NS

"Zorg dat de public cloud een beetje private is"

Het IT-landschap van NS onderging de afgelopen jaren een metamorfose. “We gingen van dozen naar diensten, en van uitvoerend naar regie”, aldus Jack Krul, dienstenmanager Security bij NS. Om nog sneller te kunnen reageren op veranderingen, maakt het vervoersbedrijf de stap naar de public cloud. Wat betekent deze transitie voor de security bij NS?

Krul kwam zeven jaar geleden in dienst bij NS. In die periode is er volgens hem veel veranderd. Hij noemt onder andere de ‘On Board Information Services’ (OBIS) die worden ingebouwd in intercity’s, wifi in de trein en sensoren om de beschikbaarheid van zitplaatsen te meten. Reizigers tussen Arnhem en Den Bosch kunnen in de ‘zitplaatszoeker’ zien waar nog een plaatsje vrij is. En in het geval van een zware verstoring ontvangen gebruikers van de NS-app hierover een pushbericht, inclusief suggesties voor het vervolgen van de reis.

“Wij geven reizigers steeds meer middelen om de eigen mobiliteit en de eigen reis veel beter te plannen”, aldus Krul. “En met sensoren maken we ook preventief onderhoud mogelijk. Als bijvoorbeeld een mankement aan een wiel dreigt, krijgen we daar direct een melding van. Maar er komt bijvoorbeeld ook een signaal binnen als we toiletten moeten legen voordat we een treinstel inzetten op een traject.”

Constante verandering

Krul weet het zeker: “Maar weinig bedrijven van onze omvang zijn op deze schaal met innovatie bezig.” Daardoor is NS constant in verandering en verwerkt het steeds meer data die onder meer afkomstig zijn van de reizigers en van de sensoren in de treinen. “Dat vraagt wel om een IT waarmee je sneller kunt acteren op een veranderende organisatie.”

Die IT maakte volgens Krul de afgelopen jaren diverse transformaties door, en staat nu wéér voor een grote verandering. “Net zoals veel andere organisaties namen ook wij ‘dozen’ af en vonden wij het allemaal wel prima. Inmiddels kopen we diensten in en hoeven we niet te weten welke oplossingen daarachter schuilgaan. Als IT-organisatie zijn we niet meer uitvoerend, maar voeren we de regie.”

Bijna alles uitbesteed

“Wij hebben echt heel veel geoutsourcet”, vervolgt Krul (zie ook het kader). Dan gaat het bijvoorbeeld om de werkplekken, de hosting van belangrijke websites en de security. “Bijna alle security hebben wij uitbesteed.” Zo neemt NS diensten af voor firewallbeheer, inspectie van het netwerkbeheer, e-mailfiltering, anti-DDoS en gebruikersbeheer. “Binnen het kavel ‘Security’ hebben we bijna alles toebedeeld aan Motiv.” Het uitgangspunt is volgens Krul dat alle dienstverleners waarmee NS samenwerkt de eigen broek ophouden als het gaat om security. “Alle diensten die wij afnemen, of het nu gaat om de werkplekken of om hosting, moeten inherent veilig zijn.” Bastiaan Bakker, directeur Business Development bij Motiv: “Het gaat niet meer om het leveren van securitydiensten, maar om het leveren van veilige diensten waarin de security is ingebouwd.”

“Veiligheid is goed, maar controle is nog beter”, vult Krul aan. “Die controle vult Motiv in. Een Client Information Security Officer van Motiv ziet erop toe dat alle diensten die NS afneemt veilig zijn en bijvoorbeeld op tijd worden gepatcht. De dienstenmanagers van de verschillende kavels rapporteren ook aan deze CISO, die weer rapporteert richting NS.”

