AI: Geen nieuw fenomeen, wel een Game Changer

AI: Een 'Game Changer' voor Cybersecurity

Van Zantvliet, met meer dan 34 jaar ervaring in de IT-sector, ziet AI als een absolute 'game changer', vergelijkbaar met de introductie van de mobiele telefoon, maar dan mogelijk met een factor 10 of zelfs 100 meer impact. Hij benadrukt dat AI alomtegenwoordig is, zowel aan de verdedigende als aan de aanvallende kant van cybersecurity, en inmiddels ook ingebed is in governance, risk en compliance (GRC).

De NS, als vitale infrastructuur, is zich terdege bewust van de toenemende dreiging vanuit de geopolitiek. Van Zantvliet verwijst naar rapporten van de AIVD en MIVD die waarschuwen voor een verscherpte focus op vitale infrastructuur in het Westen. "We worden als land extra getarget om ons te verstoren, zeker nu met de komende NAVO Top," aldus Van Zantvliet, die de huidige situatie omschrijft als een 'hybride grijs gebied' tussen oorlog en vrede. Deze dreiging, in combinatie met een groeiend aanvalsoppervlak door digitalisering en de aanwezigheid van legacy-systemen, creëert een complexe situatie.

De NS en de ervaring met AI

De Cyber Director van de NS corrigeert de perceptie dat AI nieuw is. Hij wijst op een expertsysteem dat de NS al in 1983 liet bouwen voor het berekenen van ticketprijzen voor goederenvervoer – een van de vroegste toepassingen van AI in hun operatie, al in 1986 operationeel. Sindsdien is AI op diverse manieren ingezet, van neurale netwerken, machine learning, deep learning, anomaly detectie tot voorspellende analyse voor onderhoud en zelfs in de bekende zitplaatszoeker.

Een uniek initiatief van de NS is de implementatie van een next-gen firewall met AI op de trein zelf, een primeur in de wereld. Deze firewall, draaiend op de 'edge' in een rijdend datacenter, zorgt voor anomaliedetectie en preventie, en is gekoppeld aan het Security Operations Center (SOC) van de NS.

Generatieve AI en de toekomst van werk

De NS experimenteert volop met generatieve AI (GenAI). Van Zantvliet noemt voorbeelden zoals het ondersteunen van veiligheid- en servicemedewerkers bij het uitschrijven van een bon (bijvoorbeeld roken op perrons) en het assisteren van monteurs met een multimodale AItool voor het identificeren van afwijkingen in onderdelen. Een opvallend intern project is de ontwikkeling van een eigen 'chat NS' omgeving, waarin medewerkers vragen kunnen stellen over het cybersecuritybeleid van de NS, waarbij de AI door honderden beleidsdocumenten zoekt. Privacy en databescherming stonden vanaf het begin centraal bij de ontwikkeling van het platform. De NS koos voor een pragmatische aanpak en focuste op wat goed genoeg werkt voor de meeste toepassingen.

De opkomst van 'agentic AI' noemt Van Zantvliet de 'next hype'. Hij voorziet een enorme efficiëntieslag in de reguliere en repeterende werkzaamheden, maar ook disruptie op de brede arbeidsmarkt. Met een knipoog naar de bewering van Dario Amadei , de CEO van Anthropic, dat de helft van de 'white collar' medewerkers binnen vijf jaar niet meer nodig zal zijn, stelt hij de vraag hoe de jongere generatie zonder 'vallen en opstaan' dan praktijkervaring zal opdoen?

Omgaan met AI-risico's: het AI-managementsysteem

Om de inherente risico's van AI te adresseren, hanteert de NS een AI Managementsysteem (AIMS), gebaseerd op de ISO 42001-standaard. Dit systeem lijkt in zijn 'high level structure' op ISO 27001, een bekende standaard in cybersecurity. De implementatie van de nieuwe Europese AI Act heeft dit proces aanzienlijk versneld.

De NS heeft een specifieke Data Usage Board AI (DUBAI) opgezet, waar vooraf risicoinschattingen worden gemaakt voor nieuwe AI-initiatieven. Hierbij wordt getoetst op elf domeinen, waaronder privacy, duurzaamheid, transparantie en cybersecurity. De eerste inventarisatie van verboden algoritmes is afgerond, en momenteel wordt gewerkt aan algoritmes met een hoog risico. De afdeling cybersecurity van de NS is verantwoordelijk voor AI-governance, risk en compliance.

Samenwerking en kennisdeling cruciaal

Van Zantvliet benadrukt het tekort aan securityprofessionals, een uitdaging die door de NIS2richtlijn verder zal toenemen. Bij de NS is de afgelopen jaren echter veel geïnvesteerd in het werven van nieuwe medewerkers en het opbouwen van capabilities.

Kennisdeling en samenwerking zijn essentieel. Binnen de spoorwegsector is er een eigen ISAC (Information Sharing and Analysis Center) waar incidenten en 'lessons learned' worden gedeeld. Deze samenwerking strekt zich ook uit tot Europees niveau en diverse andere verbanden. De ketenpartners, waaronder leveranciers, zijn ook een belangrijk aandachtspunt, zeker na het datalek bij de NS waar de focus op 'supply chain risk management' in cybersecurity is versterkt.

Dimitri van Zantvliet zal op het aanstaande Dutch IT Security Event een presentatie geven, waarin hij dieper ingaat op deze onderwerpen en zijn visie op de toekomst van AI en cybersecurity bij de NS deelt met het publiek van IT-beslissers, dienstverleners en leveranciers.

Schrijf u nu in voor de Dutch IT Security Day

De presentatie van Dimitri van Zantvliet belooft een essentiële sessie te worden voor IT-leiders en channel partners die willen begrijpen hoe zij hun organisaties kunnen wapenen tegen de steeds complexere cyberdreigingen van vandaag en morgen. Mis het niet op Dutch IT Security Day 2025.

Schrijf u in via het online aanmeldformulier.