Absolute veiligheid is een illusie. Met die boodschap zet Rick van der Kleij, lector Cyberweerbare Organisaties bij Avans Hogeschool, de toon voor zijn lectorale rede op 8 mei. Cyberaanvallen zijn geen uitzondering meer, maar dagelijkse realiteit. Alleen door cyberweerbaarheid te ontwikkelen, kunnen organisaties en samenlevingen digitaal overleven. Waarom kan de klassieke aanpak van cybersecurity de prullenbak in? Rick schetst waarom het tijd is voor een fundamenteel andere aanpak.
Foto: Rick Wink
Wanneer raakte je geïnteresseerd in het onderwerp cyberweerbaarheid? Wat drijft je?
Rick: “In 2017 kwam ik bij TNO voor het eerst in aanraking met cyberweerbaarheid. We startten toen een verkenning naar cybersecurity incident response teams. Als psycholoog werd ik gevraagd om te kijken naar samenwerking en gedrag: waar lag de behoefte aan ondersteuning?”
“Wat mij vooral drijft, is dat het vaak misgaat als het gaat om de rol van de mens. Je kunt cyber niet losknippen in afgebakende delen; het draait altijd om het samenspel tussen mens, proces en technologie. In ons vakgebied krijgt de mens vaak de schuld van incidenten, terwijl de oorzaak meestal elders in het systeem ligt. Bijvoorbeeld bij slecht beleid of technische maatregelen die ongebruiksvriendelijk zijn, zoals complexe inlogmethodes. Daarom geloof ik in een systemische aanpak van cyberweerbaarheid, waarin mens, proces en technologie samen worden meegenomen.”
De titel van je lectorale rede is Nu veiligheid er niet meer is. Wat bedoel je daarmee?
“Bedrijven staan voor een groot digitaal dilemma: enerzijds wil je profiteren van alle voordelen van digitalisering, en verbonden zijn, anderzijds moet je nadenken over veiligheid, want één hack kan je platleggen. De klassieke aanpak van cybersecurity – het bouwen van een kasteel met dikke muren en diepe slotgracht – werkt niet meer. Dreigingen nemen toe, worden complexer, en het aantal incidenten daalt niet.”
“We moeten daarom erkennen dat absolute veiligheid niet meer bestaat. Overheden zeggen inmiddels ook: ‘assume breach’, oftewel: ga ervanuit dat er kwetsbaarheden zijn. We moeten dus veel meer denken in termen van cyberweerbaarheid: niet alleen focussen op preventie, maar ook op herstelvermogen, adequaat reageren op incidenten en leren van wat er gebeurt. Dat is de paradigmaverschuiving die we nodig hebben.”
“Dat vraagt om een ander perspectief. Laten we accepteren dat cyberincidenten erbij horen en dat we moeten leren hoe we ermee omgaan. Dat is wat cyberweerbaar zijn betekent. Daarvoor is kennis nodig, praktijkgericht onderzoek en samenwerking. En die kennis is nu nog versnipperd of ontbreekt simpelweg. Daarom is het lectoraat ook zo belangrijk.”
Hoe dragen praktijkgericht onderzoek en innovatie bij aan cyberweerbaarheid?
“Cybersecurity is op dit moment een heel onvolwassen markt. Ik vergelijk het altijd met een markt voor zilveren kogels: een zilveren kogel is een vakterm voor een product of proces dat wordt gepresenteerd als effectief, zonder enige rationele onderbouwing voor die claim. En dat is gevaarlijk, want het leidt tot verlamming: we weten niet wat werkt, dus we doen maar niks. Praktijkgericht onderzoek helpt ons te begrijpen: wat werkt wél, in welke context en onder welke omstandigheden? Dat is de basis die we nodig hebben. Anders blijven we maar aanmodderen.”
Tekst gaat verder onder de foto
“Praktijkgericht onderzoek en innovatie liggen voor mij in elkaars verlengde. Innovatie is essentieel voor die paradigmaverschuiving waar ik het over had. Als we willen overstappen van cybersecurity naar cyberweerbaarheid, dan hebben we onderzoek én innovatie nodig – ook sociale innovatie. Dat kan de motor zijn achter echte vooruitgang. De overheid moet daar ook veel meer op inzetten.”
Vind je dat er in Den Haag genoeg aandacht is voor cyberweerbaarheid?
“Aan de ene kant denk ik dat het kwartje is gevallen dat we moeten inzetten op weerbaarheid. Tegelijk zie ik dat investeringen achterblijven. Er wordt veel neergelegd bij gemeenten, terwijl die geen specifieke middelen krijgen om deze afspraken te realiseren. Wat mij betreft moet er echt meer worden geïnvesteerd om de groeiende digitale dreigingen vanuit statelijke actoren (overheden of aan staten gelieerde organisaties, red.) en cybercriminelen het hoofd te bieden.”
