Cybersecurity bij tunnelbesturing en -bediening

Dat Technolution dat doet is volgens Andre Nijholt, die bij Technolution gaat over tunnelbesturing en -bediening, niet vreemd: “We zijn altijd een IT-club geweest die zich bezighoudt met operationele techniek. Nu we de kennis hebben over high end cybersecurity oplossingen willen we die ook gaan inzetten bij de tunnelbesturing en -bediening.” 

Systeem met kwetsbaarheden

Willem de Boer, Information Security Officer bij Technolution, legt uit hoe het bij veel tunnels momenteel gaat: “In een tunnel zitten allerlei deelleveranciers van IT en OT rond tunnelbesturing en van uiteenlopende zaken als camera’s, slagbomen, ventilatoren en sprinklers. Al die leveranciers hebben een systeem waarbij ze op afstand in de tunnel kunnen komen voor beheer en onderhoud. Dat bewaken en monitoren op afstand is heel belangrijk. Het heeft echter ook een groot nadeel: je zet op cybersecuritygebied de achterdeur open. Bovendien draaien die systemen vaak in meerdere tunnels. Wie één systeem heeft geïnfiltreerd, kan dus vaak in één keer bij meerdere tunnels.”

Voordat De Boer ingaat op de oplossing van Technolution, legt Nijholt kort uit hoe tunnelbediening en -besturing werkt. “Tunnelbediening vindt 24/7 plaats op afstand vanuit een verkeerscentrale. Daarbij wordt een deel van de tunnelbediening – bedoeld voor de monitoring – beschikbaar gesteld aan de verkeerscentrale. Dat deel bestaat vaak uit pakketten op een standaard Windows-platform dat we het liefst niet meer updaten omdat het storingsgevoelig is. Daardoor bevat het systeem echter wel kwetsbaarheden. Het systeem is bovendien weliswaar fysiek afgesloten, maar is via het netwerk toch goed benaderbaar.”

Security by design

Technolution pleit ervoor om tunnelbediening security by design te doen en de juiste beveiliging al in het ontwerp mee te nemen. Nijholt: “Wij hebben daarvoor een Security Enhanced (SE-Linux) besturingssysteem, waarbij beveiliging de standaard is. Dat systeem timmeren we helemaal dicht en vervolgens laten we onze software erop draaien. Op die manier voorkomen we dat iemand de bediening over kan nemen. Het systeem kan steeds vernieuwd worden. Enerzijds door nieuwe functionaliteiten toe te voegen en anderzijds door nieuwe securitypatches aan te brengen. Door dat te doen blijft je kennis van het bedienings- en besturingssysteem ook up-to-date en veroudert niet, zoals nu vaak in traditionele situaties gebeurt.” 

Technolution is niet verantwoordelijk voor de cybersecurity van de leveranciers van bijvoorbeeld camera’s of slagbomen. Toch is dat volgens Nijholt en De Boer minder erg dan het lijkt: “Ons besturingssysteem is namelijk de voorkant naar buiten toe. Alle deelsystemen zitten er achter. Kwaadwillenden zullen dus eerst in ons goed beveiligde systeem moeten komen, voordat ze bij de systemen erachter kunnen.” Inmiddels zijn twee nieuwe grote tunnels voorzien van het systeem van Technolution, de Gaasperdammertunnel bij de A9 en de Blankenburgverbinding bij de A24. Ondertussen richt Technolution zich ook op bestaande tunnels met bedienings- en -besturingssystemen die de komende jaren gerenoveerd worden. 

Sense of urgency

Volgens De Boer bestaat er bij RWS duidelijk een sense of urgency rond de noodzaak van cybersecurity bij tunnelbesturing en -bediening. “Waar het met name aan schort is hoe de markt het oppakt. Er is vaak een kennisachterstand en onzekerheid over de beste aanpak. Bovendien worstelt men met de balans tussen de eisen voor beveiliging en beschikbaarheid omdat een tunnel eigenlijk 24/7 open moet zijn. Wij kunnen helpen om iets aan die kennisachterstand te doen. Geïnteresseerden kunnen daarvoor zeker contact met ons opnemen.” Er is bovendien een stok achter de deur, zegt De Boer, de NIS2-wetgeving. “Die stelt namelijk dat iedereen die zich bezighoudt met kritische infrastructuur meer moet doen aan cybersecurity en cyberresilience. Mobiliteit en dus ook tunnels vallen daar onder.”

Datadiode en VPN

Het brengt De Boer bij de oplossingen die Technolution aanbiedt in verband met tunnelbediening en -besturing: datadiodes en beveiligde VPN-achtige verbindingen. “Die beveiligde verbindingen zorgen ervoor dat alleen mensen op een 'need to be'-basis maken en niet de hele wereld. Daarmee kun je het prima toepassen voor tunnelbeheer op afstand, waarbij je alleen bevoegde leveranciers toegang geeft op de momenten dat ze dat nodig hebben.” Datadiodes versterken de cybersecurity van de tunnel nog verder. De Boer: “Een datadiode laat data maar in één richting door. De andere richting is volledig afgesloten. Bij de tunnels zorgen datadiodes dat data alleen naar buiten kunnen. Je kunt daardoor 24/7 monitoring data ontvangen, terwijl niemand het tunnelsysteem kan infiltreren via die verbinding. De combinatie van beveiligde verbindingen met datadiodes vormt een ijzersterke beveiliging voor tunnelbesturing en -bediening.”