Digitale systemen zorgen voor nieuwe risico’s. Alles communiceert met elkaar, wordt op afstand bestuurd en data worden verwerkt voor elk denkbaar doel. ‘Feind hört mit’ (de vijand luistert mee) is geen prettig uitgangspunt, maar alertheid is geboden, zo bewijzen de acties van cyberterroristen en hackers op dagelijkse basis. Steeds meer bedrijfsprocessen zijn digitale systemen. Om te weten welke risico’s we lopen moeten we bijblijven met de laatste ontwikkelingen. Dat is de overtuiging van IVK en bedrijfskundige Bram de Bruijn, die zich regelmatig laat bijscholen om de risico’s in cyberspace te kunnen inschatten.
Biografie
Bram de Bruijn (1983) werd geboren in de Betuwe, woonde lang in Den Haag en had ooit het plan om iets in de bouw te gaan doen. Zijn mts-opleiding bouwkunde bracht hem beroepsmatig maar kort op de steiger. Het hielp hem wel bij het herbouwen van zijn houten huis op een voormalig vakantiepark in Vinkel bij Den Bosch, een project waarmee hij in 2022 de rubriek ‘Binnenkijken’ in de Telegraaf haalde. Hij woont er met zijn partner Anja en hun twee jonge kinderen. Het zwaartepunt van Brams carrière ligt niet bepaald bij de bouwkunde. Op het gebied van techniek ziet hij zichzelf als autodidact: leren door te doen. Na de mts volgde hij de hbo-opleiding tot integraal veiligheidskundige en kon in 2008 aan de slag bij het Ministerie van Binnenlandse Zaken, dat met zijn nieuwe NAVI (Nationaal Adviescentrum Vitale Infrastructuur) hard werkte aan de bescherming van Nederland. Het was inmiddels gebleken dat het land kwetsbaar was voor terroristische aanslagen. Bram kon zich snel inwerken in de materie en bouwde een eigen netwerk op in de cybersecurity sector, want vele bedrijven maakten zich zorgen en wisten het NAVI te vinden. Na ad interim functies bij het Ministerie van VROM en EZK te hebben bekleed (om daar de cyberrisico’s te helpen beheersen) vond Bram dat het bedrijfsleven hem beter paste. Hij pakte een weekendstudie bedrijfskunde op aan de Nyenrode Business Universiteit en stapte over naar beveiligingsbedrijf Securitas om branche manager te worden in Rotterdam, een knooppunt van vitale infrastructuur. Beveiligingsbedrijf Securitas wilde meer dan brandwachten en beveiligers verhuren en ontwikkelde een nieuwe strategie waarin beveiliging door technologie centraal stond. Bram werd Business Development Manager van de afdeling die deze strategie kracht bij moest zetten en werkte in deze rol veel samen met grote klanten om tot integrale security-oplossingen te komen. Dat beviel hem goed; innovatie, techniek en veiligheid combineren met commercie was Brams ding. Toen hij in 2015 als zelfstandige startte kwam hij als vanzelf in het IT-domein terecht. Hij kent de behoefte van bedrijven aan veilige, bedrijfszekere systemen en kan deze in relatie zetten tot de bedrijfskundige doelen van een organisatie. In 2017 reisde Bram met zijn vriendin de wereld rond en werkte hij op afstand voor verschillende bedrijven in Nederland. Hij doet zijn best om bij te blijven in de digitale wereld. Dat hij daarvoor elk jaar minstens twee of drie opleidingen moet volgen neemt hij voor lief. Streng agendabeheer moet ervoor zorgen dat hij ook zijn vrouw en kinderen nog af en toe ziet. Zijn bedrijf: www.beyondproducts.io
Dat de toenemende vervlechting van digitale systemen en het ‘leven van alledag’ zorgt voor risico’s is een open deur. Kunstmatige intelligentie is slechts één van de verschijnselen waar de meningen en de risico-inschattingen alle kanten op lijken te schieten; het is maar net aan wie je het vraagt. Veiligheidskundigen hebben de goede gewoonte om over alles in grote openheid van gedachten te wisselen, met één voorname uitzondering: waar het bedreigingen van kwaadwillenden en terroristische risico’s aangaat. Dan betreden we de wereld van de security en daar is het soms beter om niet te veel te vertellen over genomen maatregelen, bijvoorbeeld omdat openheid mensen op ideeën brengt. Wat een bedrijf precies doet aan beveiliging wordt niet geopenbaard. Bedrijven blijven graag in de luwte. ‘Alles draait om vertrouwen en om vertrouwen in technologie’, zegt Bram. ‘Bij het internetbankieren, bij de OV-reispas en zelfs bij de klantenkaart van de supermarkt. Dat vertrouwen komt niet vanzelf en het is cruciaal voor het bestaan van je bedrijf. Communiceren over bijvoorbeeld zaken die fout zijn gegaan is wel heel belangrijk, zodat anderen ervan kunnen leren. Deze openheid over learnings is gewenst.’
