Het beheer en onderhoud van verkeersinstallaties op afstand minimaliseert dure en tijdrovende reparatiewerkzaamheden langs de snelweg en borgt een hoge beschikbaarheid van verkeerssystemen. Op de A13 en A58 werpt dit onderhoudsconcept z’n vruchten af.

Onderhoud op afstand is gebaseerd op IT-installaties die hun eigen ‘gezondheidstoestand’ bijhouden en ‘klagen’ als ze niet goed functioneren. Het op afstand monitoren van de technische prestatie-indicatoren van de installaties maakt preventief en voorspellend onderhoud mogelijk. Servicetechnici hoeven hierdoor minder vaak uit te rukken. Als ze toch ter plaatse moeten gaan kijken omdat reparatie op afstand niet mogelijk is, gaan ze gericht op pad met de resultaten van de diagnose op afstand. Hierdoor blijft de reparatietijd op locatie kort, wat ook de verkeersveiligheid ten goede komt.

Trajectcontrole en spookfiles

Op de A13 worden de installaties voor trajectcontrole preventief en voorspellend onderhouden. In de serviceruimte en PAC-centrale van Siemens zien servicetechnici en centralisten op terminals in real time de status van de trajectcontroles. Ze houden een oogje in het zeil en grijpen in als er afwijkend gedrag wordt gedetecteerd. ‘Een getraind oog merkt in een fractie van een seconde dat er iets aan de hand is’, zegt Eddy Verhoeven, projectmanager bij Siemens. ‘Bij storingen kunnen we vanuit ons intranet verder onderzoek doen en inloggen op de computers in de datacenters en intelligente switches in het veld. Op die manier kunnen we het systeem op afstand stabiliseren. Op dezelfde wijze beheren en onderhouden we op afstand de intelligente WiFi-P bakens voor het traceren van spookfiles op de A58.’

‘Een getraind oog merkt in een fractie van een seconde dat er iets aan de hand is.’

Common Remote Service Platform

De basis voor service op afstand vormt het common Remote Service Platform (cRSP) van Siemens. Het platform is uniform, gestandaardiseerd en gecertificeerd. Veiligheidsrisico’s worden door experts continu geëvalueerd en bestreden. Het gebruik en de veiligheid van het platform wordt 24×7 bewaakt door de centrale ICT-diensten van Siemens AG. In Duitsland rust Siemens Mobility nieuwe installaties standaard uit met toegang tot het cRSP. Ook voor installaties in de gezondheidszorg, de industrie en gebouwenbeheer past Siemens al jaren Remote Services Support (SRSS) toe.

Bedreigingen

Het cRSP-concept vangt de vijf archetypen van bedreigingen voor IT-systemen af:
• Oneigenlijke toegang tot systemen
• Onmogelijk maken van toegang tot systemen
• Meekijken in de gegevensstroom
• Diefstal van informatie
• Vervormen of manipuleren van informatie
‘We kunnen de zorgen van klanten ten aanzien van deze bedreigingen grotendeels wegnemen’, aldus Verhoeven. ‘Een absolute voorwaarde voor service op afstand is dat de eindklant hiermee instemt. Vertrouwen speelt immers een grote rol in het nieuwe beheersconcept.’

Optimaal beveiligd

Vanzelfsprekend is alles goed beveiligd. Klantinstallaties worden uitgerust met een voorgeconfigureerde cRSP-router/firewall die een veilige toegang tot de centrale cRSP- servers via internet mogelijk maakt. Datastromen zijn versleuteld met de modernste encryptie-technieken. Alle toegang maakt gebruik van de sterkste authenticatie-technieken. ‘Er is geen sprake van een rechtstreekse toegang vanuit het Siemens intranet tot klantsystemen’, legt Verhoeven uit. ‘De cRSP-infrastructuur staat in een gedemilitariseerde zone (DMZ). Servicetechnici verschaffen zich éérst toegang tot de DMZ en werken van daaruit met de klantinstallaties.’

Besmetting door virussen is volgens Verhoeven onwaarschijnlijk. Hackers komen immers nooit verder dan de DMZ, die goed beschermd wordt met firewalls, intrusiedetectie en preventiesystemen en anti-malware-software. ‘Hackers kunnen hooguit een cRSP-server aanvallen, maar nooit een klantsysteem en ook niet het intranet van Siemens.’ E-mails vanuit klantsystemen aan het Siemens intranet worden door cRSP doorgestuurd en door de mailservers van Siemens gecheckt en geaccepteerd. E-mailverkeer richting klantsystemen is niet mogelijk. Kritieke gegevens worden nooit in de DMZ opgeslagen.

De toegang tot systemen is strikt geregeld. Siemens legt vast wie toegang heeft tot welk deelsysteem. Alle toegangsgegevens (Wie? Wanneer? Welk deelsysteem?) worden gelogd. Bij het inloggen zorgt de persoonsgebonden Siemens digitale sleutel voor een identificering van de service-engineer. Als een service-engineer langere tijd niet inlogt, wordt hem automatisch de toegang ontzegd.

Bewustzijn en discipline

Bij het organiseren en aantoonbaar maken van informatiebeveiliging volgt Siemens de ISO-IEC 27001 normen voor informatiebeveiliging. Verhoeven: ‘Op die manier borgen wij de organisatie van de toegang en dataopslag en -extractie binnen onze organisatie. Dit heeft onze volle aandacht, want het gaat om informatie van onze klanten. Zij geven ons het vertrouwen. Wij besteden veel aandacht aan veiligheidbewustzijn, discipline en toezicht daarop. Weet iedereen wat de gevaren zijn en hoe ze zich manifesteren? Handelt iedereen conform de richtlijnen? Weten we wie toegang waartoe heeft en bewaken we de fysieke en digitale sleutels en wachtwoorden?’

Beveiligde tunnel

Voor het project A58 hebben technici van Siemens, Rijkswaterstaat en KPN een permanente veilige verbinding tussen de firewall van Rijkswaterstaat en het cRSP-platform aangelegd. Deze ‘tunnel’ wordt aan beide zijden beheerd en bewaakt. De eerste opening in de tunnel is bestemd voor de installaties die spookfilevorming op de A58 traceren. Met toestemming van en in overleg met Rijkswaterstaat kunnen ook andere kunstwerken (sluizen, tunnels) met Siemens-besturing op afstand onderhouden en/of gemonitord worden. Verhoeven: ‘Hierbij moeten we aantoonbaar voldoen aan de richtlijnen voor informatiebeveiliging van de Rijksoverheid en van Rijkswaterstaat in het bijzonder. Dankzij onze ervaringen op de A13 en de A58 kunnen we die slag nu maken.’