Omdat de techniek in het algemeen en de ICT in het bijzonder zich pijlsnel ontwikkelen zijn er op de achtergrond vele professionals bezig om de risico’s te monitoren, in kaart te brengen en te beheersen. Cybersecurity is onmisbaar geworden omdat heel veel processen niet meer zonder computers en data-infrastructuur kunnen bestaan. Dat nuttige beveiligingswerk wordt vaak uitbesteed of is onderdeel van een contract met een service provider, terwijl alle data, software en zelfs virtuele netwerkstructuren ‘in de cloud’ staan. Organisaties zijn daardoor sterk afhankelijk geworden van externe partijen (inzicht 7, pagina 218). Evelien Bras, de veertiende spreker in het boek, spreekt zelfs over ‘marktfalen’, waar vooral het MKB ongewild slachtoffer van wordt. Maar het is een zaak die ons allen aangaat, terwijl we pas beseffen hoe kwetsbaar we zijn als het onheil ons treft.
De noodzaak van digitale weerbaarheid
Goede vakspecialisten zijn schaars (en goede raad is duur). Om greep op de processen te houden is begrip en inzicht in kwetsbaarheden en risico’s onontbeerlijk. Aannemen dat het wel snor zit met de computerveiligheid komt helaas te vaak voor, tot het moment dat data uitlekt, gevoelig bedrijfsgeheim op straat ligt of ransomware je systemen op slot zet. Het businessmodel van de hacker is simpel en te vaak effectief: bedrijfsprocessen zijn soms verrassend eenvoudig te saboteren, met enorme gevolgen. In het boek waarschuwen bijna alle professionals voor een te trage ontwikkeling aan de ‘defensieve kant’. Ze benadrukken de noodzaak om niet alleen terug te kijken en te leren van het verleden, maar ook vooruit te zien. Omdat AI zich razendsnel ontwikkelt en de toekomst slecht voorspelbaar blijkt is cyberdefense of digitale weerbaarheid pas compleet als je ook je noodscenario’s en ‘eerstehulp’ op orde hebt. De meerderheid gaat ervan uit dat elke computergebruiker vroeger of later gehackt zal worden.Innovatie behoeft samenwerking
Cybersecurity – en beveiliging in het algemeen – zijn van oudsher voorzichtig en behoudend. Gevoelsmatig moet het de rots in de branding zijn, terwijl die branding heel onvoorspelbaar en dynamisch is. Zoals de geïnterviewde Menno Stijl (spreker elf) het treffend zegt: ‘Innovatie van cybersecurity is moeilijk want je weet nooit wanneer de storm komt, alleen dát hij komt. We plakken veel pleisters en zijn aan het pompen, maar we zijn niet bezig met het bouwen van dijken.’ Juist daarom is het thema van het boek heel prikkelend: innovatie is keihard nodig en gedijt het beste in een open cultuur, waarin wordt samengewerkt en uitgewisseld. Die noodzaak wordt in het boek voortdurend benadrukt en alle geïnterviewden hebben ideeën hoe dat zou georganiseerd kan worden. De duisterste en onzekerste ontwikkelingen vinden plaats in de AI (kunstmatige intelligentie is vele malen genoemd) en quantum computing (minder vaak want priller en exotischer). Ook daarop moet de sector zich voorbereiden en de krachten bundelen. Samenwerken en het delen van informatie is nodig. Dit boek kan daartoe mede een aanzet zijn; het zet licht op een beroepsgroep die doorgaans in de schaduw opereert.Cybersecurity door de ogen van de deskundigen
