Let's talk about hacks 8: Wat kunnen we verwachten van cybercriminelen in de toekomst?

Welke uitdagingen verwacht Inge Bryan van Fox-it voor de toekomst? Hoe kunnen we ons wapenen tegen de steeds geavanceerdere technieken van cybercriminelen?

Let's talk about hacks
Beeld: ©ICTU

En welke tips wil ze organisaties meegeven om de cyberweerbaarheid te verhogen? Dat hoor je in aflevering 8 van “Let’s talk about hacks”.

Let’s talk about hacks 8: Wat kunnen we verwachten van cybercriminelen in de toekomst?

BRYAN: Van alle aanvallen die er zijn, hoe onfortuinlijk ook,
is er geen enkele die niet te voorkomen is.
Welkom bij 'Let's talk about hacks'.
Ik ben Robin Rotman en in dit programma praat ik met deskundigen
en betrokkenen over hacken. Hoe voorkom je het?
Wat moet je doen als het je overkomt? En waar zitten de risico's?
BRYAN: Onze inlichtingendiensten zijn ijzersterk.
Wij beschouwen ransomwarebendes als bedreiging voor de nationale veiligheid.
Maak een SWAT-team, blaas ze uit de lucht. Jullie kunnen het,
en ik zou het graag willen zien, en ik ben ook bereid daaraan bij te dragen.
ROTMAN: Dit is een podcastserie van Binnenlandse Zaken
in het kader van de overheidsbrede cyberoefening.
Vandaag gaat het over de vraag hoe we de digitale wereld veilig moeten houden,
terwijl deze exponentieel groeit en we er steeds afhankelijker van worden.
Te gast Inge Bryan, managing director van Fox-IT.
Eigenlijk ben ik te gast bij jou, we zitten op jouw werkkamer.
Van harte welkom.
-Dank je wel.
Leuk om hier te zijn. Zomaar een nieuwtje van een paar maanden geleden,
om het toekomstperspectief van cyberveiligheid schetsen.
Nederland dreigt in de digitale wereld de controle over democratie,
rechtsstaat en het economisch innovatiesysteem te verliezen,
zegt de Cyber Security Raad. Dat is nogal wat.
BRYAN: Dat is ook echt een forse constatering. En dat klopt.
Dat zie ik vanuit mijn praktijk ook gebeuren.
En de term is 'dreigt de controle te verliezen',
Dus nog niet helemaal kwijt. ROTMAN: We zijn nog te redden.
We zijn zeker te redden. Er gebeurt veel goeds, maar die dreiging is enorm.
ROTMAN: De controle over de democratie, hoe dan?
BRYAN: Op verschillende manieren. Het gaat om de basisinfrastructuur
waar onze samenleving op draait.
Controle daarover houden is heel belangrijk.
Dat staat ook hoog op de agenda.
Daar zijn zeker nog stappen in te zetten, maar dat is redelijk te definiëren.
Maar dan heb je ook nog de hele laag van communicatie
waar we allemaal gebruik van maken. Die is niet gecontroleerd.
Een vrije ruimte waar mensen zich in bewegen en daar gebeurt van alles in.
Aan de communicatiekant worden mensen bestookt met informatie
waar natuurlijk heel veel onzin bij zit,
waar een behoorlijke mobiliserende kracht vanuit gaat.
ROTMAN: Dat is communicatie inhoudelijk,
maar gaat het ook over de hardware die wij gebruiken?
BRYAN: Ook, maar dat reken ik dan tot de infrastructuur.
Maar de inhoudlaag, dat is totaal ongrijpbaar en oncontroleerbaar.
Sterker nog, dat is de kern van onze samenleving, dat die open is.
Maar daar zitten wel risico's in.
Dus enerzijds heb je de inhoudelijke kant. Wat delen we met elkaar?
En dat zou zomaar van invloed kunnen zijn op ons democratisch proces.
Dat hebben we ook gezien in een aantal landen.
We hebben ook actieve pogingen gezien van met name Rusland,
geslaagde pogingen, om politieke proces te beïnvloeden
in Frankrijk, in de VS, in Oost-Europa.
In Nederland hebben we dat volgens mij niet kunnen vaststellen,
maar het is mogelijk.
En we zien dat het gebeurt in andere landen, dus zeer mogelijk bij ons.
Maar dat noem ik de communicatielaag en dan heb je de laag daaronder,
onze infrastructuur, en daar zijn ook nog stappen in te zetten.
ROTMAN: En dan hebben we dus de innovatiekracht.
Dat gaat natuurlijk ook over het stelen van bedrijfsgeheimen, ideeën.
Een beetje spionage speelt ook.
BRYAN: Dat kan je ook weer in een aantal categorieën uitsplitsen.
Dat zit in directe diefstal van intellectueel eigendom,
binnendringen in systemen waardoor je intellectueel eigendom jat
en dan zelf gaat produceren, waarmee je de ontwerpkosten bespaart.
Dus dat is een oneigenlijk concurrentievoordeel behaald.
Maar waar het ook om gaat, is dat we sterk zijn, blijven,
en hopelijk worden in een aantal takken van sport,
waardoor we in de voorhoede blijven meedoen.
