED’s), zoals organisaties actief in de transport-, drinkwater- en energiesector en digitale service providers (DSP’s) zoals clouddiensten of zoekmachines. Een Europese richtlijn is niet direct als wet van kracht, maar wordt door de Europese landen uitgewerkt in nationale wetgeving. In de praktijk heeft dit geleid tot grote verschillen tussen landen, zowel qua aantallen AED’s die onder de wetgeving vallen alsook qua eisen die de wet stelt. De NIS directive wordt mede daarom vervangen door de NIS 2 directive, die een veel ruimer toepassingsgebied kent en ertoe moet leiden dat de verschillende nationale wetten duidelijker en uniformer worden qua eisen. Met de NIS 2 directive komen derde partijen die digitale diensten leveren aan AED’s, zoals datacentra, zelf ook direct onder de richtlijn te vallen.

Cyberwetgeving voor digitale producten en diensten
ENISA is een door de EU in 2004 opgerichte cybersecurityorganisatie. Hierin werken cybersecurityexperts uit verschillende Europese landen samen om binnen Europa een gemeenschappelijke hoge standaard te realiseren voor cybersecurity.

De EU Cybersecurity Act van 2019 heeft de positie en het mandaat van ENISA versterkt. ENISA (inmiddels het Agentschap van de Europese Unie voor cyberbeveiliging) is verantwoordelijk voor het ontwikkelen van een certificeringsraamwerk voor cybersecurity. De bedoeling is dat dit leidt tot EU-brede certificeringsschema’s waarmee de veiligheidskenmerken van producten of diensten kunnen worden aangetoond.

Daarnaast werkt Europa aan een Cyber Resilience Act. Waar de hierna genoemde certificeringen vrijwillig zijn, zal deze wet een verplicht karakter hebben. Binnen de EU geldt dat voor veel producten een CE-markering verplicht is die aantoont dat het product voldoet aan eisen ten aanzien van onder meer veiligheid, gezondheid en milieu. Met de nieuwe wet moet voor deze markering ook worden voldaan aan eisen met betrekking tot cybersecurity en het voorkómen en oplossen van kwetsbaarheden. Daarbij wordt onderscheid gemaakt tussen ‘normale’ producten en producten die een kritieke rol spelen in de digitale veiligheid, van netwerkmanagementsystemen tot smartcards.

Voor deze kritieke producten is beoordeling van het product of het kwaliteitsmanagementsysteem door een onafhankelijk auditor vereist. Hoe veilig een product of dienst daadwerkelijk is, is op dit moment nauwelijks na te gaan en speelt daardoor een ondergeschikte rol in de inkoop van producten of diensten. Met de certificering en het keurmerk wordt het mogelijk dit aspect beter mee te nemen en zal de druk op leveranciers toenemen om voldoende aandacht te geven aan de cybersecurity van hun producten of diensten.

Hoe veilig een product of dienst daadwerkelijk is, is op dit moment nauwelijks na te gaan

 Cybersecuritynormen

ISO 27001
ISO 27001 is de meest bekende norm voor informatiebeveiliging van IT-omgevingen. De norm stelt eisen aan het information security managementsysteem (ISMS), ofwel de manier waarop een organisatie haar informatiebeveiliging heeft ingericht. Bij de norm hoort een lijst met beveiligingsmaatregelen (ISO27002) die organisaties kunnen gebruiken als een soort checklist. Een ISMS kan tegen de ISO27001 norm gecertificeerd worden, waarmee naar de buitenwereld kan worden aangetoond dat de processen voor informatiebeveiliging op orde zijn. Bij contractering van producten of diensten wordt daarom steeds vaker naar ISO27001 certificering gevraagd.

ISA/IEC 62443
De IEC 62443 is een collectie van standaarden gericht op de continuïteit en cybersecurity van industriële systemen, ofwel operationele technologie (OT). Zoals de naam aangeeft is de normenset ontworpen door IEC (International Electrotechnical Commission), een organisatie die wereldwijd normen ontwikkelt en publiceert voor elektrische componenten en apparatuur. Bijvoorbeeld bij de inzet van industriële automatisering om water te zuiveren, bruggen en sluizen te bedienen, verkeer te begeleiden, of in werkplaatsen en fabrieken. Deze standaard bestaat uit delen die in verschillende situaties van toepassing zijn en waartegen op onderdelen ook te certificeren is.

TS 50701
Technische Specificatie (TS) is opgesteld door Cenelec, een Europees samenwerkingsverband van 34 nationale elektrotechnische commissies. De 50701 is een norm die specifiek gericht is op de cybersecurity van de spoorwegsector. Het doel van de norm is te bewerkstelligen dat de RAMS-karakteristieken (reliability, availability, maintainability and safety) van materieel en systemen niet kunnen worden aangetast door een cyberaanval.

