Fleur van Leusden, CISO bij de Kiesraad, over innovatie

Haar opleiding criminologie en fascinatie voor computers bleken een gouden combinatie om de cyberwereld in te gaan. Fleur van Leusden schopte het met haar kennis, ervaring en kritische mindset dan ook tot CISO bij de Kiesraad.

Zij stelt de vragen die niemand meer vraagt, om fundamentele problemen in de sector op te lossen. “Ik zie veel innovaties voor minder prangende onderwerpen. Ik denk dan: leuk bedacht, maar het is een andere naam voor iets wat al bestaat. Het bedrijfsleven heeft daarnaast snel de neiging om
-onterecht- te roepen dat ze weten waar ik naar op zoek ben.” Ook trends AI en XDR leiden volgens Fleur af van de échte problemen waar we naar zouden moeten kijken.

De loopbaan van Fleur: een criminoloog met een fascinatie voor computers

Een opleiding criminologie en een fascinatie voor computers was de ideale mix voor Fleur om het IT-securitydomein in te gaan. Fleur werd een van de eerste internetrechercheurs in Nederland. Maar ze wilde meer.

“Ik wilde doorontwikkelen, alleen dat ging lastig bij de politie. IT-bedrijf Capgemini benaderde haar op het juiste moment. “Zij wilden mij langere tijd detacheren bij de overheid voor een aantal klussen.” Door te werken voor de overheid kon Fleur bijdragen aan het publieke belang. Dat was een belangrijke voorwaarde voor haar. Vier jaar later ging ze aan de slag bij de Onderzoeksraad voor Veiligheid, om daar te gaan werken als digitaal onderzoeker. Daar ontwikkelde Fleur zich helemaal op het gebied van security. “Ik merkte dat ik steeds meer met security wilde doen. Daar had ik dan ook wel een mening over, al werd dat niet altijd gewaardeerd. Dan gaf ik aan dat de security voor verbetering vatbaar was.”

Dat was de aanleiding dat Fleur uiteindelijk de overstap maakte naar de Autoriteit Consument & Markt (ACM) waar ze een CISO zochten. “Als CISO mag je dus ook echt iets van security vinden. Na de ACM ging ik aan de slag bij de Kiesraad, in hetzelfde gebouw.”

“Innovatie in de securitysector is er wel, maar het gaat langzaam. Dat komt niet omdat er te weinig slimme mensen zijn, dat er niet genoeg geld is of dat regeltjes ons te veel tegenhouden. Maar de problemen waar we mee worstelen zijn heel fundamenteel.”

Visie op innovatie in security

Fleur ziet innovatie als iets wat voorheen niet kon, of wat heel veel beter kan. Er dient sprake te zijn van een significante verandering of verbetering, stelt ze. Het beste voorbeeld van security by design vindt Fleur de homeknop van de iPhone die ook als een vingerafdruk werkt. Die knop moet je sowieso indrukken, dus een gebruiker hoeft niets extra’s te doen ten opzichte van de normale handelingen. En de telefoon is wel veiliger.

Fleur ziet dat er veel pogingen in de securitysector gedaan worden om te innoveren. “De innovatie is er wel, maar het gaat langzaam. En dat ligt denk ik ook aan dat de problemen waar we mee worstelen heel fundamenteel zijn.” Ze legt uit dat het niet komt omdat er te weinig slimme mensen zijn, dat er niet genoeg geld is of dat regeltjes ons te veel tegenhouden. “Om een voorbeeld te noemen: het feit dat wij nog steeds wachtwoorden nodig hebben voor een heleboel dingen. Daar zijn innovaties voor. Maar die innovaties zijn niet goed genoeg om écht wachtwoorden te gaan vervangen.” Dat is iets wat Fleur een fundamenteel probleem noemt: een probleem waar maar geen oplossing voor lijkt te komen. “Er zijn geen mensen in de securitywereld die wachtwoorden een goed idee vinden. Tweefactorauthenticatie maakt het iets minder slecht. Maar het is niet die homeknop van de iPhone. En dat zoeken we eigenlijk wel.”