Dus daarin is innovatie ook belangrijk, want als de krachtigste partijen
het marktaandeel veroveren en wij zitten daar niet bij,
dan gaat het verlies aan innovatieve kracht
direct ten koste van banen, van onze economie.
ROTMAN: Dit wordt uiteindelijk een opgewekt gesprek.
BRYAN: Zeker, we zijn er nog niet.
ROTMAN: We moeten op alle terreinen, overheden, individuen, bedrijven
werken aan onze cybersecurity. Jij hebt ook een achtergrond bij de AIVD.
BRYAN: BZK is dat.
-Jij kan op al die terreinen meepraten.
Dat het hard gaat, weten we.
Maar zijn we ons ook genoeg bewust
van de securityrisico's die daarmee gepaard gaan?
Loopt dat net zo snel op, dat bewustzijn,
of sukkelt dat er toch achteraan?
-Nou, ik denk dat het geheel...
Het gaat om afhankelijkheid.
Waar we willen we autonoom zijn en waar willen we afhankelijk zijn?
Ik denk dat dat in heel veel vakgebieden, net als in de techniek, gegroeid is.
En uiteindelijk is alles wat wij bouwen een weerspiegeling van wie we zijn.
Nederland is toch best een opportunistisch land.
Vaak met een langetermijnblik, maar vaak ook niet.
Dus je kabbelt in een situatie
en nu zitten wij in een situatie dat al onze communicatie verloopt
via private netwerken waar de overheid geen belang in heeft.
Ik vraag me af: is dat verstandig?
Destijds, met privatisering van telecom, was dat misschien een verstandige keus,
maar je moet je afvragen of dat nu nog steeds ons belang dient.
ROTMAN: Maar zeg je dan ook dat de overheid er potentieel beter in is
om dat spul veilig te houden?
-Zou kunnen.
We kunnen beter de middelen richten. Want als je het aan de markt overlaat,
en dan nog steeds, we hebben een kapitalistisch bestel,
dan gaat het over het verwerven van een afzetmarkt,
het verhogen van marges.
En dat is...
Ons doel is veilige, integere communicatie.
En dat hoeft niet altijd hetzelfde doel te zijn.
ROTMAN: Dan heb je het over telefonie, maar ook over internet.
Communicatie in brede zin.
-Het is maar één voorbeeld.
Want het gaat uiteindelijk om dat wij als samenleving definiëren
waarin we autonoom willen zijn
en waarin we ons afhankelijkheden kunnen permitteren.
En van wie willen we dan afhankelijk zijn?
Dat is iets waar niet-structureel op strategisch niveau over wordt nagedacht.
Dus zo'n advies vanuit de CSR begrijp ik heel goed.
Zij zeggen vanuit hun vakgebied: let op, het gaat hier fout.
En ik kan me voorstellen dat er ook andere vakgebieden zijn
waar mensen dat ook zeggen.
En kijk alleen al naar de zorg.
Daar zijn we ook afhankelijk van andere landen als gaat om vaccinproductie.
ROTMAN: Dat hebben we gemerkt, de mondkapjes en vaccins.
Ik wil even blijven focussen,
want jij bent een snelle verteller en jij gaat snel veel kanten op.
We hebben het over hacken hier,
en dan heb je grofweg altijd twee grote groepen die dat doen:
aan de statelijke actoren, ook genoemd in dat bericht waar ik het over had.
China, Rusland, Iran. En je hebt de boeven, de maffia.
BRYAN: De eerste categorie ook.
-Jawel, maar de 'normale' boeven.
Laten we eerst beginnen met die landen.
Voor wie zijn zij nou eigenlijk de dreigingen?
BRYAN: Voor iedereen die veel geld heeft of voor iets staat
dat strijdig is met waarvoor die andere landen staan.
Laat ik het iets concreter te maken:
statelijke actoren zijn zowel niet-westers als westers.
Er zijn zeer ontwikkelde, met name inlichtingendiensten,
die actief zijn op dit terrein, die zich een weg kunnen banen
naar ongeveer alles wat je kunt voorstellen.
Een categorie aanvaller dus,
en ik heb het over Verenigde Staten, Verenigd Koninkrijk, Rusland, China,
Iran, Noord-Korea. Dus dat zijn wel stevige opponenten.
Maar, zeg ik erbij, op het geheel van aanvallen
van alles wat er in de wereld gebeurt, is dat nog niet 1 procent.
Als het hebt over cybersecurity, heb je een fractie aan statelijke aanvallen.
Overigens zijn dat dan wel de aanvallen met enorme impact.
ROTMAN: Kwantitatief de kleinste, kwalitatief de grootste impact.
We willen zoveel mogelijk oplossingen en concrete dingen horen.
Je noemde net al: het zou niet zo gek zijn als de overheid
dat communicatieapparaat weer naar zich toe gaat trekken.
Wat kunnen we nog meer doen om die landen buiten de deur te houden?
Geheime diensten misschien meer bevoegdheden geven?
BRYAN: Ik denk dat wij een goed geroutineerde geheime dienst hebben.
In relatie tot de taak denk ik dat ze beschikken over juiste bevoegdheden.