Bram vervolgt: ‘Als ‘interimmer’ heb ik veel voor de technologiesector gewerkt; voor de bedrijven die de IT-oplossingen bouwen waar we allemaal direct of indirect gebruik van maken. Ik ontdekte al snel dat er eigenlijk geen onderscheid meer te maken is tussen een fysieke wereld en een digitale wereld. Digitale systemen zijn ingebed. Mijn opdrachten bestaan er vooral uit om technologie te ontwikkelen die organisaties veiliger en efficiënter maken en om die te vermarkten. Als je een succesvol bedrijf wil opbouwen doe je er goed aan om te beginnen met het digitale stuk, met je technologie. Andersom is dat heel moeilijk. Daarom zijn jongere bedrijven en startups vaak zo succesvol: ze hebben geen oude structuur die niet past bij een digitale workflow.’
Ik hoor hier de oorzaak van de worsteling van onze overheid met digitale systemen.
Bram: ‘Inderdaad. De overheid en haar IT-zorgen zijn het werkgebied van Frank van Summeren (die studiegenoot Bram na zijn eigen VK-stokpaard heeft voorgedragen, red.), ik werk vooral voor bedrijven die willen innoveren of een nieuwe dienst in de markt willen zetten. De principes zijn vergelijkbaar. De overheid heeft van nature de neiging risico’s te mijden en daardoor minder innovatief te zijn, bedrijven zijn daar iets flexibeler in en daardoor sneller met vernieuwing en de implementatie van digitale oplossingen. Vaak is mijn advies om een vernieuwing buiten de bestaande structuur op te zetten, zodat je geen hinder ondervindt van het bestaande keurslijf.’
Dus niet toevoegen aan een afdeling die al draait?
Bram: ‘Nee, liever niet. Zet het in een team dat buiten de organisatie staat. Als je dat niet doet, bestaat het risico dat het management zich er flink mee gaat bemoeien en het op een klassieke manier gaat aansturen. Het nieuwe bedrijfsonderdeel moet een bepaalde mate van autonomie hebben en je mag er niet je gewone KPI’s (Key Performance Indicators) voor hanteren. Het draait namelijk niet om groeicijfers of marge, maar bijvoorbeeld om het aantal Proof of Concepts, de snelheid waarmee klanten je nieuwe product of dienst adopteren en hoe ze het waarderen. Wat ik te vaak heb meegemaakt is dat zodra een nieuw initiatief aan lijkt te slaan, de hele directie erop duikt. De startup moet elke week rapporteren hoe het gaat, met als gevolg dat die wordt doodgeknuffeld. Voorkom die loop. Laat het gaan, heb geduld, geef het de tijd. En als je per se wilt sturen, doe het dan met de juiste KPI’s.’
Wat jij product of dienst noemt, is op jouw werkterrein vaak software of technologie.
Bram: ‘Ja. B2B-softwareoplossingen voor klanten waar privacy en security voorop staan in het eisenlijstje. Dus niet de app voor de consument-eindgebruiker. Bij het adopteren van softwaretechnologie gaan bedrijven niet over één nacht ijs: ze willen zekerheid vooraf. Bewijs dat de leverancier eerder al goede systemen heeft geleverd, bewijs van peers, referenties of een bepaalde waardering door Gartner. Het mag niet fout gaan op het gebied van security en privacy.’
Startups hebben het dus niet gemakkelijk als ze iets willen verkopen.
