Op het snijvlak van een exponentieel groeiende hoeveelheid data en geavanceerde internettechnologie ontstaan tal van interessante business-mogelijkheden. Tegelijkertijd roept deze hyperconnected wereld, waarin alles met alles verbonden is, allerlei vragen op het gebied van security en risicomanagement op. Vragen die voor het eerst ook de operationele technologie (OT) gaan raken.

Hoe gaan bedrijven en organisaties hiermee om? Tijdens een door CIO Magazine en Motiv georganiseerde interactieve rondetafelsessie in de Villa van ICT Media te Vught, vertelde CISO Lies Alderlieste van de Nederlandse Spoorwegen over de stappen die het spoorbedrijf zet om veilig te kunnen werken in deze nieuwe wereld.

Klagen over vertragingen op het spoor is van oudsher een Nederlandse volkssport. Toch presteert NS de laatste jaren eigenlijk best goed, schetst Lies Alderlieste, als chief information security officer verantwoordelijk voor cybersecurity bij het spoorbedrijf. “Het is duidelijk wat onze klanten willen: een aangename treinreis in een schone, comfortabele trein, met voldoende kans op een zitplaats, en met zo min mogelijk verstoringen.”

“De laatste vier jaar zijn onze prestaties wat dat betreft aanzienlijk verbeterd: de treinen rijden beter op tijd, de kans op een zitplek is significant toegenomen, en we hebben flink geïnvesteerd in hoogfrequent rijden. Ook de treinstellen en de stations – die erg bepalend zijn voor de klantbeleving – zijn vernieuwd.”

Grenzen in zicht

Inmiddels komen de grenzen van wat er op het drukste spoor ter wereld aan fysiek nog mogelijk is wel in zicht, erkent Alderlieste. “Nu het aantal treinreizigers de komende jaren flink verder groeit, moeten we met slimme, digitale toepassingen die complexe combinatie van meer reizigers en een beperkte extra capaciteit het hoofd bieden.”

Alderlieste heeft het dan bijvoorbeeld over sensoren die het gewicht van een wagon monitoren, en op basis van die gegevens iets zeggen over de bezetting en dus de zitplaatskans in het betreffende rijtuig. Of over wearables die conducteurs via tril- en andere signalen tot op de seconde nauwkeurig aangeven wanneer de trein dient te vertrekken. “Allemaal innovaties die ervoor zorgen dat er minder treinen uitvallen en dat ze beter op tijd rijden. En dat is weer enorm belangrijk voor de spoorcapaciteit en de reiservaring van onze klanten.”

Consolidatie

Al met al gaat het ondertussen wel om enorme hoeveelheden data, schetst Alderlieste. “Vrijwel alles wat we doen wordt tegenwoordig ondersteund door IT. In die zin wordt de trein steeds meer een datacenter op wielen, dat ook nog eens publiek toegankelijk is – om het extra complex te maken.

Enkele jaren geleden is NS daarom begonnen met een grootschalige datacenter-consolidatie. Daarbij is een veelvoud aan rekencentra teruggebracht naar drie à vier datacenters. Een enorme prestatie die ons in staat stelt om de dagelijkse operatie beter te ondersteunen. Daarnaast is het de randvoorwaarde om zinvol te kunnen beveiligen. En het geeft een betere uitgangspositie voor innovatie.”

“De levenscycli van IT en van het staal van de trein zijn lastig verenigbaar”

Bijkomende uitdaging was de ‘verbouwing met de winkel open’, vervolgt Alderlieste. “Alle systemen die NS nodig heeft om personeel, materieel en onderhoud in te plannen moesten onverminderd beschikbaar zijn. Nu we dat onder controle hebben, kunnen we onze aandacht richten op wendbaarheid, goede dataverbindingen en security.”

Gezamenlijk vocabulaire

Het brengt Alderlieste op de traditionele kloof die er gaapt tussen IT- en OT-teams. “De afgelopen tien jaar is er steeds meer IT geïntroduceerd binnen de organisatie, zowel in de beheerprocessen als in de treinstellen. Veel daarvan gebeurde buiten het zicht van de klassieke enterprise-IT. Het inzicht ontstaat dat ook ons primaire proces vooral digitaal wordt. Een enorm ingewikkeld speelveld waar steeds meer beweging in komt.”