Dan kan je je nog afvragen: hoe frequent wordt dat toegepast?
Heb je dan ook voldoende capaciteit om al die taken goed uit te voeren?
Dat vraag ik me weleens af.
En 2 is, met de uitvoering van al die taken en bevoegdheden die ze hebben:
dat levert een bepaald beeld op. Doe daar nou eens een keer wat mee.
Want ik lees al jarenlang trouw de jaarverslagen van de AIVD.
ROTMAN: Je zegt: er is een hoop kennis over wat er gebeurt,
maar er is niet genoeg daadkracht om daar iets mee te doen.
BRYAN: Exact.
-En wat zou er kunnen gebeuren?
BRYAN: Wat ik zei: de AIVD waarschuwt al ruim tien jaar
voor de presentie van statelijke actoren
en voor welk gevaar zij zijn, specifiek voor welke sectoren
en hoe je je kunt verdedigen en ik zie dat daar bitter weinig mee wordt gedaan.
ROTMAN: Dat zijn dus de universiteiten, de grote corporates?
BRYAN: Maritieme sector, agri-sector, de defensie-industrie, de hightechsector.
En dat is vrij lang.
-Is het een kwestie van geld?
BRYAN: Geld, focus, maar ook je iets door iemand anders laten vertellen.
Als de AIVD dat nu al tien jaar roept, wordt het tijd om te luisteren, denk ik.
Maar dat geldt ook in het algemeen.
ROTMAN: Bijna een oproep aan onze aanstaande regering.
BRYAN: Dat is het ook.
Luister naar je eigen ambtenaren.
-Luisteren ze naar jou?
Heb jij een lijntje lopen naar politici die ertoe doen?
BRYAN: Of ze luisteren weet ik niet, ik zeg het wel. Ik vertel het heel graag
en ik merk dat wat er in de Nederlandse politiek zit...
Daar zit een intrinsieke fragmentatie in. Dat zit in ons veelpartijensysteem,
wat op veel fronten goed is en weerspiegelt wie wij zijn,
maar we zijn bijna een soort confederatie.
We zitten met een heel diverse bevolking die allemaal verschillende dingen willen.
We hebben nu een recordaantal partijen in de Tweede Kamer.
Dat komt de effectieve besluitvorming niet ten goede.
ROTMAN: Dat is de 1 procent statelijke actoren. Daar kunnen we van alles mee.
Er ligt een wereld te winnen om daarmee aan de gang te gaan.
Ik heb ook geleerd, die andere 99 procent, dat zijn de traditionele boeven.
BRYAN: Zwaar georganiseerde criminaliteit, absoluut.
ROTMAN: En is dan ransomware de belangrijkste uitkomst van deze proeven?
Dat is topprioriteit nummer 1.
-We hebben drie à vier zaken per week.
ROTMAN: Jullie?
-Ja, en dat zijn wij alleen maar.
Dan heb je nog een hele cybersecuritysector.
Bedrijven als wij springen als paddestoelen uit de grond.
En het oplossen... Als een bedrijf wordt geraakt door ransomware,
dat is nu gewoon de grootste dreiging die er is.
Ik zeg er even bij: van al die aanvallen die er zijn,
hoe onfortuinlijk ook, er is er geen enkele die niet te voorkomen is.
Ze zijn allemaal te voorkomen. En hoe? Door je IT niet te verwaarlozen.
Door je te realiseren dat als je verschillende netwerken
aan elkaar koppelt, daar een hiërarchie moet aanbrengen.
Dat je segmenteert. En dat raakt ook het begin van deze discussie,
dat je niet alleen als bedrijf, maar ook als samenleving bewust bent:
deze element van samenleving, daar moeten we een muurtje omheen zetten.
'Dit is een bijzonder belang en dat moeten we beschermen.'
ROTMAN: Er is geen enkele ransomware-aanval niet te voorkomen.
Dat is opbeurend nieuws en we kunnen het ook nog allemaal.
Het ligt in ons bereik. Je hoeft geen Inge Bryan te zijn,
je hoeft geen Inge Bryan aan boord te hebben.
BRYAN: Het helpt wel, zeg ik erbij.
-Uiteraard.
ROTMAN: Het ligt in ons bereik.
-Uiteindelijk bij het oplossen,
op het moment dat wij in zo'n incident stappen,
we noemen het 'incident', maar het is catastrofaal.
Dit is voor bedrijven verschrikkelijk.
Dan komt er altijd... We doen onderzoek en dan vind je de oorzaken.
Het is makkelijk praten, maar achteraf kan je altijd zeggen:
Als je dit zo had gedaan, was het niet gebeurd.
ROTMAN: Achteraf is mooi wonen.
-Je denkt: achteraf is makkelijk praten,
Maar de truc is dat je dan vervolgens al die adviezen implementeert
en dat het geen tweede keer gebeurt.
En het lastige is ook: de adviezen die we geven,
gaan over basis-IT-hygiëne.
ROTMAN: Dus die boeven hebben zich nu tot... We leven nu in 2021.
Die boevensector heeft zich ontwikkeld tot een soort maffia-achtige structuur.
Ik hoorde van Diemer Kransen,
de directeur van de Veiligheidsregio Noord en Oost-Gelderland...
