Bestuurlijke kijk op cybersecurity bij NS

Redactie

5 april 2022

Cyberdreigingen kunnen zich bij NS op diverse plaatsen voordoen: treinen, stations, werkplaatsen, datacenters, websites, mobiele apps en in de keten. Het draait volgens CISO Dimitri van Zantvliet vooral om het in kaart brengen van de risico’s en de reactie op het dreigingslandschap. Hij vertelt erover tijdens een excluisive rondetafelbijeenkomst op 19 mei in Amsterdam.

Het analyseren van deze risico’s gebeurt niet eenmalig maar periodiek op structurele wijze en desgewenst tussentijds bij acute dreigingen. Daarna worden deze middels een overkoepelende NS cybersecurity-roadmap gemitigeerd. De voortgang hierop wordt periodiek gerapporteerd aan de Raad van Bestuur.

Van Zantvliet: “Als aanbieder van een voor het land essentiële dienst maakt NS op bestuursniveau voortdurend de afweging welke risico’s ze wil vermijden, en waar een zekere ‘risk appetite’ voor NS opportuun is. Cybersecurity is een van de verschillende risicogebieden en de jongste loot aan deze stam.”

Kans X impact

Cybersecurity is bij NS een onderwerp dat risk-based wordt geadresseerd. Risico’s zoals ransomware, kwetsbare applicaties, insider threats enzovoorts worden altijd vertaald naar de kans X impact op de dienstverlening en maatschappelijke rol. Ook wordt vanuit die invalshoek gekeken naar eventuele zwakke schakels in de supply chain en bij partners – bijvoorbeeld in het geval van digitale assets in de cloud of in het geval van ketenmobiliteit.

Vervolgens wordt de vertaling gemaakt naar specifieke security-oplossingen voor systemen, infrastructuur, gekoppelde devices, laptops en andere end-points. Uiteraard op basis van alle gangbare en relevante security-frameworks.

Vragen en discussie

De beveiliging van al deze assets is bij NS dus onderdeel van een bredere, vanuit het bestuur gedragen visie op cybersecurity. Eventuele bottom-up initiatieven en oplossingen dienen daarmee volgens CISO Dimitri van Zantvliet in lijn te zijn. Tijdens de exclusieve rondetafelbijeenkomst op 19 mei zal hij hierover vertellen. Uiteraard is er ruimte voor vragen en discussie. Deze sessie wordt mede gehost door Tanium.

 

Gerelateerde artikelen

NIST standaardiseert kwantumveilige cryptografiemethoden

NIST standaardiseert kwantumveilige cryptografiemethoden

Deze maand heeft het NIST drie kwantumveilige cryptografiemethoden gestandaardiseerd voor wereldwijd gebruik. Kwantumveilige cryptografie, ook wel post-quantum cryptografie (PQC) genoemd, is nodig in een toekomst waarin kwantumcomputing zodanig toegankelijk is dat deze door kwaadwillenden gebruikt kan worden om gangbare versleuteling te ontcijferen.

Rapport: kwart cyberaanvallen gericht op OT-systemen

Rapport: kwart cyberaanvallen gericht op OT-systemen

Ofschoon bedrijven met OT vorderingen maken op het gebied van cybervolwassenheid, hebben ze met een snel groeiende hoeveelheid aanvallen te maken. Bijna een kwart van alle cyberaanvallen is nu op OT-ststemen gericht.

De werkelijke kosten van downtime

De werkelijke kosten van downtime

Wat gebeurt er als een grote organisatie te maken krijgt met DDoS-aanvallen, softwarestoringen of zelfs een bedrijfsbrede hack? Hoewel de directe kosten van ongeplande downtime gemakkelijk zichtbaar zijn, moeten organisaties de indirecte of verborgen kosten van digitale storingen niet onderschatten.