Bram: ‘Nee, vooral in de markt van de cybersecurity hebben die het moeilijk. Er worden legio echt leuke ideeën aangeboden, maar ze krijgen het niet verkocht omdat ze zich nog niet hebben kunnen bewijzen. Het vertrouwen is er nog niet en vertrouwen in technologie is bepalend voor de acceptatie. Deze markt is nog steeds een ‘trust and confidence game’. Bovendien is het aanbod van vergelijkbare producten groot, wat een bijeffect bij de gebruiker heeft, namelijk ‘solution uncertainty’: te veel keuzemogelijkheden maken dat klanten dan maar bij hun oude, vertrouwde systeem blijven. Dat is natuurlijk geen garantie dat ze veilig zijn en blijven.’
Is dat een reden dat er overheidsdiensten zijn die nog met Windows XP werken of met nóg oudere software?
Bram: ‘Daar zijn veel redenen voor. Onder andere dat de overheid van nature een gestructureerde organisatie is waarin risico’s worden gemeden. Vernieuwing blijft daardoor achter en ze kiezen vaker voor wat ze al hebben. Als dan kennis verloopt en er onvoldoende urgentie is voor vernieuwing, kunnen bestaande systemen lang blijven bestaan. Daar komt bij dat de overheid hoge eisen stelt aan leveranciers waardoor er een selecte, bekende groep overblijft. Dat is funest voor de concurrentie. Maar dat er eisen gesteld worden vind ik vanuit de overheid bezien heel begrijpelijk.’
Wat kan of moet een veiligheidskundige betekenen in het krachtenspel rond cybersecurity?
Bram: ‘Die kan een goede intermediair zijn, ook zonder dat hij zelf code kan kloppen (programmeren, red.). De VK moet de kansen van IT omarmen maar zich bewust zijn van de risico’s. Hij moet anticiperen. Technisch kan alles, maar de gebruiker past niet alles op de juiste manier toe. Daar kan de VK met enige kennis van waarde zijn, al moet hij die wel bijhouden, want de ontwikkelingen gaan pijlsnel.’
Bereiden opleiders ze voldoende voor op die taak?
Bram: ‘Nee. De IT-component mag wel wat worden aangezet als je ook iets wilt betekenen op het gebied van digitale veiligheid. Van mijn eigen opleiding tot IVK herinner ik me één module die er beperkt aandacht aan besteedde. Gezien het belang voor de continuïteit van de bedrijfsvoering mag dat aanzienlijk meer zijn. Een VK die beter geschoold is en vertrouwd is met IT kan ook behulpzaam zijn bij een bestaand probleem dat ik meen te signaleren: er is te vaak een mismatch tussen wat IT-bedrijven aanbieden en wat de klant wil. IT-dienstverleners hebben een vanuit de techniek ingegeven oplossing, alleen de klant heeft niet het gevoel dat het de oplossing is van zíjn probleem. Hij voelt zich niet gehoord; het is voor hem ingevuld zonder dat er naar de gebruikerswensen is geluisterd.’
Is dat je grootste ergernis?
Bram: ‘Het wedijvert met de terughoudendheid in de adoptie van goede technieken. Er bestaat zó veel moois dat vanuit verkeerde overwegingen zoals valse schroom of onwetendheid niet wordt gebruikt. Dat is jammer. Maar nu ik erover nadenk is die mismatch die ik net noemde wel mijn grootste ergernis.’
Op welke risico’s moeten we bedacht zijn als het om veiligheid van data gaat?
Bram: ‘Er zijn drie dingen die we willen zekerstellen: de beschikbaarheid, de integriteit en de vertrouwelijkheid van data. Beschikbaarheid betekent dat je er altijd bij moet kunnen. Daarvoor maak je backups, je zet je gegevens in de cloud of bewaart ze on-prem. Dat is niet mijn grootste vrees. Integriteit van data wil zeggen dat ze altijd hetzelfde blijven, niet gemanipuleerd of aangepast zijn. Dat betekent dat ze niet – bewust of onbewust – vervormd raken. Corrupte data kan soms gewoon iets platleggen, maar veranderingen kunnen ook zijn aangebracht om kwaadwillenden toegang te verschaffen, ter misleiding of om fraude te plegen. En dan zijn we bij het derde aspect, de vertrouwelijkheid; de eis dat data alleen gezien wordt door degene die daartoe bevoegd is. Vooral waar het om persoonsgegevens gaat is er reden tot zorg, want er worden regelmatig lekken gerapporteerd.’