Cyberweerbaarheid

“Het is belangrijk dat je een integraal beeld hebt van de beveiligingsmaatregelen”, schetst Bakker. “Je moet weten of die maatregelen samen voldoende zijn om de organisatie weerbaar te maken tegen cybercriminelen.” Krul: “Onze operationele systemen mogen nooit plat. Als bijvoorbeeld onze applicatie voor be- en bijsturing niet beschikbaar is, rijden de treinen niet. Maar ook een website als NS.nl moet altijd beschikbaar zijn. We hebben dan ook veel geïnvesteerd in de continuïteit van die ‘kroonjuwelen’.”

‘Cyberweerbaarheid’ betekent ook dat persoonsgegevens zo goed mogelijk zijn beschermd, zeker naarmate er meer privacygevoelige gegevens worden verzameld. Al plaatst Krul daar wel direct een kanttekening bij. De schaal van verwerking maakt volgens hem niet uit. “Of je nu zevenduizend of tien miljoen records verwerkt, de bescherming van persoonsgegevens moet altijd optimaal zijn.”

“Als een van de grootste dataverwerkers van Nederland zijn wij al heel vroeg begonnen met privacy”, verzekert de dienstenmanager. “Bijvoorbeeld door met filmpjes en e-learning continu aandacht te besteden aan een veilige omgang met persoonsgegevens en door heel transparant te zijn over wat wij wel en niet verwerken.”

Cloudstrategie

De outsourcing van security is slechts één element in de transformatie van de IT bij NS. Om met een schone lei de uitbesteding in te gaan, zette NS een grote schoonmaak van het IT-landschap in gang en consolideerde het haar datacenters. Elf datacenters sloten de deuren. “We gingen van dozen naar diensten, van uitvoerend naar regie, en nu is het tijd voor de volgende stap”, zo vat Krul het kort en bondig samen.

“Om onze IT schaalbaar en flexibel te maken, zetten we zwaar in op de public cloud”, licht hij toe. Het streven is om de komende twee jaar 30 procent van het applicatielandschap naar de public cloud te brengen. “Per applicatie moeten we beoordelen waar die het beste kan landen. Bijvoorbeeld een bijsturingsapplicatie is niet gebouwd voor schaalbaarheid en flexibiliteit. Dan heeft het ook geen zin om zo’n toepassing naar de cloud te verplaatsen.”

Security naar de cloud

“Een overgang naar de cloud betekent ook dat de beveiliging naar de cloud moet”, zegt Bakker. Krul: “We moeten onder andere afstappen van de traditionele datacenterbeveiliging en samen met Motiv nadenken over het beveiligen van data op bestandsniveau. Maar ook andere vragen worden actueler. Hebben de leveranciers van de clouddiensten hun beveiliging op orde, en waar verwerken ze de data?”

“Je moet de security die al in de diensten is ingebouwd optimaal benutten”, besluit Krul. “En je moet de public cloud toch ook een beetje private houden. Dat doen we door al het verkeer van en naar de public cloud door een ‘Cloud Hub’ te laten lopen waar het door de securitydiensten van Motiv wordt gescand en geïnspecteerd. En uiteraard moet je de toegang tot de cloud ook beveiligen met onder andere firewalls en access gateways. Als je met een goed programma transformeert, hoeft een stap naar de public cloud helemaal geen reden voor extra zorgen te zijn.”

Uitbesteding IT

Al in 2007 besloot NS om IT-diensten uit te besteden, toen aan HP, CSC en KPN. Binnen het contract dat NS in 2014 sloot met KPN, Conclusion en Motiv werd vrijwel de gehele infrastructuur van NS ondergebracht in de private cloud van KPN. Zo verhuisden maar liefst twaalfduizend werkplekken naar de virtuele ‘KPN Werkplek’. Maar bijvoorbeeld ook de servicedesks, de hosting van websites zoals www.ns.nl, applicatiebeheer, datacenterdiensten en de integratie met publieke clouddiensten zoals Office 365 kwamen onder regie van KPN te staan.

Motiv is binnen deze constructie als ‘senior supplier’ verantwoordelijk voor het leveren van geavanceerde securitydiensten, terwijl partner Conclusion zorgdraagt voor onder andere de technische applicatiebeheerdiensten.