Reinder Wolthuis: “Het gebrek aan risicobereidheid belemmert de innovatiekracht in Nederland”

Reinder Wolthuis: “Het gebrek aan risicobereidheid belemmert de innovatiekracht in Nederland” cover

Reinder Wolthuis staat al meer dan twee decennia aan de voorhoede van innovatie in cybersecurity. Als senior onderzoeker en projectmanager bij TNO, in de afdeling Cybersecurity Technologies, is hij lid van een team van ongeveer 60 experts verspreid over drie locaties. Zijn afdeling richt zich op technische innovatie op het gebied van cybersecurity en werkt nauw samen met experts in andere afdelingen van TNO, waaronder Applied Crypto en Quantum, Data sciences en Human Behaviour, om cybersecurity onderzoek multidisciplinair te benaderen.

Investeren in innovatie

Reinder begon zijn carrière in 1991 bij KPN Research, waar hij zijn passie voor informatiebeveiliging ontdekte. In zijn huidige rol bij TNO speelt hij een sleutelrol in het initiëren en leiden van grote projecten en programma’s zoals het PCSI (Partnership for Cyber Security Innovation) en Europese samenwerkingsprojecten zoals SOCCRATES (SOC & CSIRT Response to Attacks & Threats based on attack defense graphs Evaluation System), dat een automatiseringsplatform voor security operating centers ontwikkelde.

Op dit moment is hij vanuit TNO ook partnerlead voor het eFORT project, dat zich richt op de beveiliging van elektriciteitsnetwerken, en is hij al 15 jaar betrokken bij het uitvoeren van jaarlijkse security benchmarks in de Europese telecom industrie. Hij is ook mede-auteur van de recent verschenen rapporten “SOC of the future : Blueprint of a Security Operations Center in 2030” en “PCSI tech transfer – Improving the applicability of PCSI security innovation results”. Kortom: Reinder zit niet stil en al helemaal niet als het om innovatie binnen de cybersecurity branche gaat. Maar hoe ziet hij innovatie over het algemeen in de industrie?

“Als we kijken naar de security-innovatiekracht in Nederland, dan moet ik eerlijk zeggen dat ik daar niet blij mee ben. Ondanks goede inspanningen vanuit de overheid in de rol van regisseur en subsidieverstrekker blijft de innovatiekracht beperkt, en dat heeft een aantal oorzaken. Wat we zien, vooral in vergelijking met landen als de Verenigde Staten, is dat er in Nederland risico-mijdend gedrag is als het gaat om investeringen in innovatie.

In de cybersecuritysector, waar budgetten vaak beperkt zijn, neigen bedrijven ernaar om alleen te investeren in oplossingen die direct werkend zijn, in plaats van te investeren in technologieën die misschien pas op de lange termijn renderen. Dit blijkt ook uit het feit dat grote eindgebruikers sturen op een stabiele supply chain en liever niet met start-ups werken die het mogelijk niet redden, ondanks dat veel innovatie juist uit die start-ups komt. Dit gebrek aan risicobereidheid remt de markt af en zorgt ervoor dat we niet in staat zijn om de noodzakelijke innovatie en kapitaalstroom op gang te brengen. Als gevolg hiervan blijft de innovatiekracht in Nederland achter bij die van andere landen, wat een ernstig probleem is voor de sector.”

Autonomie van start-ups

De uitdaging van strategische autonomie in de EU te midden van de dominantie die grote technologische bedrijven bezitten, blijft een hot topic. “De grote techbedrijven, zoals Microsoft, nemen steeds meer taken over die eerder door kleinere bedrijven werden uitgevoerd. Dit creëert een situatie waarbij veel Nederlandse bedrijven hun eigen systemen uitbesteden aan IT-leveranciers, die vaak weer samenwerken met de grote tech bedrijven. Security wordt dan (deels) uitbesteed aan Managed Security Service Providers (MSSP’s) of zelfs als geïntegreerde dienst geleverd door de IT bedrijven, al dan niet in samenwerking met MSSP’s en grote techbedrijven. Mede door deze ontwikkelingen worden veelbelovende start-ups vaak overgenomen door buitenlandse techgiganten, waardoor de kennis verdwijnt”, aldus Reinder.

Om de strategische autonomie te waarborgen, pleit hij voor maatregelen: “Om de soevereiniteit van de EU te beschermen, zou je kunnen overwegen om voorwaarden te stellen aan subsidies. Bijvoorbeeld door te eisen dat een bedrijf dat door EU-subsidies wordt ondersteund, niet binnen tien jaar naar het buitenland mag worden verkocht.” Hij benadrukt dat – gezien de enorme financiële middelen van grote techbedrijven – dergelijke maatregelen noodzakelijk kunnen zijn om onafhankelijkheid te behouden.