Die hebben gewoon een helpdesk. Die kan je bellen.
Dat is gewoon gestoord, eigenlijk.
-Er is één verschil met de maffia.
Die kenmerkt zich ook door een strak hiërarchische structuur
en de kracht van deze netwerken...
ROTMAN: Wat losser allemaal.
-Precies. Het zijn fluïde netwerken
die elkaar vinden puur op expertise en je kan ze dus ook niet...
Ze zijn veel moeilijker te vangen.
ROTMAN: Maar hoe gaat dit zich de komende jaren ontwikkelen?
We schetsen net een soort wereld die alleen maar digitaler wordt
en de fysieke en digitale wereld gaan ook steeds meer vergroeien.
Er wordt nu gesproken over de metaverse. Hoe gaat dit zich ontwikkelen?
BRYAN: De belangrijkste verdedigings- strategie ligt in transparantie,
informatiedeling en zorg voor elkaar.
ROTMAN: Transparantie, informatiedeling en zorg voor elkaar.
Kun je die alle drie even afpellen? Transparantie, wat bedoel je daarmee?
BRYAN: Het is tegenwoordig normaal om aangevallen te worden.
Laten we daar ook informatie over delen,
dus we laten daar transparant over zijn en met elkaar delen: dit is er gebeurd.
ROTMAN: Zoals Diemer Kransen van de veiligheidsregio gedaan heeft
en Hof van Twente, die heb ik ook gesproken.
Gewoon out there komen, het is niets om je voor te schamen.
BRYAN: Toevallig was een collega in Zweden en die hoorde uit het publiek:
'Jullie zijn van Fox, jullie hebben bij Maastricht University geholpen.'
Die hele sector is beter geworden van het feit dat Maastricht University
ervoor gekozen heeft om in detail te delen wat er gebeurd is.
Al die universiteiten, tot en met in Zweden
hebben maatregelen getroffen naar aanleiding hiervan.
En als zij hadden gezwegen, had die hele sector die stap niet gezet.
ROTMAN: Sideline, dat is ook zo mooi van Hack The Hague.
Dat is natuurlijk goed voor Den Haag, maar die werken met software
waarmee veel andere gemeentes ook werken, dus die genieten mee.
Je noemde drie dingen.
-Transparantie, informatiedeling.
Dat is echt van wezenlijk belang.
En daar zal Hans de Vries van het NCSC zeker ook over hebben gesproken.
Het zorgen dat informatie over kwetsbaarheden meteen gedeeld wordt
met mensen die er iets mee kunnen.
Houders van netwerken en beheerders van netwerken, internetserviceproviders.
ROTMAN: Ontwikkelaars.
-Zo snel mogelijk
de juiste informatie geven.
Want er is heel veel informatie beschikbaar over aanvallen.
Dat kan ransomware of DDoS zijn,
maar het kunnen ook misconfiguraties zijn.
Fouten en kwetsbaarheden in systemen, die gespot worden:
'Als je date open hebt staan, ben je dus kwetsbaar.'
Dat moeten wij zo snel mogelijk delen en daar zijn we ook actief mee.
ROTMAN: Daar kan de overheid ook een rol spelen.
BRYAN: Die speelt daar ook een rol in.
Op dit moment heeft het NCSC daar een rol in, al jaren.
Het Digital Trust Center van Economische Zaken heeft ook een rol.
Die hebben daar de afgelopen jaren een forse stap in gezet.
Ze richten zich op verschillende sectoren. Het NCSC op rijk en vitaal,
en Economische Zaken meer op mkb, zeg maar de rest.
En wij zijn als private sector ingestapt met het Anti-Abuse Netwerk
om al die punten aan elkaar te knopen.
ROTMAN: Wat was nou die derde? Zorg voor elkaar?
BRYAN: Zorg voor elkaar is dat je proactief, met elkaar,
en misschien is dat een combinatie,
maar ik denk dat dat is wat onze samenleving sterk maakt.
Dat we niet zeggen 'je bent zo sterk als de zwakste schakel'.
Wij zijn samen de sterkste schakel.
En wij moeten dus voor elkaar met elkaar meekijken.
Als je iets ziet binnen je sector,
neem dan de verantwoordelijkheid om daar ook een punt van te maken.
Het is een samenvatting van beiden. Hoe doe je dat?
Door informatie te delen en transparant te zijn.
ROTMAN: Nu valt de term 'security by design' te pas en te onpas.
En ik gebruik 'm zelf ook te pas en te onpas.
Maar wat betekent het nou werkelijk in de praktijk? Wat is dat nou eigenlijk?
BRYAN: Dat gaat om het toepassen van de principes van goed beheer
en goed bestuur in alles wat je doet.
ROTMAN: Die digitale hygiëne?
-Exact.
IT-hygiëne is eigenlijk heel simpel.
Je hebt als bedrijf scherp zicht op wat je IT precies is.
Wat is er in gebruik? Wat heb je niet meer nodig? Gooi je dat dan ook weg?
Zeg ik ook tegen m'n pubers: ruim die rotzooi op.
Want rotzooi is je grootste kwetsbaarheid.
