Van AI-firewalls tot ethische hackers: NS en Alstom over cyberbeveiliging

Digitale hulpmiddelen zijn overal in het ecosysteem van de spoorwegen, van het spoor tot de treinen, en hoe meer digitaal, hoe groter het risico dat externe aanvallen de dienstverlening in gevaar brengen. “Totale bescherming is onmogelijk”, zei Eddy Thésée, vice president Digital & Cyber Platform van Alstom, op RailTech Europe 2026, waar de Nederlandse Spoorwegen (NS) en Alstom dit steeds belangrijker wordende onderwerp bespraken.

Cybersecurity is een belangrijk aandachtspunt voor de Nederlandse Spoorwegen (NS). Met een investering van ongeveer € 500 miljoen in IT bestaat het cyberbeveiligingsteam momenteel uit 140 mensen, zeven keer meer dan in 2021. Het personeelsbestand omvat “white hat” hackers: “We hebben een Red Team dat aan social engineering, pentesting [geautoriseerde gesimuleerde cyberaanvallen] en ethisch hacken doet. Zij behoren tot de besten van Nederland. Je ziet ze zelfs in het weekend voor de lol de politie of de overheid hacken,” zegt Dimitri van Zantvliet, NS Cybersecurity Director en Chief Information Security Officer.

Europese autonomie

Ondanks het optimisme gaat de NS Cybersecurity-expert ervan uit dat Europese volledige strategische autonomie op dit gebied onmogelijk is: “Zelfs een Europese cloud draait op hardware van Amerikaanse makelij en Israëlische cybersecuritytools. Je zult nooit 100% soeverein zijn.” Ontwikkeling binnen de regio is een alternatief, door te investeren in het Europese startup-ecosysteem, “om onze eigen pareltjes [AI-experts op maat] in de markt te bouwen”. AI moet echter worden gebruikt als een “intelligentie-assistent”, met een “human in the loop”, vooral om veiligheidsredenen.

De Nederlandse Spoorwegen gebruiken AI al sinds 1986. Alles begon met kennissystemen om transportkosten te berekenen. “Tegenwoordig gebruiken we deep learning en neurale netwerken om passagiersaantallen en beschikbaarheid van zitplaatsen te voorspellen en voor voorspellend onderhoud aan treindeuren”, beschrijft Van Zantvliet. Zijn team ontwikkelde een “next-generation firewall voor de trein die AI gebruikt voor anomaliedetectie op de IP-laag”.

Op dit gebied zijn de voorbeelden van staatsspoorwegen in Spanje en Duitsland het vermelden waard. Renfe heeft zijn eigen innovatieprogramma, TrenLab genaamd, dat versnellingsprogramma’s voor startups bevordert en investeert in proefprojecten die in die omgeving zijn ontwikkeld. Deutsche Bahn maakt contact met startups via zijn mindbox-programma, waarbij regelmatig oproepen worden gedaan om oplossingen te ontwikkelen voor infrastructuurbeheer en regionale verkeersinnovaties.

Groeiende bedreiging

Ondanks hun lange levensduur worden treinen steeds moderner en digitaler, waardoor ze steeds geavanceerdere bescherming nodig hebben tegen mogelijke aanvallen. “Soms zijn de heel oude treinen het veiligst omdat ze minder elektronica hebben. We voeren echter risicobeoordelingen en pentesting uit op de hele vloot om risico’s te identificeren”, vertelt Joseph Mager, manager Cyber Governance bij het NS-directoraat Cybersecurity. Afhankelijk van de resultaten “bouwen we dan beveiliging in de vloot in (zelfs als de apparatuur oud is) met behulp van segmentatie, zodat een aanval zich niet over het hele landschap kan verspreiden”, voegt Mager toe.

De cyberdreiging neemt toe omdat er meer digitale systemen zijn en het landschap van aanvallers groter wordt, aldus Mager. “De verbindingen zijn inderdaad plaatsen waar je goed moet opletten wat betreft verantwoordelijkheden en mogelijke interfacefouten. Gemeenschappelijke beveiligingsarchitecturen zullen helpen, maar het knelpunt is dat het tijd kost om te implementeren,” erkende hij.

Onderhoud op afstand

Een cyberaanval is een zekerheid, en dat vereist extra competenties van spoorwegprofessionals, waaronder degenen die voor fabrikanten van rollend materieel werken. “Totale bescherming is onmogelijk”, zegt Eddy Thésée, vicepresident Digital & Cyber Platform van Alstom. “Iemand met genoeg geld en motivatie zal er uiteindelijk doorheen komen. De sleutel tot succes is weten hoe opnieuw op te starten en te blijven werken onder moeilijke omstandigheden.”

Technologie kan ook meer onderhoud op afstand mogelijk maken, bijvoorbeeld een trein ’s ochtends voorbereiden zonder iemand naar het spoor te sturen. Dit is gunstig voor treinoperators (en passagiers), omdat het de periodes van gepland onderhoud verkort en de kans op onvoorspelbare storingen verkleint. Alstom wil “treinen verbinden met AI en monitoring om hun levensduur te verlengen”. Deze implementatie is optioneel en “alleen als er een echte business case voor is”, verduidelijkt Eddy Thésée.

Gedeelde informatie

Om een cyberaanval op de spoorwegen te voorkomen, is samenwerking tussen verschillende belanghebbenden van fundamenteel belang. Er ontbreken echter nog enkele punten. “Tegen het einde van dit jaar, medio 2026, zouden we de eerste gemeenschappelijke cyberbeveiligingsnorm voor spoorwegen moeten hebben om een gedeelde taal voor de sector vast te stellen”, zegt Eddy Thésée. “We kunnen ons niet tegen elk scenario verdedigen, dus richten we ons op de meest redelijke scenario’s op basis van de motivatie en middelen van de aanvaller,” legde de cyberexpert van Alstom uit.

Joseph Mager van NS benadrukte de “echte betrokkenheid van exploitanten en infrastructuurbeheerders om te investeren in beveiliging”. Om elkaar te informeren en “snel te handelen wanneer zich een crisis voordoet”, neemt NS deel aan het Information Sharing and Analysis Centre, samen met de Nederlandse spoorinfrastructuurbeheerder ProRail.

Ook al ontwikkelt software zich voortdurend, de spoorweghardware (infrastructuur en rollend materieel) blijft heel lang bestaan. “Treinen zien er aan de buitenkant misschien hetzelfde uit, maar ze zijn enorm veranderd met Wi-Fi, digitale tweelingen en nieuwe sensoren. De spoorwegsector beweegt met het tempo van de industrie mee omdat onze producten voor tientallen jaren worden gebouwd – ontworpen voor vijf jaar, ingezet voor tien jaar en bediend voor twintig jaar,” zei de vertegenwoordiger van Alstom.

Hij benadrukte dat cyberbeveiliging, in vergelijking met een aantal jaren geleden, vaker een kernelement is aan het begin van nieuwe projecten en niet iets dat er aan het eind bij komt. “Met een collega werk ik aan een project en de eerste persoon die we aannemen is een cyberexpert. Dat gebeurde 5 jaar geleden nog niet. Dit is de manier waarop we veranderen in de industrie, zodat cyber niet de laatste laag aan het einde is.”

Lees meer:

• LNER’s cyberaanval is een waarschuwingsschot voor het Britse spoornetwerk – dus wie is de volgende?
• Interrail lijdt onder datalek: contactgegevens en paspoorten mogelijk betrokken