Bij de Autoriteit Persoonsgegevens, die de AVG zou moeten handhaven maar de hoeveelheid werk niet aankan. Wat vind je trouwens van de AVG?
Bram: ‘Dat vind ik een heel goede wet. Het is een prestatie van formaat om in algemene termen onder woorden te brengen waar iedereen zich aan te houden heeft bij het registreren, verwerken en bewaren van persoonsgegevens. Hij is niet rule-based maar principle-based, en daardoor langdurig van waarde. We kunnen aan de hand van praktijkgevallen gaan vaststellen hoe we de gestelde basisprincipes moeten interpreteren en toepassen. De Digital Services Act en de AI-wet die eraan zitten te komen zijn ook echte ankers voor wie zich met cybersecurity bezighoudt. Ze zorgen voor grip op de zaak en helpen de orde te bewaren.’
Hebben we menskracht genoeg voor dat alles of gaan we kunstmatige intelligentie inzetten om te handhaven?
Bram: ‘Ik heb voor mijn boek (*) met twintig cybersecuritydeskundigen gesproken en bij alle interviews kwam AI aan de orde, als trend of als ontwikkeling, soms als bedreiging. Ik zie twee stromingen: mensen die denken dat het zo’n vaart niet loopt; dat generatieve bots als ChatGPT geen echte bedreiging vormen, terwijl aanhangers van de andere stroming denken dat aanvallen die met AI worden gedaan serieus genomen moeten worden en liefst ook met AI bestreden moeten worden. Ik ben van het laatstgenoemde standpunt. AI heeft alles mee: we hebben de rekenkracht, de kennis en het kapitaal om algoritmes te ontwikkelen die ons werk uit handen nemen. Voor ons als mens is het zaak dat we AI goed toepassen. Die bewaker die vroeger op een monitorenwand alles in de gaten moest houden wordt steeds vaker automatisch gealarmeerd als er iets afwijkends plaatsvindt, of het nu op beeld is of in netwerkverkeer. De mens houdt dankzij AI dus tijd over om iets anders te gaan doen. En dat is hard nodig, want er ligt werk genoeg. Eentonig werk moet je vooral door een bot laten doen. We moeten het omarmen, ermee spelen. Ook de veiligheidskundige.’
En wat als je even bedankt en de bokaal aan je voorbij laat gaan?
Bram: ‘Het nostalgische verlangen naar vroeger snap ik wel. Net als de roep om een pauzeknop waar het de ontwikkeling van AI betreft. Zo’n knop wilden we ook toen de atoombom werd ontwikkeld, terwijl dat nog een vrij overzichtelijke zaak was. Maar als je niet meedoet verlies je de wedloop, want in China en in de V.S. gaan ze echt wel door. Toen Cambridge Analytica via microtargeting de verkiezingen beïnvloedde met mogelijk de Brexit als gevolg, hadden we niets in de gaten; we waren te laat. Ook met AI moeten we mee met de ontwikkeling om er niet door te worden overmand of ingehaald. In de cybersecurity wordt de robuustheid van systemen getest via purple teaming: je laat het rode team een aanval doen terwijl het blauwe team het probeert te verhinderen. Je gebruikt daarbij de nieuwste technieken en leert van elkaar.’
Volgt Nederland wel een adequate strategie?
Bram: ‘We lopen te veel achter de feiten aan. Het NCSC (Nationaal Cyber Security Centre) doet goede dingen en er is een strategie, ook binnen Europa. Maar het beheersen van AI vergt meer dan dat. Als je daar koploper in wilt zijn ben je nu al te laat. Nederland is toe aan een deltaplan en moet snel zijn achterstand proberen in te lopen.’
En anders? Gaan we ten onder aan misinformatie of gijzelsoftware?
Bram: ‘Het is niet de niet de ransomware die ik het meeste vrees, al leidt het tot grote kosten en verontwaardiging als die incidenten bekendgemaakt worden. Ik denk dat bedrijfsspionage hoger scoort. In Nederland bevinden zich veel bedrijven met heel leuke producten waarachter blauwdrukken schuilgaan die het stelen waard zijn. Dat is een serieuze bedreiging van onze handel en onze concurrentiepositie. Nonchalance past ons niet.’
*Security innovation stories, 20 koplopers over innovatie in het cyber security domein.
Het boek, dat uitkomt begin 2024, wordt nog gerecenseerd door DVK.