5 basisvragen over het hacken van het spoor

171
Frequentieomvormers Prorail trein hacken van het spoor

De technologie die onze maatschappij steeds slimmer maakt, maakt het tegelijk ook kwetsbaar. Kunnen we die digitale toekomst waar we zo hard naar toe werken nog wel vertrouwen? Met de digitalisering van ziekenhuizen, elektriciteitsnetwerken, bruggen, fabrieken en transport brengt dit ook flinke risico’s met zich mee voor onze samenleving.

In deze blog staan we stil bij de digitale veiligheid van het spoor. Middels vijf basisvragen vertelt Roel van Rijsewijk, directeur cyber defense bij Thales of we nog wel met een veilig gevoel de trein in kunnen stappen.

1. Hoe digitaal is het spoor?

“Op het spoor zijn veel verschillende digitale systemen die ervoor zorgen dat onze treinen op tijd rijden of dat de borden op de stations de juiste informatie geven. De laatste tijd is er veel te doen om ERTMS, ofwel het European Rail Traffic Management Systeem. Deze internationale standaard voor treinbeveiliging is er om het spoor veiliger te maken en maakt het onder andere mogelijk dat er meerdere treinen tegelijkertijd in een baanvak kunnen rijden.”

2.Kan het spoor gehackt worden?

“Mede door de invoer van ERMTS gaan we van een analoog spoor naar een digitaal spoor. Simpelweg kan je stellen dat alles wat gedigitaliseerd wordt, een bredere exposure krijgt en daarmee dus potentieel doelwit is. Het spoor is op meerdere vlakken kwetsbaar. Zo kunnen hackers met ransomware-aanvallen geld aftroggelen bij spoorbeheerders, maar is het ook mogelijk dat treinen plotseling worden geremd of dat er bijvoorbeeld foutieve informatie verschijnt op de borden. Natuurlijk is de impact op de samenleving niet bij alle vormen even groot, maar onwenselijk is het absoluut.”

3. Wie zouden het spoor kunnen hacken? En waarom?

“Er zijn verschillende redenen om het spoor te hacken. Losgeld is in het algemeen vaak een drijfveer. Hoewel we het nog niet hebben gezien, zou een criminele bende inderdaad losgeld aan een ProRail of GVB kunnen vragen in ruil voor het reactiveren van systemen. Op een hoger niveau zou ook het veroorzaken van chaos of het verstoren van de maatschappij een (terroristisch) motief kunnen zijn. Maar we moeten ook niet de jonge onbezonnen hacker(tjes) vergeten. Zij zouden het natuurlijk super “stoer” vinden als er ineens een gekke tekst op de informatieborden verschijnt.”

4. Hoe makkelijk is het?

“Zoals al eerder gesteld, als er software is, is er ook een kwetsbaarheid. Soms is die makkelijk te vinden en soms lastiger. Feit blijft dat het kat en muisspel tussen beveiliging en hackers vaak nog gewonnen wordt door de hackers. Organisaties zijn veelal bezig met het tijdig dichten van een lek, zodat de schade beperkt blijft. In Polen was onlangs een voorbeeld in het nieuws te lezen dat jonge hackers van rond de 13 jaar met een tv-afstandsbediening het spoor hebben weten te hacken. Dat is eigenlijk best wel knap, maar geeft ook aan hoe het gesteld is met de beveiliging.”

5. Wat is er tegen te doen?

“Wat we kunnen vaststellen is dat software altijd kwetsbaarheden bevat. Veel organisaties werken daarom met een responsible disclosure beleid. Als hackers een kwetsbaarheid vinden in de software worden zij daarvoor beloond. Ook laten organisaties hun software helemaal “leeg pentesten”. Het allerliefst zou je hackers eigenlijk een dag willen uitnodigen en alles laten platleggen wat er maar plat te leggen valt. Maar om begrijpelijke redenen is dat niet mogelijk binnen de infrasector. Zo goed als mogelijk beveiligen en zo scherp als mogelijk monitoren. Dat is ook voor deze sector het devies.”

Meer weten over de digitale veiligheid van het spoor? Beluister dan de Podcast ‘In Cyber We Trust’. In aflevering 2 gaat Roel van Rijsewijk cyberdirecteur bij Thales in gesprek met getalenteerde hacker Rickey Gevers en de CISO van het GVB, Daniel Wunderink.

Lees ook:

close

Digitale Nieuwsbrief

SCHRIJF JE IN VOOR ONZE WEKELIJKSE NIEUWSBRIEF EN BLIJF OP DE HOOGTE VAN ALLE INDUSTRIËLE EN TECHNISCHE ONTWIKKELINGEN!

Door jouw inschrijving voor de nieuwsbrief, ga je akkoord met onze privacy voorwaarden.