Dat Bram de Bruin en Frank van Summeren erin geslaagd zijn twintig echte koplopers, zoals Dave Maasland, CEO van ESET Nederland, Hans de Vries, oud directeur van het Nationaal Cyber Security Centrum en Queeny Raikovski, Tweede Kamerlid en zeventien andere denkers bereid te vinden eerlijk te vertellen wat hun zorgen en hun overwegingen zijn is een pluim waard. Het is tenslotte lang niet altijd in hun commerciële of strategische belang om anderen wijzer te maken dan ze zijn, en toch doen ze het; ze delen vaak verrassende en diep-fundamentele inzichten die verder gaan dan de digitale veiligheid. Ze vertellen over de strategieën die zij en hun organisaties hanteren maar delen ook hun persoonlijke overwegingen en soms hun missers. Ook hun persoonlijke geschiedenis en hun drijfveren komen aan bod. Op een speelse manier wordt een voor velen mistig vakgebied ontsluierd.Geen ‘how to’, wel een goede gids
De twintig professionals met allemaal verschillende rollen in de cybersecurity komen aan het woord, bewust in de volgorde CISO’s (Chief Information Security Officers), dan de dienstverleners en tenslotte de overheidsvertegenwoordigers. Uiteraard spreken ze hun karakteristieke, tamelijk technisch-commerciële IT- of beleidsjargon, maar niet zodanig dat een digibeet of beginner afhaakt: de lezer leert mede dankzij de uitleg van de vele Engelse vaktermen en afkortingen gaandeweg de taal van de ICT verstaan. Daarom is dit boek een goede start voor veiligheidskundigen en managers die de opdracht hebben om te zorgen voor de computer-, data- en netwerkveiligheid in hun bedrijf. Het is geen ‘how to’ maar een introductie in strategieën en technieken en daarmee een gids voor wie zoekende is in het uitgebreide mijnenveld vol black boxes en onzichtbare netwerkstructuren dat zich op automatiseringsgebied heeft ontwikkeld – en nog steeds pijlsnel groeit.Voor wie geen digibeet wil zijn
Bram en co-auteur Frank hebben gezorgd voor een prettige uniformiteit, opmaak en indeling, wat zorgt voor een zeer leesbare bundel die weinig gemeen heeft met een studieboek, maar toch heel leerzaam is. Het boek is zelfs geschikt is om achterstevoren of in willekeurige volgorde te lezen. Wie vlot kennis wil nemen van grote lijnen en ontwikkelingen wordt op zijn wenken bediend: de laatste zestig bladzijden zetten de inzichten op een rijtje en aan het einde vinden we een welkome begrippenlijst die het belangrijkste jargon uitlegt. Wat daarin niet aan bod komt wordt in de interviews zelf verklaard en anders is het een prima ingang voor Google. Iedereen die zijn digitale weerbaarheid op orde wil hebben heeft baat bij het lezen van het boek, als is het maar om een geïnformeerd aanspreekpunt te kunnen zijn voor een externe partij die (uiteraard) gouden bergen en gewapend betonnen firewalls en complete ontzorging belooft. De klant mag vervolgens zelf ontdekken welke leverancier zeepbellen blies en welke goede waar voor zijn geld levert. Bij de schifting helpt dit boek. Opdat we niet aan de goden zijn overgeleverd.Zelfs voor nieuwsgierige digi-beginners: inzicht 6
Ook als je weinig affiniteit hebt met computers of automatisering is het boek uitstekend te begrijpen: het gaat dan ook niet tot in detail over de diepste technieken die cybercriminelen uitvinden om in te breken maar wel over de manier waarop professionele organisaties hun weerbaarheid organiseren. En het biedt ideeën over waar je zelf je licht eens zou kunnen opsteken. Inzicht 6 (bladzijde 215) luidt: Keep it simple: maak cybersecurity begrijpelijk voor iedereen. Bram en Frank hebben daar met dit boek aardig aan bijgedragen.NB Auteurs Bram de Bruijn en Frank van Summeren zijn beide al geïnterviewd voor de rubriek VK-stokpaard; Frank tijdens de coronapandemie en Bram in december 2023, uiteraard spraken zij over cybersecurity.
Security Innovation Stories, 20 koplopers over innovatie in het cybersecuritydomein (paperback, 263 pagina’s)
Bram de Bruijn en Frank van Summeren
Te bestellen via https://www.securityinnovationstories.com/boek/