Frank Breedijk over AI en de toekomst van security: ‘Het is niet de technologie die ons moet leiden, maar hoe wij ermee omgaan’

Frank Breedijk over AI en de toekomst van security: 'Het is niet de technologie die ons moet leiden, maar hoe wij ermee omgaan' cover

​​Frank Breedijk is al bijna twee decennia lang CISO bij Schuberg Philis, IT bedrijf voor missie-kritische infrastructuur. Zijn rol biedt eenuniek perspectief op de snel veranderende wereld van cybersecurity – van de uitdagingen van technologische innovaties tot de beloften en valkuilen van AI-aangedreven beveiligingsmiddelen. Frank beschrijft zijn passie voor het vak en het belang van het daadwerkelijk begrijpen wat je beschermt.

Security: een specialisme dat generalisme vereist

Frank begon zijn carrière in cybersecurity in de jaren ‘90 als programmeur, toen het nog ‘informatiebeveiliging’ was. Zijn technische achtergrond maakte de overgang naar security organisch, maar wat Frank vooral aansprak was de veelzijdigheid van het vak. "Security is een vak dat tegelijk specialistisch en generiek is. Je moet veel weten over verschillende onderwerpen om een organisatie goed te beveiligen. Als je niet écht goed begrijpt waar iets over gaat, dan kun je het ook nooit goed beveiligen."

Als CISO van Schuberg Philis is Frank verantwoordelijk voor de security van een IT organisatie die werkt met missie-kritische bedrijfsapplicaties van klanten in de vitale infrastructuur. "Security is voor ons een 'license to operate', het zit in ons DNA. Het hoort simpelweg bij alles wat we doen, zeker als je de kroonjuwelen van organisaties beschermt." Ook benadrukt hij het belang van de menselijke kant van security. "Het mooiste aspect van mijn werk is de verbinding maken tussen de technische teams en de mensen die de beslissingen nemen. Het is belangrijk om beiden te begrijpen en op die manier een brug te slaan tussen deze twee werelden."

Hij legt uit dat het in de CISO-rol niet alleen gaat om technologie, maar vooral om communicatie en overtuiging. "Het is een combinatie van psychologie en techniek. Als CISO moet je niet alleen de engineers begrijpen, maar ook de mensen die de zakelijke beslissingen nemen. Het gaat om het overtuigen van beide partijen op basis van feiten, maar ook met een dosis empathie, zonder het grote doel uit het oog te verliezen: de veiligheid en bedrijfscontinuïteit van organisaties."

AI in cybersecurity: hype of de toekomst?

Eén van de grootste uitdagingen in de sector is de impact van artificial intelligence op de manier waarop we cyberbeveiliging benaderen. Frank deelt zijn visie over de potentie van AI, maar waarschuwt ook voor de valkuilen. "AI kan onmiskenbaar helpen, maar we moeten het zien als een hulpmiddel, niet als de oplossing. Ik zeg altijd maar zo, het is een intelligent assistant, en zeker niet andersom. AI kan een mooie voorspelling doen, maar het blijft een “educated best guess”, geen keiharde zekerheid.

Neem generative AI als voorbeeld: met technologie zoals voice cloning en video cloning komen we op een punt waar zelfs een goed gemaakte phishing-mail een heel ander niveau bereikt. Vroeger konden we nog checken op spelfouten, maar die zijn nu nauwelijks een betrouwbare indicator meer. Wat mij betreft moet technologie altijd in dienst staan van de mens. Als het te mooi lijkt om waar te zijn, is dat waarschijnlijk ook zo. Mensen moeten leren dat ze altijd terug moeten kunnen vallen op veilige, betrouwbare processen."

Technologische innovaties die de security sector vormgeven

Volgens Frank staat de security sector aan de vooravond van veel technologische innovaties, maar hij is voorzichtig met de hype rondom AI. "De grootste doorbraken zitten waarschijnlijk nog in de toekomst. We staan nu pas aan de oppervlakte van wat AI kan doen voor security." Hij ziet vooral potentieel in het gebruik van AI in managed detection en response, waar AI kan helpen om bedreigingen te identificeren die voor mensen moeilijk waar te nemen zijn. "AI kan bijvoorbeeld heel goed helpen om patronen te herkennen die de moeite waard zijn om te onderzoeken. Maar we moeten blijven kijken naar wat AI goed doet en waar de mens nog altijd onmisbaar is."

Frank is echter kritisch op de snelheid van innovatie binnen de security sector zelf. "In Nederland is de security sector relatief klein en dat zorgt ervoor dat innovatie soms stagneert. Er is een voorkeur voor bewezen oplossingen in plaats van het omarmen van nieuwe technologieën, vooral als het gaat om kleinere, innovatieve spelers."

De nieuwe norm: Zero Trust

Eén van de belangrijkste trends in security is de verschuiving naar een zero trust-model. Frank deelt hoe Schuberg Philis deze aanpak al heeft omarmd. "We hebben ons interne netwerk opgeheven. Alle toegang tot klantapplicaties gebeurt op een veilige manier, en dat geldt ook voor onze eigen systemen."

Zero trust is voor Frank meer dan een modewoord; het is de toekomst van security. "Met cloudtechnologieën kunnen we nu veel meer doen met gescheiden applicaties en een veel striktere controle op wie toegang heeft tot welke systemen. Dit maakt het makkelijker om veiligheid te waarborgen zonder de operationele efficiëntie in gevaar te brengen."

Security is een proces, geen eindpunt

Als het gaat om de toekomst van security, benadrukt Frank het belang van voortdurende educatie en innovatie. "De security sector moet zich blijven aanpassen aan de snelheid van technologische ontwikkelingen. Dit betekent dat security professionals zich niet alleen moeten focussen op techniek, maar ook op het verbeteren van processen en mensen."

Zijn belangrijkste boodschap voor de toekomst: "Security is geen eindpunt, het is een proces. Het is een continu leren en verbeteren. Alleen door onze processen, mensen en technologie continu te verbeteren, kunnen we de beveiliging van kritieke systemen waarborgen."

Vergelijkbare berichten