Als je als groot bedrijf allerlei systemen die je niet meer in gebruik hebt,
of een klein beetje, weg ermee,
want dat zijn de dingen die je aanvalsoppervlakte vergroten.
Dus zorg dat die aanvalsoppervlakte zo klein mogelijk is,
zodat datgene wat je gebruikt en wat naar buiten gericht is, minimaal is.
Dat wil zeggen dat het het doel dient waarvoor het in leven is geroepen.
Niet al te veel fratsen eromheen.
Dus basiskijken naar: is mijn idee functioneel, doet ie wat ie moet doen,
heb ik het goed verzorgd, goed verzorgen betekent updaten,
draait ie op de laatst mogelijke versie,
zit dat patchsysteem ook goed in elkaar of staat dat constant open?
Is er adequaat gesegmenteerd? Dat betekent dat je...
ROTMAN: Als je gepakt wordt, dat er maar een klein stukje van je systeem...
BRYAN: En hiërarchie in netwerken. En dat is een cultureel dingetje.
Ik kom veel tegen dat bedrijven die bestaan uit combinaties
van verschillende onderdelen of verschillende dochterbedrijven hebben,
op een of andere manier, ik denk omdat het sociaal wenselijk is,
geven ze iedereen dezelfde rechten. En dat is helemaal niet nodig.
Het is niet onaardig of onwenselijk om tegen iemand te zeggen:
dit is de hiërarchie in netwerken.
ROTMAN: 'Jij kan alleen hierin en dat is voldoende voor de taken die je hebt.'
BRYAN: Overigens is dat iets anders dan 'zero trust'.
Ik hou niet van die term, dus ik gooi het er maar even in.
Een hippe term die door allerlei mensen wordt gebruikt.
Zero trust betekent dat je je systeem inricht
op het niet vertrouwen van je mensen. Ik vind dat echt het verkeerde signaal.
ROTMAN: Geef de mensen de taken en de bevoegdheden die passen bij de taken.
Dat is helder. Dan de rol van de overheid.
Er luisteren veel ambtenaren.
-Ik ben zelf ex-ambtenaar.
ROTMAN: Ik hoor jou ook weleens vertellen dat de overheid
veel meer verantwoordelijkheid moet nemen voor het digitale publieke domein.
Leg dat eens uit.
BRYAN: Ik zie dat in de overheid veel goede dingen gebeuren.
Het is gefragmenteerd. Dat is me een doorn in het oog,
dus ik zie graag dat er coherenter wordt opgetreden.
ROTMAN: Minister van Digitale Zaken?
-Dat heeft voor- en nadelen.
Een minister van digitale zaken leidt ertoe
dat alle andere ministers zeggen: daar ben ik niet meer van.
Dat zou een onwenselijke reactie zijn.
-Even los van die mensen,
je was aan het vertellen hoe de overheid verantwoordelijkheid kan nemen.
ROTMAN: Dus er moet iemand aangewezen worden.
BRYAN: Die zicht kan houden op coherent optreden
en dat betekent dat je vanuit het centraal budget redeneert.
Dat betekent ook dat je prioriteiten kan stellen,
met enige doorzettingsmacht, over verschillende beleidsterreinen heen.
ROTMAN: Een digitale sheriff.
-Zoals de Deltacommissaris.
Want als je kijkt op welke terreinen we er wel goed in geslaagd zijn
om onze autonomie en innovatie te behouden? Kijk naar de Deltawerken.
Onze waterwerken, daar zijn wij een heel goed voorbeeld in.
Ik zou het mooi vinden als we met een vergelijkbare filosofie
en vergelijkbare bestuurlijke structuur
-Digitale deltawerken.
Ja, dat zou ik wel mooi vinden.
Maar goed, dus dat is aan de bestuurlijke kant.
En als je nou eenmaal het plaatje maakt en ik heb dat een keer gedaan:
wat zijn nu alle verantwoordelijkheden zoals die belegd zijn bij de overheid?
Wat doen ze in de private sector? In non-profit en de educatieve sector?
Dan is dat beeld gefragmenteerd.
-Is het een job voor jou, trouwens?
Je zit niet zo lang bij Fox-IT, maar zou het wat voor je zijn?
BRYAN: Jazeker, ik ben deze uitdaging aangegaan
en ik ga voor dit bedrijf zorgen.
Nog in ieder geval een jaar of vier, daarna mogen ze me bellen.
Een belangrijk punt is:
Ik heb samen met een collega bij Deloitte destijds, mid 2019,
een mooie kaart gemaakt en een hoop mensen uitgenodigd
en gekeken: wie doet nu wat op dit terrein?
En daar zaten flinke lacunes tussen. En wat is nou de grootste lacune?
Die heeft ook de Cyber Security Raad geadresseerd en zijn recente advies:
er is heel weinig georganiseerd op preventie.
Dus vanuit het rijk wordt toegezien op informatie, intel, opsporing, vervolging.
Maar als het gaat om het surveilleren in de publieke ruimte,
zorgen dat onze democratische waarden en normen worden gerespecteerd
in onze digitale publieke ruimte, daar is bijna niks.
ROTMAN: Hou vast: surveilleren in de digitale ruimte.