We vragen haar wat er dan wél is op dit gebied. Ze noemt de Fast Identity Online Alliance (FIDO). “Maar het vervangt wachtwoorden voor bijvoorbeeld een code”, zegt Fleur. “Iets anders is de YubiKey. Een andere vorm van tweefactorauthenticatie. Is dat dan innovatie? We proberen heel veel, maar het lost het fundamentele probleem van wachtwoorden niet op. Het ei van Columbus hebben we nog niet gevonden.”

Praktijkvoorbeeld: Autorisatie en awareness

Dat ei van Columbus is ook op andere gebieden nog niet gevonden. “Denk aan autorisaties.” Mensen hebben nog steeds te vaak te veel rechten. Of te lang. Je kunt hier allerlei slimmigheidjes voor bedenken, maar dat is nog geen Active Directory. Dat was trouwens wel een innovatie. Waarom? Omdat het autorisaties in een Windows netwerk veel eenvoudiger en veiliger maakte dan daarvoor.”

Fleurs conclusie: we innoveren niet voldoende in de sector. Maar dat komt niet omdat we het niet proberen. Ook ziet ze veel innovaties voor minder prangende onderwerpen. “Ik denk dan: leuk bedacht, maar het is een andere naam voor iets wat al bestaat. Het bedrijfsleven heeft daarnaast snel de neiging om – onterecht – te roepen dat ze weten waar mensen naar op zoek zijn. De wensen van een eindklant zoals ik wijken vaak af van wat andere mensen willen. En leveranciers willen juist iets bouwen wat ze op grote schaal kunnen toepassen.”

Maar wat valt er dan nog te verkopen aan een CISO? Of aan de security van een bedrijf? “Dan kom je uit op awareness. En die nep phishing e-mails verkopen het lekkerst, want ze zijn makkelijk, goedkoop en zichtbaar.” Ethisch discutabel wat Fleur betreft. “Idealiter creëer je een omgeving van vertrouwen waarin mensen dingen kunnen melden”, vertelt ze. “Je moet zorgen dat je de technische maatregelen op orde hebt. Je mensen in de operatie zijn je last line of defense en ze zijn níet de zwakste schakel.”

Belangrijk voor innovatie?
“We innoveren niet voldoende in de sector en ik zie veel innovaties voor minder prangende onderwerpen. Ik denk dan: leuk bedacht, maar het is een andere naam voor iets wat al bestaat. Het bedrijfsleven heeft daarnaast snel de neiging om – onterecht – te roepen dat ze weten waar ik naar op zoek ben.”

Succesfactor: Kijk niet naar hypes, maar naar echte problemen

Innovatie draait wat Fleur betreft om iets wat voorheen niet kon, of wat heel veel beter kan. Er moet sprake zijn van een significante verandering of verbetering. Ze ziet AI en Extended Detection and Response (XDR) als trends, een hype, niet als innovaties. “Het voegt feitelijk niets toe en het leidt af van de echte problemen waar we naar zouden moeten kijken.”

Een opkomende AI-gerelateerde oplossing is XDR. Dit is een uitbreiding op Endpoint Detection Response (EDR). EDR richt zich alleen op het beveiligen van zogeheten endpoints, zoals laptops, servers of telefoons. XDR gaat een stap verder: het richt zich op het grotere geheel, dus ook de applicaties en gebruikersaccounts bijvoorbeeld. “Het wordt aangeprijsd als oplossing die je beveiliging kan overnemen, maar dat is niet waar. Althans, nu nog niet. Met betrekking tot security moet je mechanismes hebben waar je voor honderd procent vanuit kunt gaan. Met AI kan dat niet. Het is te onvoorspelbaar en ondoorzichtig. AI is daarom nog niet geschikt om nu al securitytoepassingen over te nemen.”