DTV brengt security bij VRI’s in beeld
Het landschap van de (intelligente) verkeersregelinstallatie is de afgelopen jaren aanzienlijk veranderd. De iVRI is onderdeel van een dataketen en bevat nieuwe functionaliteiten en verbindingen. Deze ontwikkeling vraagt van wegbeheerders expertise op het gebied van (cyber)security en privacy. DTV heeft gemeente Breda geholpen om de huidige stand van zaken rondom security van VRI’s in kaart te brengen en beheersmaatregelen voorgesteld om deze te verbeteren. Een aanpak die ook andere wegbeheerders kan helpen.
Wegbeheerders zijn eigenaar en beheerder van (intelligente) verkeersregelinstallaties en daarmee ook verantwoordelijk voor een goede beveiliging van deze assets. Dit omvat goede data- en informatiebeveiliging, het voorkomen van inbreuken en het waarborgen van kwaliteit van data en berichten. Er is steeds meer specialistische kennis nodig op het snijvlak van ICT, Security en VRI’s.
Front paper Security bij VRI’s
Om wegbeheerders hierbij te helpen heeft DTV eind 2022 in opdracht van het Brabantse ontwikkelprogramma SmartwayZ.NL een ‘Front paper security bij VRI’s’ opgesteld. In Noord-Brabant werken VRI-specialisten, ICT-architecten en CISO’s (Chief Information Security Officers) nauw met elkaar samen om risico’s in kaart te brengen en maatregelen te implementeren.
DTV heeft onderzoek gedaan en de kennis en expertise rondom de securityrisico’s samengebracht in de front paper, dat een overzicht bevat van mogelijke beheersmaatregelen. Tom Steijvers, adviseur Smart Mobility bij DTV licht toe: “Een van de belangrijkste constateringen uit dit onderzoek is dat er aandacht nodig is om de huidige (i)VRI’s op straat te laten voldoen aan de BIO (Baseline Informatiebeveiliging Overheid). Bovendien wordt bij de aanschaf en het onderhoud van nieuwe (i)VRI’s vaak onvoldoende aandacht besteed aan eisen op het gebied van informatiebeveiliging.
BIO-compliant
Wegbeheerders missen een praktische vertaling van de BIO voor (i)VRI’s die zij kunnen gebruiken bij aanbestedingen. Het front paper adviseert daarom om deze uitwerking landelijk op te pakken, zodat alle wegbeheerders hiervan profiteren. Daarnaast wordt aanbevolen om samen met de iVRI-leveranciers een transitiepad te bespreken, zodat de markt en overheid over een aantal jaar gezamenlijk volledig BIO-compliant zijn.”
Checklist Beheersmaatregelen
De ervaring leert dat landelijke uitvoeringsacties vaak veel tijd kosten, lang duren en moeilijk te organiseren zijn. Tom Steijvers: “Er is een dringende noodzaak om binnen enkele jaren adequate maatregelen te treffen. Daarom heeft DTV in de front paper een checklist Beheersmaatregelen opgesteld. Deze kan door wegbeheerders worden gebruikt als eerste inventarisatiemiddel om eventuele hiaten in de beveiliging van (i)VRI’s te identificeren en snel verbeteringen te implementeren.”
Inventarisatie voor gemeente Breda
De gemeente Breda besteed aandacht aan privacy en security bij (i)VRI’s. De checklist uit de ‘front paper Security bij VRI’s’ is door de organisatie met verschillende disciplines doorgenomen en gekoppeld aan acties voor maatregelen waar de gemeente op dit moment nog niet aan voldoet. Daarnaast heeft de gemeente een DPIA (Data Protection Impact Assessment) op het iVRI areaal laten uitvoeren om te beoordelen of er in de iVRI-keten persoonsgegevens worden verwerkt. Op basis van deze DPIA zijn ook diverse risico’s en bijbehorende beheersmaatregelen opgesteld. Dit is vertaald naar een actielijst om de security bij VRI’s verder te verbeteren.
Komen tot Security beheersmaatregelen
Joost Hormann, adviseur Smart Mobility bij DTV over de aanpak: “Op verzoek van Breda heeft DTV in 2023 een aantal van deze acties inhoudelijk verder uitgewerkt. Allereerst hebben we het functionele landschap van Breda in kaart gebracht. Dit landschap omvat alle netwerken, objecten, systemen en applicaties die de gemeente gebruikt bij het beheer van haar (i)VRI’s. Deze zijn vervolgens gecategoriseerd naar objecten per type verbinding, de mate waarin een systeem of applicatie wel of niet communiceert met de (i)VRI’s, de hosting van systemen en applicaties en de toegangsstructuur.
Per categorie hebben we daarna een inventarisatie uitgevoerd naar het werkelijke niveau van de security beheersmaatregelen op het gebied van de onderwerpen ‘toegang en autorisatie’ en ‘dataketen en opslag’. Op basis van de inventarisatie hebben we de hiaten gedefinieerd tussen het huidige niveau (IST) en het gewenste niveau (SOLL). Voor elk geconstateerd hiaat zijn een of meerdere beheersmaatregelen voorgesteld.”
Meer weten of wil je aan de slag met beveiliging van VRI’s?
Wil je meer weten over de beveiliging van (i)VRI’s in jouw gemeente en hoe DTV kan helpen bij het verbeteren hiervan? Neem dan contact op met Tom Steijvers of Joost Hormann van het team Smart Mobility.