Hou die vast, die wil ik straks pakken. Eerst heb ik een paar stellingen voor je.
Als we de digitale wereld veilig willen maken en houden,
zullen we een deel van onze privacy moeten inleveren. Waar of niet waar?
BRYAN: Nee. Privacy is integraal deel van de zorg voor informatieveiligheid.
Goeie cybersecurity waarborgt privacy.
-De strijd tegen hackers
wordt over een paar jaar voornamelijk door slimme systemen en robots
namens ons gevoerd.
-De strijd tegen hackers wordt gevoerd
door hackers die hier zitten. Daar ben ik heel trots op.
Ik zou ook die negatieve connotatie willen loslaten.
Het is niet de strijd tegen hackers. We strijden tegen boeven, tegen fout volk.
Die hebben een paar hackers ingehuurd, maar hackers op zich gaan ons redden.
ROTMAN: Het zijn de hackers, de denkkracht van de ethische hackers.
BRYAN: Ik zal je wel vertellen waar AI ons enorm in gaat helpen.
Een van de randvoorwaarden om onze samenleving
een open samenleving te laten zijn, is dat wij goed kunnen monitoren.
En monitoren, daarin kan AI helpen.
ROTMAN: De derde heb ik al gevraagd, maar ik gooi 'm gewoon op tafel.
Opsporingsdiensten hebben te weinig mogelijkheden om hackers te pakken.
BRYAN: Nee. Ze hebben de bevoegdheden die ze nodig hebben
en ik vind dat ze veel en veel te weinig worden ingezet.
Er moet veel meer gehackt worden door de politie. Een prachtig middel.
Gebruik het.
-Toelichting komt achteraf.
Jij hebt toelichting gegeven bij elke stelling, dus we laten het hierbij.
Waar hadden het net over? O ja, het surveilleren.
Surveilleren niet alleen op straat, in politieauto's door de straten rijden,
maar we moeten digitaal gaan surveilleren.
Dat vind ik een mooi beeld. Maar wat bedoel je daar nou eigenlijk mee?
BRYAN: Daarmee bedoel ik A, dat er een omgeving is die toegankelijk is
voor overheidsdienaren en misschien voor vrijwilligersorganisaties.
Dat betekent als je 'm toegankelijk maakt, dan moet ie dus transparant zijn.
Misschien moet ie wel deels echt publieke ruimte zijn en van onszelf.
Dus van ons, van het rijk. Dat is 1. En 2 is:
Er moet dus een dienst zijn die,
net zoals er een inspectie is voor de gezondheidszorg,
zou dat ook daar moeten kunnen plaatsvinden.
ROTMAN: Maar hoe ziet surveilleren er dan uit?
Ik snap het beeld wel, maar hoe werkt dat dan?
BRYAN: Dat kan bijvoorbeeld...
Je kan erop toezien dat aanbieders van internet, van verbindingen
zich houden aan wet en regelgeving.
Maar ook zorgen dat er nette content is,
dat er geen criminaliteit en ellende op staat.
En dan kan je zeggen: we hebben brief- geheim. Zorgen dat het er niet op staat.
Dus zorgen dat wij onze sectoren zo inrichten
dat ze een intrinsieke motivatie hebben om het veilig en mooi en fijn te houden.
Dat is 1. 2 is: hoe zou het surveilleren eruit kunnen zien?
Ik begreep dat er nu een autoriteit wordt opgezet...
van de digitale omgeving.
Het is me nog niet helemaal duidelijk hoe die gaat functioneren.
Maar dat moet niet alleen een reactieve dienst zijn,
daar moet ook een proactieve actie in zitten.
ROTMAN: Maar dat klinkt voor mij, wat ik altijd noem...
Ik gooi die vraag vaak op tafel, omdat ik het een leuk gedachte-experiment vind.
Je hebt de financiële accountant. Bedrijven zijn elk jaar verplicht
een onafhankelijk persoon binnen te laten om die boeken te checken.
Moet er dan niet ook een digitale accountant komen die elk jaar
bij al die organisaties en de overheid naar binnen gaat?
'Heb je je security shit wel op orde?
Heb je je privacy wel op orde?' En dan verplicht stellen.
BRYAN: De kernstelling achter die vraag of opmerking is:
digitale processen zeggen heel veel over de continuïteit van bedrijven.
Er bestaan accountants, omdat het Rijk op een gegeven moment heeft gezegd:
je moet kunnen toezien op de financiële continuïteit van een bedrijf
en dat doen we om investeerders te beschermen tegen desinvestering.
En om de werkgelegenheid te beschermen.
ROTMAN: Op dezelfde manier moet je naar cybersecurity kijken.
BRYAN: Wat er nu aan de hand is, is dat het niet langer de financiële lijn is,
die dominant is, of een bedrijf gaat overleven of niet, maar een digitale lijn.
ROTMAN: Maar dit zegt wel de baas van een cybersecuritybedrijf.
Die denkt: mooi, kunnen we gelijk een gebouw naast ons gebouw zetten.
Want de beroepsgroep wordt vijf keer zo groot.
BRYAN: Ik heb hiervoor bij een accountantskantoor gewerkt,
dus ik heb die beroepsgroep ook leren kennen
en ik ben met name een veiligheidsmevrouw.
