‘We boeren achteruit’: Een gesprek over de toekomst van Nederlandse cyberveiligheid

'We boeren achteruit': Een gesprek over de toekomst van Nederlandse cyberveiligheid cover

“Ik vind zelf dat we achteruit aan het boeren zijn in Nederland. Tegenstanders worden steeds slimmer. Dat gaan we niet fixen met alleen de nieuwe vorm van het NCSC, maar het is wel een stap in de goede richting. Net als de nieuwe publiek-private initiatieven die werden geïnitieerd, de oproepen tot samenwerking op bijeenkomsten zoals de ONE conference, de nieuwe wetgeving en Rijksoverheidssubsidies voor onderzoek en innvoatie. Er moet meer worden ingegrepen op de manier hoe we omgaan met cybersecurity in de basis,” stelt Eddy Boot, die na 24 jaar bij TNO nu leiding geeft aan dcypher.

In een uitgebreid gesprek met Eddy en Sander Peters, Community Manager bij dcypher, wordt duidelijk dat Nederland voor een cruciale keuze staat: doorgaan op de huidige weg van reactieve cybersecurity, of een fundamentele transformatie nastreven naar ‘vanzelfsprekend veilige’ digitale systemen. Bij dcypher, het Nederlandse samenwerkingsplatform voor cybersecurity kennis en innovatie, werken ze aan die lange termijn verandering omdat ze geloven dat alleen een fundamentele verschuiving in hoe we security benaderen Nederland echt veilig kan maken.

Van brandweerman naar bouwheer

Nederland verliest terrein op het gebied van digitale weerbaarheid. De dreigingen nemen sneller toe dan onze verdediging zich ontwikkelt. De ransomware industrie groeit alarmerend snel. “Op Europees niveau verdienen cybercriminelen bijna evenveel als de top 3 cybersecurity bedrijven bij elkaar opgeteld omzetten,” waarschuwt Sander. McKinsey voorspelt dat de schade door cyberaanvallen wereldwijd in 2025 kan oplopen tot 10.000 miljard euro, als de huidige groei doorzet. Ondanks de aanzienlijke investeringen in cybersecurity, 140 miljard euro in 2021, blijven de dreigingen toenemen.

dcypher pleit voor een paradigmaverschuiving: van reactieve beveiliging naar ‘security by design’, voor toekomstbestendige cyberveilige systemen. “Vanzelfsprekend veilig betekent net als water uit de kraan en de hele keten die daarachter zit, dat je organisatie, de producten die je gebruikt maar ook de producten die je maakt als je fabrikant bent inherent cyberveilig zijn,” legt Eddy uit. Hij vergelijkt het met het CE keurmerk van de EU.

Sander vult aan: “Het is heel bijzonder dat bij alle bedrijven de budgetten pas vrij komen op het moment dat een hack plaatsvindt. Wat wij voor elkaar willen krijgen is dat we een stap daarvoor komen. We moeten meer langere termijn werken: structureel investeren in innovatie en oplossingen voor de toekomst”

Een sterke maar kwetsbare basis

De kennisbasis aan het begin van de innovatieketen is uitstekend. We hebben hoogwaardig academisch en praktijkgericht onderzoek en TNO als kennisinstituut heeft meer dan 130 experts op cybersecurity innovatie.

“Als Nederland zijn we in Europa, ondanks alle uitdagingen die we signaleren, nog steeds vooruitlopend doordat vernieuwing en samenwerking in onze genen zit,” zegt Eddy. “Zo heeft Duitsland een behoudende cultuur, in Frankrijk is innovatie top-down en protectionistisch.” Deze sterke positie is echter kwetsbaar door een tekort aan jong talent. De instroom van nieuwe professionals en onderzoekers blijft een zorgpunt. Reden voor dcypher om de nieuwe nationale actieagenda op dat gebied actief te ondersteunen.

De uitdaging van opschaling

Het Nederlandse investeringsklimaat voor cybersecurity blijft achter bij internationale standaarden. ” Veel startups bereiken de scale-up fase niet,” signaleert Eddy. “Daardoor wordt onze sterke kennis- en innovatiepositie onvoldoende omgezet in nieuwe toepassingen op de markt.”

Sander geeft een voorbeeld uit de Verenigde Staten, waar meer ondersteuning voor cybersecurity startups beschikbaar is: “Homeland Security (Science & Technology) biedt daar bijvoorbeeld subsidie aan voor anderhalf jaar. Ze zeggen: ‘begin met het bouwen van je business case en kom over anderhalf jaar terug.”

Als de functionaliteit daarna aan de eisen voldoet bieden ze een overheidscontract voor de komende jaren. Daarmee krijgt die startup wat het nodig heeft: een betalende klant waarmee ze verder kunnen bouwen.  Met het motto van DHS S&T ‘Mobilising Innovation to Secure the Nation’ ontstaat een ideale kraamkamer voor innovatieve oplossingen.

