Godfried Boshuizen: “Je moet op gebied van cyber niet concurreren met elkaar”
“Als je elkaar vertrouwt, kan je in vertrouwen informatie uitwisselen,” zegt Godfried Boshuizen. Zijn jaren in de Rotterdamse haven laten zien hoe dat er in de praktijk uitziet: via het Haven ISAC, dagelijkse korte lijnen tussen CISO’s en uiteindelijk de oprichting van FERM – een publiek-privaat cyberweerbaarheidscentrum waar organisaties na de Maersk-hack besloten dat losse initiatieven niet genoeg waren. Die samenwerking ontstond omdat terminals, energieleveranciers, maritieme dienstverleners en gemeentelijke partijen realiseerden dat ze elkaar nodig hadden om digitale verstoringen voor te blijven.
In dit artikel duiken we in het gesprek met Godfried, security consultant, CISO en jarenlang actief in de maritieme en industriële sector. Zijn perspectief is relevant voor het bredere onderzoek naar innovatie in security: niet omdat hij pleit voor nóg meer tooling, maar omdat hij laat zien hoe ketensamenwerking, vertrouwen en inzicht in je eigen landschap de basis vormen voor vooruitgang. Innovatie zit volgens hem niet alleen in technologie, maar juist in hoe organisaties elkaar weten te vinden in een complexe, steeds meer verweven infrastructuur.
Over Godfried Boshuizen
Huidige rol: OT & IT cyber security principal
Achtergrond: Godfried is Security Consultant met ruim 25 jaar ervaring in IT- en OT-omgevingen, van maritieme security tot NIS2-implementaties in vitale ketens. Hij staat bekend om zijn nuchtere, technisch onderbouwde blik en zijn inzet voor ketenweerbaarheid in de Rotterdamse haven, onder andere via het FERM-netwerk en de Harbour ISAC.
“Je moet je keten kennen voordat je problemen krijgt”
De manier waarop de Rotterdamse haven ketensamenwerking heeft georganiseerd, is volgens Godfried noodzaak. “Binnen een keten zie je wel dat bedrijven elkaar kennen, maar dat is vaak contractueel op economisch vlak en veel minder op cybervlak.” Dat is precies het risico: organisaties delen wel data, processen en afhankelijkheden, maar geen dreigingsinformatie. Toen Godfried vicevoorzitter werd van het haven-ISAC zag hij hoe snel dat anders kan wanneer bedrijven elkaar wél kennen op cyberniveau: “Ik had de CISO’s van de andere containerterminals op speed dial. Als er bij ons iets gebeurde, kon ik bellen: zien jullie ook iets gebeuren en ondernemen jullie actie?”
Het geheim zit volgens hem niet in grote structuren, maar in vertrouwen. In besloten sessies, ontbijtbijeenkomsten en de zogenoemde Port Cybercafés bouwden organisaties aan relaties die pas echt waardevol worden wanneer er druk op de keten staat. Daar wordt informatie gedeeld onder TLP-classificaties, met de afspraak dat gevoelige informatie niet verder verspreid wordt. “Als je elkaar vertrouwt en je weet dat afspraken worden gerespecteerd, dan kan je in vertrouwen informatie uitwisselen. Dat helpt om incidenten sneller op te lossen of te mitigeren.” Binnen de haven werkt dat niet alleen omdat partijen elkaar zien als collega’s, maar omdat niemand zich kan veroorloven om stil te vallen: logistiek is nu eenmaal zo sterk als de zwakste schakel.
Waarom je op cyber niet moet concurreren
“Je moet op gebied van cyber eigenlijk niet concurreren met elkaar.” De concurrentie in havens – operationeel, commercieel, logistiek – is enorm. Maar zodra het over cybersecurity gaat, moet die reflex uit. Volgens hem is dat een mindset die nog lang niet overal is doorgedrongen, zeker niet buiten vitale sectoren. “Het zijn vaak gerichte aanvallen op een logistieke keten. Als één organisatie geraakt wordt, dan zie je dat een andere vaak hetzelfde moment doelwit is.” Dat maakt defensie collectief; niemand redt het alleen.
In het haven-ISAC werd dat principe concreet: aanvallen werden besproken, indicatoren van compromise werden uitgewisseld en verdachte patronen gingen dezelfde dag nog rond. Die snelheid, mogelijk door informele lijnen, is volgens Godfried onmisbaar. Niet alleen digitale intrusies, maar ook fysieke infiltratiepogingen, zoals insluipers op terminals, werden gedeeld. “Je ziet dat statelijke actoren hybride operandi gebruiken. Als het digitaal niet lukt, doen ze het fysiek.” Voor innovatie betekent dat: security wordt multidisciplinair.