Ik zie, als ik kijk waar het fout gaat,
dat de impact van financiële malaise uiteraard ook nog steeds aanwezig is.
Er gaan nog steeds bedrijven failliet door mismanagement. Dat is de kern.
Daarom is er een accountantsverklaring.
Maar als je kijkt naar het aantal bedrijven dat omvalt door
mismanagement, dat is het dan eigenlijk ook,
maar door het niet managen van hun IT-veiligheid.
Ik denk dat dat inmiddels, maar dat zal je aan het CBS moeten vragen, groter is.
Het grappige is, je merkt dat ik terug- houdend ben en mismanagement 'zeg'.
Maar als we het in de financiële sector zo noemen,
waarom dan niet in de IT-sector?
ROTMAN: Daarom rechtvaardigt het dat je dan elk jaar iemand moet laten komen.
En dat zou je moeten verwelkomen ook.
-Jazeker, en waarom?
Omdat ze, en ik moet zeggen:
niet omdat er dan een hele nieuwe beroepsgroepen moeten opstaan.
En ik heb ook niet een grenzeloos vertrouwen in de kwaliteit
van al dat soort audits, maar wel in de verplichting daartoe,
zodat bestuurders zich eigenaar gaan voelen hiervan.
ROTMAN: Dan nog even weer terug naar de ambtenaar die nu aan het luisteren is.
BRYAN: Hoi, oud-collega.
-Alle oud-collega's.
Die moeten er dus ook wat mee. Wat kunnen zij nou doen?
Het is een groot en log systeem.
Die hebben te maken met de overheid die aan de ene kant partij en speler is
en misschien ook wel privacyschender is.
En tegelijkertijd is het de toezichthouder.
Heb jij een idee hoe dé ambtenaar, dat is natuurlijk een heel groot...
Wat kunnen zij nou doen om de digitale wereld veilig te houden?
De wereld die steeds meer versmelt met de fysieke wereld.
BRYAN: Heel veel. En dan maak ik onderscheid tussen de ambtenaar
en de uitvoeringsorganisatie en de ambtenaar en de beleidsorganisatie.
ROTMAN: Eerst de uitvoeringsorganisatie noem eens wat concrete dingen.
Degene die uitvoeringsorganisaties leiden
zou ik een dringend beroep op willen doen
om oog te hebben voor de digitale componenten van je werk.
Ik hoor heel vaak mensen zeggen: 'digitaal, dat komt erbij.
dus we moeten meer budget hebben.' Nee, want er gaat ook iets vanaf.
Want de wereld verandert. Er komt niet alleen maar wat bij,
maar het wat er in de fysieke wereld gebeurt,
dat neemt ook af. Het is gewoon anders.
ROTMAN: Concreet: aandacht voor de digitale component van je werk.
Nu hebben we het over de mensen in de uitvoering.
Hoe doe je dat? Cursussen, trainingen?
Wat is dat? BRYAN: Cursussen, trainingen,
kennis in huis halen. Daar is de overheid veel mee bezig.
Maar kijk ook naar de taakstelling van je eigen directie of je eigen DG.
Waar zijn we mee bezig? Als dit de kerntaak is...
Iedere bestuurder in een ambtelijke organisatie zou zich moeten afvragen:
'Geef ik dezelfde zorg, fiscaal, gezondheid,
educatie, al dat soort termen,
doe ik evenveel op het digitale domein als in het fysieke domein?'
Zo nee, dan doe je niet goed.
ROTMAN: Nu heb je het tegen de leiding- gevenden van de mensen in de uitvoering
en de mensen in de uitvoering zelf: Wat is dan je tip aan deze mensen?
Let erop dat je wachtwoord niet 'welkom2021' is?
Die kennen we inmiddels. Nu willen we een specialistische tip van Inge Bryan.
BRYAN: Om eerlijk te zijn,
ik denk dat ze het van alle segmenten in de uitvoering nog het beste doen.
Want wijkagenten die kijken van nature wat er in het digitale domein gebeurt,
ze surveilleren in de digitale ruimte.
Bij de politie gebeurt dat al op een aantal terreinen.
ROTMAN: En op de ministeries, gemeentehuizen en provinciehuizen?
BRYAN: Te weinig.
ROTMAN: Dus ze moeten wat alerter... Ook daar weer.
'Hoe ziet jouw digitale wereld eruit? Wees bewust.'
BRYAN: En als ik in een taak heb uit te voeren, dan heb ik die uit te voeren,
ook in de digitale wereld, want dat is de helft van ons leven inmiddels.
ROTMAN: En dan die andere groep.
Je maakt onderscheid tussen de uitvoering en de beleidskant.
BRYAN: Bij beleid zie ik de grootste fragmentatie optreden,
dus het niet monomaan je eigen onderwerpje pakken,
maar zorgen dat je naar het systeem kijkt, naar de systeemwerking
en zorg dat er positieve incentives zitten
in al die beleidsterreinen om het digitale domein te omarmen.
En ik merk dat er bij sommige onderdelen een terugtrekkende beweging is.
'Daar zijn wij niet van.' Dat kan je niet zeggen.