Partnerships zijn de sleutel tot innovatie

Het PCSI bestaat sinds 2020, maar had een voorganger in de vorm van het Shared Research Programma Cybersecurity (SRP) met als founding members ABN AMRO, ING, Rabobank en TNO. Reinder was één van initiatoren van het SRP in 2014, en heeft het programma 6 jaar geleid. Het SRP richtte zich uitsluitend op security innovatie in de financiële sector, die in 2014 nog redelijk vooropliep in cybersecurity land. In 2020 besloot de stuurgroep van het Shared Research Programma Cyber Security om het programma te vernieuwen en werd de nieuwe naam PCSI.

Reinder vertelt: “We wilden het multi-sector maken, meer zichtbaarheid creëren en meer controle over ons innovatieproces verkrijgen.” Deze vernieuwing leidde tot de toetreding van nieuwe partners (zoals ASML en de Belastingdienst) en ook tot de introductie van Liaison Partners: kleinere partijen of commerciële leveranciers van security oplossingen die geïnteresseerd zijn in de projecten en waardevolle bijdragen kunnen leveren.

“We hebben ongeveer 30 tot 35 Liaison Partners die we informeren via nieuwsbrieven en voor wie we jaarlijks een interactief evenement organiseren. Een voorbeeld van succes met Liaison Partners is het project rond de Security Behaviour Coach, waarbij een nieuwe rol werd ontwikkeld om security vulnerabilities te identificeren en te verhelpen door processen en tools aan te passen. Deze rol heeft geleid tot een nieuwe training bij de Security Academy. Op dit moment zijn er verschillende Liaison Partners betrokken bij verschillende projecten in het PCSI. In het PCSI worden ongeveer 5-7 projecten in verschillende projectfases parallel uitgevoerd.”

Het Partnership for Cyber Security Innovation (PCSI) is een publiek-private samenwerking die innovatie in cybersecurity bevordert en bijdraagt aan een veilige digitale samenleving. Als partner ontwikkel je samen met ons innovatieve oplossingen voor de cyberbedreigingen van morgen. Dit zijn de voordelen voor leveranciers en CISO’s:

  • Blijf op de hoogte: Ontvang updates over de nieuwste cybersecurity-ontwikkelingen.
  • Netwerk: Profiteer van een inspirerend netwerk van cybersecurity-experts.
  • Bijdragen: Lever een bijdrage aan baanbrekend onderzoek en projecten.
  • Vergroot cyberweerbaarheid: Help de beveiliging van jouw organisatie en de samenleving te verbeteren.
  • Uitdaging: Bezorg jouw cybersecurity-experts uitdagende projecten met toonaangevende partners.

Inschrijven kan gratis, via deze link.

Leer van je fouten en koester de successen

Het leren van zowel successen als mislukkingen in innovatieprojecten is ontzettend belangrijk: “In het verleden hebben we binnen onze TNO-unit prijzen uitgereikt voor het coolste resultaat van het jaar en later ook voor de grootste flop. Ook in het PCSI hebben we af en toe projecten die we stopzetten, dat hoort er bij. Zo’n flop hoeft geen complete mislukking te zijn; het biedt juist veel waardevolle lessen. Al is het in de wereld van security innovatie soms een uitdaging om deze lessen effectief te verwerken. Het doel van het PCSI is om een innovatieprogramma te zijn, waar je bereid bent om risico’s te nemen en te leren van fouten. Maar uiteindelijk wil je ook dat de gelukte innovatieresultaten een goede landingsplek krijgen en blijvend worden gebruikt. Dit kan bijvoorbeeld betekenen dat het resultaat wordt overgedragen aan een security bedrijf, het direct bij één van de PCSI partners wordt geimplementeerd of wordt gepubliceerd als Open Source software,” aldus Reinder.

Kijk op de toekomst

De technologie ontwikkelt zich in een rap tempo. “Drie jaar geleden gebruikte bijna niemand AI in security, en nu is het het gesprek van de dag. Het biedt zowel voordelen als bedreigingen. Technologische vernieuwingen kunnen je verdediging verbeteren, maar kunnen ook door aanvallers worden misbruikt. Daarbij is automatisering in security best een uitdaging. Het kan duur zijn en vereist voortdurend onderhoud en expertise. We moeten nadenken over welke vaardigheden we in de toekomst nodig hebben en daarop anticiperen. Als de overheid besluit om 3 miljard te investeren in het verbeteren van cybersecurity in Nederland, moeten we paraat hebben hoe we dat geld het beste kunnen besteden, bijvoorbeeld aan het verbeteren van opleidingen of het ondersteunen van bedrijven.”

Om bij te blijven met ontwikkelingen, vertrouwt Reinder op een combinatie van lezen, netwerken en gesprekken met experts: “Ik spreek met CISO’s, partners en ga naar conferenties. Dit helpt me om relevante informatie te verkrijgen in plaats van alleen te vertrouwen op mediahype.”

Vergelijkbare berichten