Podcast: hoe digitalisering ook het OV kwetsbaarder maakt
De digitalisering van het spoor maakt openbaar vervoer efficiënter en veiliger, maar ook kwetsbaar voor cyberaanvallen. “Ooit kan het voorkomen dat een ander land er een belang bij heeft het spoor te verstoren.”
Wees dus niet naïef, is de waarschuwing van Roel van Rijsewijk, directeur cyberveiligheid bij Thales. In de podcast ‘In cyber we trust’ gaat hij met verschillende experts in gesprek over de gevolgen van het digitaliseren van het internationale spoor, zoals onder meer gebeurt met de uitrol het Europese beveiligingssysteem ERTMS.
Maatschappij verstoren
Over dit systeem sprak Van Rijsewijk met met Ronald Hel, Partner Cyber Security bij KPMG. Volgens hem is de kans aanwezig dat er nog niet geïdentificeerde kwetsbaarheden zitten in ERTMS, zoals dat eigenlijk met alle producten het geval is. “Alles wat je digitaliseert of verandert maakt dat het waarschijnlijk een bredere exposure heeft. Dus dan kan het aangevallen worden.”
Dreigingen zullen waarschijnlijk toenemen als de systemen – nu nog vrij lokaal uitgerold – aan elkaar worden gekoppeld en het dus meer Europees gericht wordt, denkt Hel. Een land dat Nederland pijn wil doen, zou dan weleens interesse kunnen krijgen om het spoor plat te leggen en zo de maatschappij te verstoren. Maar gevaar kan ook komen van criminelen of hackers die dat gewoon voor hun plezier doen en niet stilstaan bij de gevolgen.
10 tegen 12.000
In de podcast noemt ook Daniel Wunderink, CISO bij het GVB, het realistisch dat een OV-bedrijf met een vorm van ransomware wordt ‘gekaapt’ door criminele bendes. “Wil je dat de metro vandaag nog rijdt? Dan moet je betalen.” Om maar te zwijgen over het gevaar van nationale staten. “Men denkt dat het Chinese cyberleger met gemak een divisie van 12.000 hackers kan inzetten op één tak. En dan zit ik dat met tien man te verdedigen.”
Het gevaar wordt niet alleen groter op het spoor, maar ook bij busvloten die steeds digitaler worden en informatie uitwisselen door de transitie naar elektrisch vervoer. Het liefst zou Wunderink een hackaton organiseren om kwetsbaarheden van een nieuw type bus of tram bloot te laten leggen door ethische hackers. Dat is nu onder meer om financiële redenen niet realistisch, maar wordt volgens hem in de toekomst wel onvermijdelijk.
Hackers aanstellen
Van Rijsewijk van Thales denkt dat er verder winst te behalen valt in het aanstellen van ethische hackers als Information Security Officer (ISO) binnen een bedrijf. “Als je verantwoordelijk bent voor de verdediging, is het heel handig als je snapt hoe een aanvaller werkt. Het is ook een type dat heel erg nadenkt over allerlei ethische vraagstukken rond technologie zoals het gebruik van reizigersinformatie.”
De podcast is onder meer te beluisteren op Spotify.
Digitalisering is NIET het probleem. Wat wel het probleem is dat kritische systemen aan het open internet worden gehangen, waar iedere hacker zijn ding kan doen. Het is van de zotte dat kerncentrales bestuurd kunnen worden via het internet, omdat de operators lekker thuis willen blijven.
Kritische systemen moeten in een gesloten systeem blijven: besturing, veiligheidssystemen, cctv gewoon hardware-matig gescheiden houden. Dit kost natuurlijk meer, maar is gewoon een vereiste voor de veiligheid.