Wetgeving als innovatieprikkel

De aankomende Cyber Resilience Act (CRA) biedt nieuwe kansen voor de Nederlandse cybersecurity sector. Deze EU-wetgeving maakt fabrikanten verantwoordelijk voor de digitale veiligheid van hun producten gedurende de hele levenscyclus. Net zoals autofabrikanten bij veiligheidsproblemen terugroepacties moeten organiseren, zullen bedrijven straks verplicht zijn digitale kwetsbaarheden te rapporteren en aan te pakken.

“Ik hoop echt dat de CRA een nieuwe impuls geeft aan de maakindstrie in Nederland,” zegt Sander. Hij ziet de wet als een mogelijke katalysator voor innovatie in productveiligheid. Eddy benadrukt dat er veel aandacht is voor de NIS2-richtlijn, maar die is meer relevant voor procesinnovatie en het verbeteren van veiligheid in de toevoerketens. “Noodzakelijk maar niet voldoende” stelt Eddy. ‘Ik ben wel blij met de verschuiving van verantwoordelijkheid van alleen de eindgebruiker naar verantwoordelijkheid in de hele keten, maar we moeten nog een stap verder’.

Om duurzaam digitaal veilig te worden moeten we bij de bron beginnen: de digitale veiligheid op orde van de systemen die we ontwikkelen, verkopen en gebruiken. Dat vereist veiligheid inbouwen aan de voorkant van productontwikkeling (‘cybersecurity by design’). En de toepassing van AI, bijvoorbeeld om tijdens de life cycle van producten automatisch aanvallen te voorkomen of te herstellen. Sander vult aan: “En dat is razend ingewikkeld en vereist samenwerking tussen heel veel partijen ook buiten het traditionele cyber-domein, dus daar moeten we de komende jaren veel in investeren en innoveren”.

Verantwoordelijkheden voor CISO’s én grote afnemers

Een cruciale factor is de terughoudendheid van grote bedrijven bij het inkopen van innovatieve oplossingen. “Grote afnemers, waaronder overheidsinstanties, richten zich vaak op het goedkoopste product, zonder voldoende aandacht te besteden aan kwaliteit en herkomst,” observeert Eddy.

Ook vindt Sander dat de positie van de CISO anders benaderd moet worden. De CISO zou meer mandaat moeten krijgen, vergelijkbaar met de positie van een CFO. De uitdaging is hoe een CISO de bedrijfschatten kan bewaren zonder nieuwe kansen in de weg te staan. Eddy vult aan: “Ik zie een groei naar samensmelting van de rollen CIO en CISO. Alleen zo kun je de bedrijfsbrede risico’s inclusief geopolitieke ontwikkelingen, de rol van AI en komende wetgeving in oogenschouw nemen, in combinatie de kansen bepalen die digitalisatie biedt en waarmee je je kunt onderscheiden van andere partijen door zelf veiliger te zijn of veiligere systemen aan te kunnen bieden.”

Hoe dcypher organisaties kan helpen

dcypher’s kracht ligt in het samenbrengen van partijen en het maken van concrete plannen. “Op bijeenkomsten als de ONE Conference zien we vaak keynotes en pannels die zeggen: we moeten samenwerken. En daar stopt het helaas. Dat is juist waar het werk van dcypher begint,” zegt Eddy.

Via roundtables, thematische werkgroepen, opzetten van ontwikkelagenda’s en gerichte programma’s helpt dcypher partijen om van praten naar doen te komen. “Wij focussen echt op het proces, op het ontwikkelpad van kennisontwikkeling naar nieuwe oplossingen van Nederlandse bodem . En dat we echt security by design kunnen realiseren met z’n allen,” besluit Sander.

De ambitie van dcypher betreft een flink ontwikkelpad van cybersecurity naar de toekomst. In 2025 organiseren we een groot cybersecurity innovatie-event om alle relevante partijen uit het veld om deze visie en ambitie te realiseren door ze bij elkaar te brengen en echt samen verder te komen. Hou dcypher.nl in de gaten voor meer nieuws hierover.

De Engelse versie van dit artikel staat op de website van dcypher.

Over Bram

Bram begon zijn carrière in de bescherming van vitale infrastructuur voor de Ministeries van BZK, V&J en EZ. Na zijn tijd bij de overheid, werkte Bram bij Securitas met een focus op technologie en innovatie. Sinds 2015 is hij zelfstandig ondernemer, gespecialiseerd in het ontwikkelen en vermarkten van nieuwe innovaties. Hij vervulde interim functies bij Fox-IT, Imbema, en Quinyx AB. Bram is opgeleid aan de Nyenrode Business Universiteit en JADS University.

Bram is sinds 2020 oprichter en directeur van Beyond Products B.V., een strategisch marketingbureau op het gebied van Security en IT. Ook heeft hij het boek Security Innovation Stories geschreven, waaruit dit platform is ontstaan.

Bram zet zich voornamelijk in voor innovatie in cybersecurity, omdat daar volgens hem nog veel te halen valt. In zijn columns beschrijft hij cybersecurity principes en de brug naar innovatie.

Vergelijkbare berichten