Dimitri van Zantvliet: “We dreigen de boot te missen”

Dimitri van Zantvliet, directeur Cyber Security bij de Nederlandse Spoorwegen, heeft een duidelijke mening over de innovatiekracht binnen de Nederlandse cybersecuritysector: we dreigen de boot te missen. Dat terwijl innovatie hard nodig is, want volgens hem zorgt dit ervoor dat de doelstellingen van een organisatie of de maatschappij beter worden. Maar hoe bereik je het gewenste niveau van innovatie? Dat hangt onder andere samen met de juiste mensen: “Het opleiden van personeel levert een grote bijdrage aan het verbeteren van de cybersecurity. Zo is de securityafdeling van de NS in twee jaar vervijfvoudigd. Onze strategie? Op een innovatieve manier kijken naar het personeelsbestand.”

De loopbaan van Dimitri

Dimitri is gefascineerd door de complexiteit die de cyberwereld met zich meebrengt, het groter wordende dreigingslandschap en het maatschappelijke belang. Na twintig jaar in de IT, nam hij daarom tien jaar geleden de afslag richting cybersecurity. Hij werkte onder andere als consultant cybersecurity & compliance, CISO, CIO en CTO bij verschillende organisaties. Nu is hij directeur Cyber Security bij de Nederlandse Spoorwegen.

Inmiddels staat Dimitri bekend als “pleitbezorger voor Europese – of zelfs Nederlandse – innovatie”, vertelt hij. Op technologisch gebied zijn we in Europa steeds afhankelijker, en hij vindt toch dat er ook oplossingen in Europa ontwikkeld moeten worden. “Alleen het kost tijd om daar te komen”, zegt hij. “Dus ik zou zeggen: ga eens nadenken over hoe we die Europese soevereiniteit wat beter kunnen ondersteunen met technologische oplossingen. Dat doen we niet voldoende en moet beter georganiseerd worden.”

Daarnaast denkt Dimitri dat we in Nederland en Europa vrij reactieve reflexen hebben als het om cybersecurity gaat. In de Verenigde Staten gaat dat er met de Defend Forward strategie van Biden heel anders aan toe. “In sommige gevallen, zeker voor vitale infrastructuur, zou je als overheid echt een proactievere aanpak moeten hebben. Ik vind dat we daar een soort cyberleger moeten hebben, wat de Defend Forward strategie ook hanteert. Want iedere keer maar aangevallen worden en herstellen, dat is redelijk vermoeiend.”

Visie op innovatie in security

Volgens Dimitri draait innovatie om het toepassen van technologie en iets radicaal anders doen, om de doelstellingen van een organisatie of de maatschappij beter te maken. Hij ziet dat er veel ideeën ontwikkeld worden in de sector, en dat er in Nederland ook geld gestopt wordt in startups. Toch vindt hij niet dat we niet voldoende innoveren op het gebied van cybersecurity. Wereldwijd gebeurt er genoeg, maar minder vanuit Nederland en Europa, stelt hij. Hij licht toe: “Ik denk dat we vanuit Nederland, en zelfs vanuit Europa, soms de boot dreigen te missen. We hebben al veel innovatiekracht verloren en leunen erg op buitenlandse leveranciers. Amerika en China stoppen veel geld in ons afhankelijk maken van cloudoplossingen en allerlei IoT-spullen. Met alle risico’s van dien natuurlijk.” 

Hoe zit met de innovatiekracht van de NS? Het opleiden van personeel levert een grote bijdrage aan het verbeteren van de cybersecurity. Dimitri vertelt dat de securityafdeling is vervijfvoudigd in twee jaar. Op een innovatieve manier kijken naar het personeelsbestand heeft hen daar erg mee geholpen. “We moeten veel meer mensen zelf opleiden. En we hebben een cybersecurity academy opgericht om de horizontale doorstroom te bevorderen.”

De belangrijkste succesfactor voor innovatie is volgens Dimitri het vertrouwen dat mensen in de technologie hebben. “Wanneer we als NS frictieloos vervoer gaan regelen is vertrouwen in technologie en data essentieel voor de adaptatie van de innovatie. Vertrouwen in de technologie, in het veilig zijn van data en in de privacy is echt essentieel voor de adaptatie van innovatie.”

De NS heeft nog een andere belangrijke overweging als het om innoveren gaat: het mag de continuïteit van dienstverlening niet in gevaar brengen. Als wij eruit liggen heeft echt heel Nederland daar last van. Dat heeft invloed op hoe wij innoveren, omdat het niet ten koste mag gaan van de continuïteit van onze dienstverlening. En het is voor ons echt belangrijk dat innovatie bijdraagt aan het maatschappelijk belang.”

Praktijkvoorbeeld: een eigen ChatGPT

Innoveren is soms een kwestie van een lange adem: “Ons bedrijf opereert op het spanningsveld tussen traditioneel waterval management en agile werken. Als het bijvoorbeeld gaat om fysieke assets, zoals het vervangen van treinen, dan gaat het om lange trajecten met grote orders. Treinen rijden soms wel veertig jaar.” Dimitri zegt dat innovatie dan een hele lange cyclus en complexe dynamiek heeft. Hij noemt het voorbeeld van het ERTMS, het European Rail Traffic Management System. “Dat duurt bijna vijftig jaar om het in heel Europa te implementeren. Het nadeel van deze lange trajecten is dat als wij eenmaal iets doorgevoerd hebben, het helemaal niet meer zo innovatief is als toen we het bedachten.”

Daar staat echter tegenover dat op het gebied van software ze wél snel kunnen zijn met een agile aanpak. “Binnen een paar maanden hebben we voor heel de NS een eigen ChatGPT-omgeving neergezet. Deze is veiliger in gebruik, omdat ingevoerde prompts niet worden gebruikt om het model te trainen. Dit samenspel tussen twee uitersten maakt het een enorm boeiend bedrijf om voor te werken.” 

Succesfactor: de vier security pijlers van NS

Adaptatie van innovatie, vertrouwen in de technologie en (het opleiden van) de juiste mensen zijn wat Dimitri betreft belangrijk voor meer innovatie binnen de cybersecuritybranche. En dat is wat hem betreft hard nodig om minder afhankelijk te worden van buitenlandse leveranciers en de eigen soevereiniteit te waarborgen. Binnen NS maakt hij gebruik van een security strategie met vier pijlers, die invloed hebben op hoe zij op cybergebied innoveren.

Zo is door de ‘radicale shift left’ security by design en default het uitgangspunt. “We nemen veiligheid dus vanaf het begin mee bij het bouwen van software en applicaties.” Daarnaast zorgen de gecentraliseerde securitydiensten ervoor dat de business compliant is aan onze standaarden. Ten derde gaat het ‘zero trust’-principe ervan uit dat niets of niemand te vertrouwen is. Tot slot zorgt de cyber safe culture voor “het streven naar een veiligheidscultuur voor cyber die vergelijkbaar is met fysieke veiligheid.”

Vergelijkbare berichten