Weten wat je hebt: de fundering onder weerbaarheid
Godfried herhaalt het vaker dan welke andere boodschap dan ook: “Een van de belangrijkste dingen is assetmanagement; weten wat je hebt.” In de praktijk blijkt dat zelfs grote organisaties niet weten welke systemen draaien, waar ze staan, welke firmwareversies actief zijn of welke machines ooit ad-hoc vervangen zijn. Tijdens een congres in Antwerpen zag hij een interessante grafiek: een IT-manager dacht bijvoorbeeld 5.000 apparaten te hebben, een virusscanner zag er 7.200, Windows Update registreerde er 8.500 en endpointdetectie vond er bijna 10.000. “En dat waren gemiddelde getallen,” benadrukt hij.
Juist in OT maakt onbekendheid met systemen organisaties extra kwetsbaar. In industriële omgevingen staan tientallen jaren oude Windows XP-machines die niemand meer durft aan te raken. “Soms is het echt oude troep. Je gaat dat niet zomaar vervangen. Maar neem dan wél maatregelen.” Voor Godfried betekent dat: zones, segmentatie en duidelijke scheidingen zodat één kwetsbaar systeem niet een hele fabriek raakt. Innovatie begint volgens hem niet bij AI of nieuwe detectiesystemen, maar bij zichtbaarheid: als je niet weet wat je moet beschermen, kan je ook niet slim innoveren.
Monitoren: niet alleen zien wat je hebt, maar ook zien wat er gebeurt
“Weet wat je hebt, en monitor dat. Oók in OT komen er steeds meer goede middelen beschikbaar om inzichtelijk te maken wat er gebeurt.” Hij gebruikt een beeld uit het OT-domein: “Als je elke dag alleen maar blauwe autootjes voorbij ziet rijden op je netwerk, en er komt opeens een rood autootje voorbij, dan weet je dat dat niet klopt.” In OT-omgevingen, waarin elk systeem zijn eigen voorspelbare verkeer heeft, werkt afwijkingsdetectie bijzonder effectief.
Maar de realiteit is dat veel organisaties nog een plat netwerk hebben waar alles met alles praat. Dan zie je geen blauwe of rode autootjes, maar alleen ruis. Segmentatie en zonering zijn daarom niet alleen technische maatregelen, maar voorwaarden om monitoring zinvol te maken. Godfried ziet dat de IEC 62443-standaard daar steeds meer richting geeft: “Ook daar heb je gelaagdheid en het klassificeren van apparatuur. Firewalls tussen zones, securitylevels – dat zie je gelukkig steeds meer gebeuren.” Innovatie in monitoring is volgens hem domweg onmogelijk als je landschap niet geordend is.
Ketensamenwerking als innovatieversneller
Wat de haven volgens Godfried uniek maakt, is dat innovatie voortkomt uit gedeelde noodzaak. Geen enkele terminal, energieleverancier of logistieke speler kan onafhankelijk functioneren; daardoor wordt informatie delen een overlevingsstrategie. Hij benadrukt: “Het zijn niet langer gokaanvallen. Het zijn gerichte aanvallen op ketens.” Innovatie in security is dan geen keuze, maar een gezamenlijk traject: eerst relaties opbouwen, dan tooling inzetten.
Die ketenaanpak zorgde niet alleen voor snellere incidentrespons, maar ook voor structurele verbeteringen. Door regelmatige sessies, gesprekken met NCSC en het delen van lessons learned, ontstond een community die elkaar begrijpt. Voor Godfried was dat een van de belangrijkste inzichten: technologie kun je inkopen, vertrouwen niet. En juist dat vertrouwen versnelt innovatie, omdat partijen durven toegeven wat ze niet weten, waar ze kwetsbaar zijn en waar ze hulp nodig hebben.
Conclusie: ketenweerbaarheid vraagt om zichtbaarheid, vertrouwen en gedeelde verantwoordelijkheid
Voor Godfried draait cyberweerbaarheid om drie dingen: weten wat je hebt, weten wat er gebeurt en weten wie je kunt bellen als er iets misgaat. Innovatie ontstaat niet door meer tools, maar door samenwerking in de keten, zicht op je eigen landschap en een organisatie die IT, OT en fysiek beveiliging durft samen te brengen. De haven van Rotterdam laat volgens hem zien dat dat kan – als organisaties stoppen met concurreren op cyber en beginnen met samenwerken op weerbaarheid.
“Je moet elkaar kennen voordat het misgaat, zodat je niet pas tijdens een incident hoeft uit te zoeken wie je moet bellen en wie er in jouw keten geraakt kan worden. Als die relaties al staan, kun je handelen in minuten in plaats van dagen.”
Het interview met Godfried maakt deel uit van een breder onderzoek naar de staat van cyberweerbaarheid in Nederland, uitgevoerd door Security Innovation Stories in samenwerking met KPN. In het rapport delen tientallen securityprofessionals hun visie op innovatie, menselijk gedrag, techniek en de toekomst van digitale weerbaarheid.
