Jeroen Prinse: “Iets gaat er toch niet helemaal goed. Hoe kunnen we het beter doen?”

Jeroen Prinse: “Het is aan ons om security inzichtelijk te gaan maken” cover

Met bijna twintig jaar ervaring is Jeroen Prinse een getraind security professional. Als freelancer werkt hij onder andere als CISO van het Nationaal Cyber Security Centrum (NCSC) en geeft hij trainingen aan voor risk-, audit- en security professionals. Ook maakt Jeroen de podcast re:invent security, waarin hij met leiders in de sector manieren onderzoekt om informatiebeveiliging opnieuw uit te vinden.

Jeroen beschrijft zichzelf als transformationele CISO, en ziet het als zijn taak de kloof tussen business en informatiebeveiliging te dichten.

Uitbreiden en aanpassen bij het NCSC

Het Nationaal Cyber Security Centrum (NCSC), een zelfstandig uitvoerend onderdeel van het ministerie van Justitie en Veiligheid, is het centrale informatieknooppunt en expertisecentrum voor cybersecurity in Nederland. Het NCSC is het incident response-team voor de Rijksoverheid en de vitale sectoren in Nederland.

Bij het NCSC werkt Jeroen samen met zo’n 350 security professionals. “Dit is voor het eerst dat ik meemaak dat ik met zoveel security professionals samenwerk,” zegt hij. “In het verleden, bij commerciële bedrijven, moest ik altijd moeite doen om security te verkopen. Als je bij een bedrijf werkt waar security de core business is, is dat totaal anders. Ik hoef niemand meer te overtuigen.”

Het NCSC is in korte tijd enorm gegroeid: in een jaar tijd is het centrum van 250 naar 400 professionals gegaan. Dat is een voordeel, maar tegelijkertijd ook een uitdaging, zegt Jeroen. “Mijn grootste uitdaging bij het NCSC is het begeleiden van veranderingen op een veilige manier. Op dit moment ontwikkelen we enorm veel nieuwe diensten die we naar buiten gaan brengen. Daarnaast zijn we aan het samensmelten met andere overheidsorganisaties, zoals het Digital Trust Centre.” 

“En NIS2 heeft een bredere scope dan NIS, waardoor onze klanten niet alleen de vitale sector van Nederland zijn maar met de uitbreiding van belangrijke entiteiten we ineens een doelgroep hebben van tienduizenden bedrijven. Dat betekent iets voor de processen in je organisatie: denk bijvoorbeeld aan het automatiseren van processen, en het ontwikkelen van de benodigde IT-diensten.”

Compliance versus security

Hoewel er veel talent en innovatie in de sector bestaat, ziet Jeroen dat organisaties vaak te veel compliance-gedreven zijn. NIS2 speelt hier ook een rol in: organisaties moeten binnenkort kunnen voldoen aan de wettelijke regels, en de voorbereiding hierop kost veel tijd en middelen. “Maar compliance is geen security, en security is geen compliance,” zegt Jeroen. 

Bedrijven zouden daarom Security Performance Engineering moeten adopteren, een combinatie tussen security engineering en performance engineering. Dit is een feitelijke manier om een security strategie te besturen en keuzes te maken door maatregelen te testen op hun effectiviteit, kwaliteit en efficiency. 

Hij geeft als voorbeeld: “Leuk dat je een Web Application Firewall hebt, maar heeft deze ook een policy die daadwerkelijk iets blokkeert? Hoeveel procent van de top duizend meest gebruikte SQL injection payloads stopt deze? En hoe snel krijgt je SOC een alert?”

Hier is innovatie voor nodig: iets waar het NCSC beoogt aan bij te dragen. “Het NCSC is altijd op zoek naar innovatieve oplossingen in de markt die kunnen bijdragen aan onze doelstellingen en dan zijn we ook bereid om die in te zetten. Dat speelt een grote rol in hoe wij diensten naar buiten aanbieden, en hoe wij vertrouwen proberen uit te stralen.” 

Eén van die oplossingen is multi-party computation, wat mogelijk maakt dat meerdere partijen data kunnen delen voor analyse zonder elkaars data vrij te geven. “Ik vind het heel tof dat dit soort technologieën een kans krijgen binnen het NCSC om op een zeer veilige manier data delen mogelijk te maken, of echt inzicht te kunnen krijgen uit gevoelige data die niet iedereen zomaar met elkaar wil delen.”

Uiteindelijk doen we allemaal hetzelfde

Uiteindelijk moeten deze oplossingen ook samen ontwikkeld worden in de sector, zo stelt Jeroen.  “We spenderen meer en meer geld aan security en de breaches blijven maar toenemen. Dus iets gaat er niet helemaal goed.” Dit is deels te wijten aan het gebrek aan samenwerking. “We zijn security allemaal op een eilandje aan het doen. Soms kijken we met een verrekijker naar de buren, en dan denken we te zien dat ze het op deze manier doen en dan gaan we het op ons eilandje ook zo doen naar eer en geweten. Maar volgens mij moeten we gewoon delen met elkaar. Dat zou het mooiste zijn.”

De infrastructuur verschilt per organisatie, en per bedrijf, maar de risico’s blijven hetzelfde. “Dus uiteindelijk doen we allemaal hetzelfde, alleen in een net iets andere context. En aanvallers vernieuwen ook niet dagelijks: het kost hen ook moeite om alle TTPs (Tactics, Techniques and Procedures) aan te passen. Als we allemaal hetzelfde doen, waarom bundelen we onze krachten dan niet meer tegen deze aanvallers?”

“Het is aan ons om security inzichtelijk te gaan maken.” Lees ook ons interview met Jeroen over het kunnen meten van security en het aandrijven van innovatie hier.

CISO paspoort

Het Nationaal Cyber Security Centrum (NCSC) van Nederland, onderdeel van het Ministerie van Justitie en Veiligheid, verbetert de digitale weerbaarheid door cyberdreigingen te voorkomen, signaleren en bestrijden. Het Centrum ondersteunt overheden en vitale infrastructuren en werkt samen met nationale en internationale partners.

  • Het totale aantal medewerkers van NCSC is bijna 500.
  • Het beveiligingsteam bestaat uit 9 FTEs (en is groeiende).

Vergelijkbare berichten