Als we met beleidsmakers bij onderwijs praten
en zeggen: Die curriculumherziening voor het basis- en voortgezet onderwijs,
daar moet een sterke digitale component in komen. De reactie die ik kreeg:
'Wij gaan over de kwaliteit van het curriculum, niet de inhoud.'
Dan ben je echt totaal losgezongen van deze wereld.
ROTMAN: Daar moet ook aandacht voor komen.
Tijdens ons vorige gesprek riep jij heel stoer:
'Je moet die ransomwarebendes gewoon uit de lucht blazen.'
BRYAN: Dat zou ik gaaf vinden.
-Toen heb ik niet doorgevraagd,
want die wilde ik bewaren voor de opname.
Ransomwarebendes uit de lucht blazen. Je begint te shinen. Wat is dat?
BRYAN: Het lastige is: we weten waar ze zitten.
Niet allemaal fysiek, een aantal wel.
Een aantal chique plekken aan de Krim,
waar we echt wel weten waar een paar foute boeven zitten.
Dat is helder. Rusland speelt hier een grote rol in.
Ik vind het mooi dat Biden in zijn gesprek een tijd geleden met Poetin
al iets heeft gedaan.
ROTMAN: Dit is de analyse. We moeten ze uit de lucht blazen. Wat is dat?
BRYAN: Offensieve middelen inzetten.
Onze opsporing is een defensief retrospectief.
Onze inlichtingendiensten zijn ijzersterk
en ik zou heel graag zien dat we een soort SWAT-team opzetten
en ben ook bereid daaraan bij te dragen. Ik zou het heel mooi vinden als wij,
wellicht versterkt met de private sector, maar binnen de overheid, zeggen:
wij beschouwen ransomwarebendes
als een bedreiging voor onze nationale veiligheid.
Ik heb dat het hoofd van de AIVD letterlijk horen zeggen.
Als je een podcast met hem doet, is dit mijn doorgeefvraag.
Maak een SWAT-team, blaas ze uit de lucht.
Jullie kunnen het en ik zou het graag willen zien.
ROTMAN: Die nemen we mee. U refereerde aan de doorgeefvraag.
Diemer Kransen, van de Veiligheidsregio Noord en Oost-Gelderland, heeft 'n vraag.
'Ik zou van haar wel willen weten hoe zij in de toekomst ziet,
hoe de digitale veiligheid en de fysieke veiligheid
zich tot elkaar gaan verhouden en welke risico's daaraan verbonden zijn.'
BRYAN: Goeie en terechte vraag. Zeker vanuit zijn perspectief snap ik 'm.
Een veiligheidsregio, van oudsher gericht op de fysieke wereld,
geldt eigenlijk voor de hele veiligheidszorg in Nederland.
ROTMAN: Gaat vaak over politie, brandweer.
BRYAN: De fysieke wereld gaat voor en waarom?
Heel simpel. Als iemand ligt te bloeden op straat, dan gaat ie altijd voor.
Nu is die digitale wereld steeds meer present in het fysieke.
Heel simpel: er is geen fysieke wereld meer zonder digitaal.
Onze elektriciteitsvoorziening,
de toegangsvoorziening tot de meeste bedrijven, tot en met deuren en poortjes.
Als er geen... Zonder digitale wereld doet het het gewoon niet.
En dat betekent dat je het monitoren van veiligheid,
daarin gebruik je steeds meer digitale middelen.
Maar dat betekent dat oplossingen ook meer op het digitale terrein komen.
Dus dan kan je, vooral vanuit perspectief van de veiligheidsregio,
bijvoorbeeld digitale middelen inzetten.
In crowd control kan je zorgen dat je digitale middelen inzet
om ergens te voorkomen dat er een opeenhoping van mensen ontstaat.
Of op het moment dat dat gebeurt, dat je snel voor een afvloeiing zorgt.
En ik denk dat je dat sterker kan doen door social media te gebruiken.
De bekende kruisjes boven de weg. Dat is allemaal digitaal.
ROTMAN: Dus met digitale middelen kan je de fysieke veiligheid groter te maken.
Die SWAT-teams, dat zou ook een taak kunnen worden van Diemer Kransen
en zijn collega's van de veiligheidsregio's.
BRYAN: Nee, dat moet je wel op rijksniveau beleggen.
Het is een nationale dreiging, dus op nationaal niveau beleggen.
ROTMAN: Die impact is groot,
die werelden gaan meer en meer versmelten.
En daar moeten we dus mee aan de slag.
BRYAN: Ik ben blij dat hij die vraag stelt,
want zeker in zijn positie is het echt heel reëel
en ik zou ook graag willen dat hij de middelen krijgt
om die digitale veranderslag te maken. Het besef:
je kan ook in het fysieke domein niet meer volledige veiligheidszorg bieden,
als je niet over uitgebreide digitale middelen beschikt.
ROTMAN: Inge Bryan, wat weet je er veel van.
BRYAN: Het is ook zo'n mooi vak.
-Dank je, ik heb een hoop geleerd.
Ik hoop de luisteraars ook.
Luister ook de andere aflevering van 'Let's talk about hacks'
en ga je hiervoor naar weerbaredigitaleoverheid.nl.