De norm sluit aan bij de veiligheidsstandaard EN 50126, die gaat over de RAMS-aspecten van spoorsystemen en maakt onderdelen van de ISA/IEC 62443 specifiek toepasbaar voor de spoorwegsector. Onder andere wordt voorgeschreven hoe met segmentering voorkomen moet worden dat veiligheidskritische systemen van buitenaf bereikbaar zijn en aangevallen kunnen worden. Daarnaast komen onderwerpen aan bod als cybersecurity tijdens de levenscyclus van een spoorwegsysteem, security by design, vulnerability management en beheer van securitypatches. Figuur 3 geeft een schematische weergave van de relatie tussen de verschillende cybersecuritystandaarden.

Samenwerking in de keten

Zoals eerder aangegeven zijn naast specifieke maatregelen voor de eigen organisatie ook maatregelen nodig die betrekking hebben op de sector en ketenpartners. Dit is van belang om ook maatregelen te nemen voor risico’s die de NS-organisatie indirect kunnen raken en om in te kunnen spelen op afhankelijkheden met ketenpartners. Om dit in te vullen werkt NS  in meerdere verbanden samen met ketenpartners.

ISAC
Een voorbeeld van zo’n samenwerking is een information sharing and analysis centre (ISAC). Dit is een samenwerkingsverband voor het uitwisselen van informatie over incidenten, dreigingen, kwetsbaarheden en maatregelen. Het doel hiervan is om van elkaars ervaringen te leren. Hierbij worden strikte afspraken gemaakt over hoe gedeelde informatie mag worden gebruikt of verspreid. Hierdoor is het voor partijen binnen de ISAC mogelijk ook gevoelige informatie met elkaar te delen. Er is zowel een nationale als Europese ISAC voor de spoorsector.

Governance voor spoor
Om cybersecurity binnen de Nederlandse spoorsector integraal aan te pakken is op initiatief van Prorail en NS een intentieverklaring ‘Governance voor spoor’ afgesproken. Afhankelijk van het type onderwerp wordt deze op een strategische, tactische of inhoudelijke tafel besproken. Op deze manier zijn risico’s die over de grenzen van individuele organisaties gaan in kaart te brengen en worden afspraken gemaakt over securityaspecten van sectorbrede initiatieven, zoals ERTMS.²

Roadmap Vitaal
Een ander voorbeeld van samenwerking in de keten is het programma Vitaal. NS heeft net als andere ketenpartners meegewerkt aan de totstandkoming van de roadmap Vitaal, die onder leiding van het ministerie van Infrastructuur en Waterstaat is opgesteld en NS heeft een implementatieplan opgesteld voor de Wet beveiliging netwerk- en informatiesystemen. Hiermee wordt de bescherming van de vitale mobiliteitsprocessen verder vormgegeven. De roadmap Vitaal vormt de basis voor een nog te ontwikkelen actieprogramma voor de spoorsector en heeft een bredere scope dan alleen cybersecurity. In dit actieprogramma worden concrete acties benoemd om de veiligheid, cybersecurity en economische veiligheid (in casu de weerbaarheid) binnen de sector verder te verbeteren.

NS werkt veelvuldig samen met ketenpartners voor crisisoefeningen, ook op het gebied van cybersecurity

Cybercrisisoefeningen
Nog een voorbeeld van samenwerking in de keten betreft cybercrisisoefeningen met partners. NS nam in 2021 deel aan een grootschalige cyberoefening georganiseerd door het Nationaal Cyber Security Centrum en de Nationaal Coördinator Terrorisme en Veiligheid. NS werkt veelvuldig samen met ketenpartners voor crisisoefeningen, ook op het gebied van cybersecurity. Hierbij oefent NS met organisaties in de vitale infrastructuur en de Rijksoverheid aan de hand van een digitaal crisisscenario. Door te oefenen kan tijdens een echte digitale crisis sneller en adequater gehandeld worden. De focus hierbij ligt op het oefenen van informatie-uitwisseling in crisisomstandigheden, het oefenen van de nationale opschalingsstructuur als gevolg van een cybercrisis, en het versterken van de onderlinge samenwerking tussen vitale organisaties en de Rijksoverheid.