Waar IT volgens Alderlieste beweeglijk is als een aap, voortdurend op zoek naar verandering en vernieuwing, is OT volgens haar vooral een olifant die gebaat is bij rust en liefst weinig verandert.

“Kijk, het asset management-model waaraan NS zich houdt, voldoet aan een volwassen ISO-norm. Het asset management is in die zin uitermate volwassen. Trein-assets hebben een lange levensduur; daar kun je niet zomaar endpoint-protection op toepassen. Wat beter werkt, zo heb ik gemerkt, is om enige nederigheid te betrachten en vooral te vragen waar je als IT het primaire proces kunt ondersteunen. Van daaruit kom je langzaam maar zeker vanzelf tot een gezamenlijk vocabulaire.”

Eigenaarschap

Een van de rondetafeldeelnemers (actief in de energiesector) vertelt hoe de kloof tussen OT en IT binnen zijn organisatie vooral werd gedicht door elkaar op te zoeken, en IT en de asset owner gezamenlijk de kansen en risico’s te laten bespreken. Een bedrijf uit de drinkwatersector voegde IT en OT zelfs helemaal samen en wist zo te komen tot tastbare innovatie, zoals het in real time doormeten van het leidingennet op afwijkingen. En een technologiefabrikant werd pas wakkergeschud nadat een security-incident in een van de fabrieken de kwartaalcijfers van het bedrijf beïnvloedde; toen kreeg cybersecurity – eerst nog vooral gezien als kostenpost – wél de aandacht die het verdient.

“Vaak moet je eerst ongeloof en scepsis over cyberrisico’s overwinnen”, constateert ook Alderlieste. “Zo duurde het even voordat binnen NS de ogen opengingen voor het cyberrisico. Uiteindelijk gaat het erom dat iemand eigenaarschap toont en het gewoon gaat doen.”

Risicomanagement

Op het gebied van risicomanagement concurreert IT sowieso met andere domeinen binnen het bedrijf, schetst Alderlieste. “Waar ik kwam praten over de risico’s van een geïnfecteerd netwerk, hadden de materieelmanagers het over fysieke risico’s zoals bodemplaat-problemen van een trein. Tegen zo’n tastbaar en acuut veiligheidsrisico valt natuurlijk niet op te concurreren.”

De klassieke manier om risico’s te kwantificeren – kans maal impact – is vaak lastig bij cyberincidenten, concludeert een van de aanwezigen. Belangrijk is het vooral om aan te haken bij de kpi’s van het bedrijf, stelt Alderlieste. “Maak zoveel mogelijk inzichtelijk hoe cyberrisico’s het primaire proces kunnen raken, en wat dat doet met je reputatie. Een klassieke pentest – of een daadwerkelijk incident uiteraard – vormt een prima manier om dat te doen.”

“Je moet als bedrijf klaar zijn voor de great unknown”

Unknown unknowns

Bijkomende complicatie volgens een van de sessiedeelnemers: het feit dat in deze snel veranderende wereld ook de risico’s snel verschuiven. Dat leidt tot tal van unknown unknowns, erkent ook Alderlieste. “Neem het spionagerisico: dat was eerst ver van mijn bed. Maar een land als China richt zijn pijlen steeds vaker op Europa. Je moet als bedrijf klaar zijn voor de great unknown. Probeer de cyberdreiging te objectiveren, maak werk van detectie, en neem business owners en proceseigenaren daarbij vooral zoveel mogelijk mee. Dat vergroot de kans aanzienlijk dat ze er ook daadwerkelijk mee aan de slag gaan.”

Fotografie Dennis Khalil

Arnoud van Gemeren is hoofdredacteur van CIO Magazine, Boardroom IT en voormalig hoofdredacteur van TITM (Tijdschrift IT Management) en Outsource Magazine. Hij heeft een lange staat van dienst in de Nederlandse IT-mediawereld. Na een start bij een redactiebureau, was hij als hoofdredacteur van 1996 tot 2001 bij uitgeverij Array Publications verantwoordelijk voor diverse IT-vakbladen. In 2001 sloot hij zich aan bij een adviesbureau op het gebied van marketingcommunicatie, Beatrijs Media Group. Vanuit dit bureau bleef hij als hoofdredacteur actief, onder meer voor Sdu Uitgevers.

REAGEREN

Plaats je reactie
Je naam