Sfeerverslag: Security Academy Unlocked – OT-security en NIS 2 bij HTM Personenvervoer 
Op donderdagavond 14 november kwam een diverse groep professionals samen bij HTM Personenvervoer in Den Haag voor een inspirerende editie van Security Academy Unlocked. Het thema van de avond – de groeiende urgentie van operationele technologie (OT)-security en de impact van de nieuwe Europese NIS 2-richtlijn – stond centraal. De ‘rauwe’ bijeenkomst in de bedrijfskantine van HTM begon op informele wijze: de aanwezigen werden ontvangen met pizza en frisdrank, wat de gemoedelijke toon zette voor een avond met discussies en inzichten.
Na het welkom Jasper Lazet van Security Academy trapte Steven Debets, Chief Information Security Officer (CISO) bij HTM, de inhoudelijke sessie af. In zijn presentatie ging hij in op de belangrijkste aspecten van de NIS 2-richtlijn en de impact daarvan op de infrastructuur en beleidsvorming binnen HTM. Hij benadrukte dat, hoewel HTM als operationele organisatie minder procesgedreven is, de introductie van NIS 2 vraagt om een meer gestructureerde aanpak. HTM is sinds begin dit jaar ISO 27001-gecertificeerd, een belangrijke mijlpaal in hun veiligheidsbeleid, maar volgens Debets is er meer nodig om de veerkracht en weerbaarheid van de digitale infrastructuur te versterken. Een van de sprekende voorbeelden was de aandacht voor het versterken van de beveiliging in het kader van de aankomende NAVO-top in 2025, waarin HTM als belangrijke entiteit een cruciale rol speelt in de openbare infrastructuur van Den Haag.
Debets onderstreepte het belang van een sterke basis in informatiebeveiliging en benadrukte dat het meer is dan alleen technische maatregelen. Zo werd als voorbeeld de invoering van multi-factor authenticatie (MFA) voor alle medewerkers besproken, inclusief bijvoorbeeld chauffeurs die maar sporadisch inloggen voor hun werkrooster, maar ook daarmee kwetsbaar zijn om gecompromitteerd te worden. Deze maatregelen laten zien dat het ook om de ‘zachte’ en organisatorische componenten gaat: het verkrijgen van medewerking en draagvlak binnen de gehele organisatie.
De takeaway van Steven ten aanzien van alles wat je kunt doen op het gebied van informatiebeveiliging in relatie tot risicoanalyses was helder: “Doe de BASIS van informatiebeveiliging EXCELLENT.”
In het tweede deel van de avond nam David van Gool van Secura het stokje over en gaf hij de aanwezigen een inkijk in de complexiteit van OT-security binnen de openbaarvervoersector. Aan de hand van concrete voorbeelden uit de rail- en OV-sector, waaronder een incident waarbij treinen in Polen via een simpele ‘hack’ plotseling een noodbevel kregen om te stoppen en niet meer in beweging konden komen, illustreerde hij de risico’s van gekoppelde systemen. Door de vierde industriële revolutie (Industry 4.0) zijn voorheen geïsoleerde OT-systemen, zoals ICS en PLC’s, steeds vaker verbonden met cloud- en IT-systemen. Dit verhoogt de kwetsbaarheid van deze systemen, en de uitdaging om beveiligingsmaatregelen voor IT en OT op elkaar af te stemmen.
David schetste de problemen van IT- en OT-integratie en de verschillen in lifecycle management, en wees op de noodzaak van een andere aanpak voor security operations centers (SOC) en security information event management (SIEM) bij OT-systemen. Daarbij werd ook de problematiek van verouderde systemen besproken, die vaak nog toegankelijk zijn voor derden via externe platforms. In zijn uitleg maakte hij gebruik van voorbeelden van kwetsbaarheden in openbare OT-systemen die via platforms als Shodan of met Google Dorking op te sporen zijn. Zijn verhaal benadrukte de noodzaak van proactieve beveiliging voor OT-omgevingen en zette aan tot nadenken over de stappen die organisaties zelf kunnen nemen.
Na de afsluiting was er volop gelegenheid om na te praten met de sprekers en mede vakgenoten, waarbij kennisdeling centraal stond. De bijeenkomst was niet alleen een waardevolle bron van kennis, maar gaf de aanwezigen ook inspiratie en handvatten om de uitdagingen van OT-security en de naleving van de NIS 2-richtlijn aan te pakken.
Veel dank aan HTM Personenvervoer voor hun gastvrijheid en aan alle betrokkenen voor hun inzet bij deze geslaagde Unlocked-editie.