ISMS en risicomanagement

Cybersecurityrisico’s zijn voor veel organisaties een toprisico geworden, zo ook voor NS. 100% veilig bestaat niet, maar de risico’s moeten helder zijn en waar ze te hoog zijn moeten ze worden gereduceerd met maatregelen. Dat is ook een vereiste uit de Wbni. NS heeft de manier waarop informatiebeveiliging is georganiseerd vastgelegd in een information security managementsysteem (ISMS). Onderdeel hiervan is het uitvoeren van risicoanalyses, zowel voor IT- als voor OT-systemen. Hierbij wordt mede op basis van de eerdergenoemde normen bekeken wat er moet gebeuren zodat treinen en IT weerbaar zijn en blijven tegen digitale aanvallen.

Cybersecuritymaatregelen voor OT en IT

IT en OT kennen een heel andere karakteristiek als het gaat om hoe beveiliging wordt toegepast. IT verandert continu en apparatuur heeft een korte levensduur van hooguit enkele jaren. Voor OT-omgevingen is het lastiger wijzigingen of updates door te voeren. Allereerst gelden er restricties op het mogen doen van wijzigingen. Wijzigingen in de configuratie van een trein, zoals inbouw van apparatuur, is aan strenge (her)keuringseisen onderworpen. OT heeft ook een sterkere afhankelijkheid van de supply chain vanwege gespecialiseerde toepassingen waarmee gewerkt wordt. Daarnaast geldt dat security by design voor OT nog een grotere uitdaging is dan bij IT.  Het design van IT gaat ongeveer vijf jaar mee, maar in OT makkelijk twintig jaar.

Over die horizon is het moeilijker om alle toekomstige problemen in het design op te lossen, eenvoudigweg omdat nieuwe toepassingen en dreigingen over zo’n lange periode niet overzien kunnen worden. Dit maakt dat nieuwe functies zoals WiFi of een infotainmentsysteem halverwege een treinleven worden ingebouwd. Omdat de IT en het dreigingsbeeld continu veranderen moet ook de beveiliging hierin meegroeien. Hierdoor zien we dat maatregelen die eerst alleen te vinden waren in IT-omgevingen, zoals monitoring op ongebruikelijk of verdacht verkeer, ook steeds meer voor de trein gemeengoed worden. Securitymaatregelen voor OT en IT vragen dus om een specifieke benadering, die elkaar soms overlappen maar elkaar ook kunnen tegenspreken.

Pentesten

Naast de meer analytische benadering van een risicoanalyse wordt ook de cyberweerbaarheid in de praktijk getoetst via pentesten. Hierbij wordt de beveiliging getest door te proberen binnen te dringen, net als een hacker doet. En wederom wordt niet alleen gekeken naar de IT-omgeving, maar juist ook naar de OT-omgevingen: treinen en werkplaatsen bijvoorbeeld.

Kansen en uitdagingen

De sector bevindt zich in een digitale transformatie die nieuwe kansen biedt om de reisbeleving en onderhoudsprocessen van treinen te optimaliseren. Tegelijkertijd brengt de digitalisering nieuwe risico’s met zich mee op het gebied van cybersecurity. Hierbij is de grootste uitdaging een evenwicht te vinden tussen operationele vereisten om bijvoorbeeld de dienstregeling optimaal en veilig uit voeren, concurrentievermogen om de prijzen van treinkaartjes betaalbaar te houden, en maatregelen om cybersecurity aan te sluiten bij de risicobereidheid.

Cybersecurity wordt steeds meer gezien als een van de vele kwaliteits- en veiligheidsaspecten die meegenomen worden in het ontwerp en de levering van producten en diensten

De normen, wettelijke kaders en toegenomen risico’s zorgen ervoor dat cybersecurity steeds meer gezien wordt als een van de vele kwaliteits- en veiligheidsaspecten die meegenomen worden in het ontwerp en de levering van producten en diensten. Een managementsysteem helpt om duidelijk te maken wat er van de organisatie wordt verwacht, hoe dit gerealiseerd wordt en om te controleren of het ook daadwerkelijk, op een beheerste wijze, gebeurt. Samenwerkingsverbanden en sectorale of landelijke crisisoefeningen helpen om de risico’s die buiten de organisatie liggen inzichtelijk en onder controle te krijgen. Hiermee is een cultuurverandering en samenwerking ingezet die nodig is om veilig te kunnen blijven innoveren binnen de spoorsector.

NS is enkele jaren onderweg met de digitale transformatie van haar bedrijfsprocessen, zowel aan IT- als aan OT-zijde. Een belangrijke ontwikkeling waardoor we de uitdagingen van vandaag het hoofd bieden en de uitdagingen van morgen voor zijn. Samen met onze (keten)partners zorgen we dat de nieuwe en grotere (cyber)risico’s die voortkomen uit de transformatie adequaat geadresseerd worden. Een mooie reis die we samen hebben ingezet.

Noten

1. European Union Agency for Cybersecurity.
2. European Rail Traffic Management System.