Rutger Leukfeldt: “Het begrijpen van menselijke motivatie is cruciaal om de cyberwereld te doorgronden.”
Rutger Leukfeldt kwam ooit per toeval in aanraking met cybercrime. Inmiddels is hij onder andere actief als bijzonder hoogleraar en senior onderzoeker binnen dit vakgebied en heeft hij al meer dan 130 publicaties op zijn naam staan. Rutger kijkt als criminoloog met name naar de menselijke kant van cybercriminaliteit. Dit is uitzonderlijk in een sector die gedomineerd wordt door technologie. De grootste innovatie die in zijn sector plaats moet vinden? “Het hoeft niet allemaal innovatief, sexy, moeilijk en tech te zijn. Soms kan het saai zijn en dat is ook goed.”
De loopbaan van Rutger:
Rutger kwam per toeval in aanraking met cybercrime. Met de studies Integrale Veiligheid en Criminologie achter de rug, ging hij werken als onderzoeker bij het lectoraat Cybersafety van de NHL Hogeschool en Politieacademie. Binnen twee jaar richtte het team waarin Rutger werkte zich alleen nog maar op cybercrime: “We zagen dat er veel vraag was vanuit de politie en de overheid. Hoe ziet de wereld van cybercriminelen eruit? En van slachtoffers? Daar wisten we niets vanaf. Als onderzoekers hielpen we met het beantwoorden van deze vragen.”
Tot op heden is Rutger cybercriminaliteit blijven onderzoeken. Inmiddels heeft hij meer dan honderddertig cybercrimepublicaties op zijn naam staan. Hij promoveerde met een onderzoek naar hoe cybercrimenetwerken ontstaan en groeien, en hoe criminelen de mogelijkheden hiervan benutten. Op basis hiervan ontwikkelde hij een model voor de politie en banken dat gebruikt kan worden om cyberaanvallen effectiever te bestrijden. Rutger is nu werkzaam als bijzonder hoogleraar Governing Cybercrime bij Universiteit Leiden, senior onderzoeker bij het Nederlands Studiecentrum Criminaliteit en Rechtshandhaving (NSCR) en directeur van het Centre of Expertise Cyber Security van De Haagse Hogeschool. “Ik verbind fundamenteel wetenschappelijk onderzoek aan praktijkgericht onderzoek. Dat zijn de twee petten die ik op heb”, licht Rutger toe.
Visie op innovatie in security
De term innovatie legt Rutger uit als iets wat wordt gebruikt om te laten zien dat het vernieuwend is. “En dat moeten we ook wel zijn”, voegt hij toe. “Maar soms willen we te snel, te nieuw. En dan gaan we het wiel wéér opnieuw uitvinden. Ik denk dan weleens: ga het nou eerst een keer goed doen. Kijk waarom het niet of wel goed gaat, en bouw daarop door.” Hij ziet deze tendens ook terugkomen in het veld waarin hij werkt. “Ook de gemeente of politie willen constant iets nieuws. Maar je moet het goed onderbouwd doen, het meetbaar maken en dan pas doorvoeren.”
Als grootste uitdaging in de sector ziet Rutger dat we af moeten van het idee dat cybercrime alleen tegengehouden kan worden door specialisten die hele moeilijke dingen zitten te doen. “Steeds meer partijen snappen dat cyber ook draait om gewone bedrijven en gewone burgers.”
Hij vraagt: “Zijn cybercriminelen anders dan normale criminelen, en moet je die anders aanpakken? Enerzijds denk ik wel dat ze anders zijn. Want het kan heel internationaal georiënteerd of high tech zijn, en daardoor moeilijk op te sporen. Dus dan heb je specialistische teams nodig. Anderzijds is het ook heel vaak helemaal niet zo anders. Niet iets aparts.” De conclusie? Rutger denkt dat we vooral niet te moeilijk moeten doen over cybercriminaliteit. Het te groot maken. “We hebben in de cyberwereld er nogal last van dat alles innovatief moet zijn. Maar volgens mij is dat de grootste innovatie waar we mee aan de slag moeten: dat het niet allemaal innovatief, sexy, moeilijk en tech hoeft te zijn. Soms kan het saai zijn en dat is ook goed.”
Praktijkvoorbeeld: evidence based cybersecurity
Een voorbeeld dat Rutger noemt van te snel willen innoveren is een publiek-private samenwerking die met subsidie al jaren veel geld uitgeeft aan allerlei initiatieven. In het begin vond hij dat goed, maar na de tweede ronde ging hij twijfelen. De ideeën werden er niet beter op. “Het klonk dan wel innovatief, maar het was vaak hetzelfde idee in een nieuw jasje. Net anders omschreven. Toen heb ik wel de oproep gedaan: als je dit nou blijft doen, zorg ervoor dat je meet wat je doet. We willen weten of het werkt of niet.” Hij voegt toe dat het niet betekent dat projecten altijd succesvol moeten zijn, of dat er geen risico’s genomen mogen worden. “Dan lijkt het een beetje alsof het niet mag mislukken. Nee, het is heel goed als het mislukt. Als het namelijk meetbaar is, dan weet je waarom het is mislukt. En daar leer je van.”
Rutger roept dan ook op tot evidence based cybersecurity. Hij vertelt dat dit betekent dat je begrijpt waar het om gaat en het meetbaar maakt. “Je moet bijvoorbeeld een nulmeting hebben gedaan, of je moet weten dat soortgelijke interventies hebben gewerkt in het verleden. Of je doet een aanname, maar dan wel onderbouwd. Dus dat je uitlegt waarom je verwacht dat het op een bepaalde manier gaat lopen. Dat is het minimale.”
Belangrijk voor innovatie?
“Ik pleit voor evidence based cybersecurity: begrijp waar het om gaat en maak het meetbaar. Dan is het ook prima als het mislukt. Als het namelijk meetbaar is, dan weet je waarom het is mislukt. En daar leer je van.”
Succesfactor: de menselijke motivatie begrijpen
Niet steeds het wiel opnieuw willen uitvinden en zaken meetbaar maken zijn wat Rutger betreft belangrijk voor innovatie binnen zijn werkveld. Daarnaast gelooft hij sterk in aanvullende wet- en regelgeving rondom cybersecurity. “Er zouden basisvereisten moeten zijn waaraan elke ondernemer moet voldoen. Er is wetgeving nodig die dit vastlegt en die duidelijk maakt waar ondernemers terecht kunnen voor hulp.” Ook stelt hij dat keurmerken een optie kunnen zijn, zodat ondernemers betrouwbare partners kunnen identificeren.
Want de overvloed van aanbieders in de cybersecuritysector is volgens Rutger een groot probleem: “Dat maakt het moeilijk om betrouwbare keuzes te maken.” Daarnaast wordt het speelveld alsmaar complexer en daardoor ook minder voorspelbaar. Denk bijvoorbeeld aan de opkomst van wat hij de ‘pop-up-criminaliteit’ noemt, zoals WhatsApp-fraude.
De sleutel tot succes om dergelijke uitdagingen het hoofd te kunnen bieden? “Het begrijpen van menselijke motivatie is cruciaal. Criminologie en psychologie worden onmisbaar om de cyberwereld te doorgronden. Als je bijvoorbeeld wilt dat gebruikers veiliger gedrag vertonen, is het niet genoeg om ze alleen te laten schrikken. Je moet een bericht overbrengen dat resoneert. Maar dan moet je de gebruiker wel begrijpen. We hebben nu nog te weinig inzicht in veel psychologische mechanismen. Dat moet echt veranderen.”