Tijdens je lectorale rede laat je professionals uit het werkveld aan het woord. Waarom?
“Omdat we dit niet alleen kunnen. Als hogeschool staan we voor praktijkgericht onderzoek, en dat moet direct nut hebben voor het werkveld. We werken samen met bedrijven, overheden en maatschappelijke organisaties, lokaal én landelijk. Alleen door samen na te denken over oplossingen, kunnen we tot iets komen dat werkt. Bovendien is dit ook een gedragsvraagstuk. Veel bedrijven zien het nut van cyberweerbaarheid nog niet. Hoe krijgen we die wél in beweging? Daar hebben we elkaar voor nodig.”
In hoeverre leg je vanuit het lectoraat de verbinding met het onderwijs?
“Studenten zijn de professionals van morgen. Zij moeten niet alleen de meest actuele kennis tot zich kunnen nemen, maar ook leren wat onderzoek is, wat het bijdraagt en waarom het zo belangrijk is om empirisch vast te stellen wat werkt in de praktijk. We willen voorkomen dat zij straks maar wat doen, zonder na te denken over waarom het zou kunnen werken. De kennis die we opdoen in het lectoraat moet terugvloeien naar het onderwijs. Door gastcolleges, inspiratiesessies, onderzoeksstages en via de minor Cybersecurity waar ik bij betrokken ben. We zijn ook bezig met nieuwe modules. Zo houden we het onderwijs actueel en relevant.”
Werk je ook samen met andere lectoraten, binnen en buiten Avans?
“Zeker. Binnen het Centre of Expertise Veiligheid & Veerkracht werken we bijvoorbeeld samen met het lectoraat Ondermijning. En met het lectoraat Applied Responsible Artificial Intelligence van het CoE Perspectief in Gezondheid verkennen we de cyberrisico’s van generatieve AI. Met lectoraten buiten Avans werken we samen aan subsidieaanvragen op het gebied van cyberweerbaarheid van logistieke ketens. En we zijn als Avans nu aangesloten bij het expertisenetwerk Cyberweerbaar NL, een netwerk van lectoraten dat samen Nederland cyberweerbaarder wil maken. Daar ben ik heel blij mee.”
Wat zijn je plannen voor de komende jaren met het lectoraat?
“Ik heb 3 kennislijnen gedefinieerd, mede gebaseerd op de Nederlandse cybersecuritystrategie. De eerste gaat over de cyberweerbaarheid van bedrijven, ketens en ecosystemen. Hoe meet je die? Hoe verklein je de kloof tussen bedrijven die het op orde hebben en de rest? Het is ook een gedragsvraagstuk: hoe krijg je organisaties die achterblijven in beweging?”
“De tweede lijn richt zich op digitale veiligheid van hard- en software, bijvoorbeeld via security by design. Ontwikkelaars denken vaak niet aan beveiliging, omdat het extra kost. Maar als je daar niet vanaf het begin over nadenkt, ben je later veel verder van huis. Ook onderzoek naar de gebruiksvriendelijkheid van cyberbeveiligingsmaatregelen valt onder deze lijn.”
“En de derde gaat over onderwijs, de arbeidsmarkt en cyberweerbaar gedrag. Hoe krijg je mensen binnen organisaties en thuis zover dat ze zich cyberweerbaar gedragen? Wat belemmert leraren in het primair onderwijs om digitale vaardigheden te onderwijzen? Als we die belemmeringen snappen, kunnen we gerichte interventies ontwerpen.”
Je noemt vaak het belang van eerst goed begrijpen vóór je met oplossingen komt. Waarom?
“Omdat we vaak meteen in oplossingen denken. Maar als je niet weet waarom het misgaat, sla je de plank al snel mis met je oplossing. Een voorbeeld: als bedrijven het nut niet inzien van cyberweerbaarheid, dan biedt een zoveelste kennisproduct over hoe je basismaatregelen moet implementeren geen oplossing. Ik pleit voor goed onderzoek naar belemmeringen, gedrag en context. Dáár begint echte innovatie. Pas dan kun je duurzame veranderingen in gang zetten.”
Tot slot: wat hoop je dat mensen meenemen uit je lectorale rede?
“Ik hoop dat de boodschap binnenkomt dat we afscheid moeten nemen van het huidige denken in cybersecurity. We doen dit al jaren, met weinig resultaat. We moeten toe naar een ander idee: cyberweerbaarheid. En ik hoop ook dat duidelijk wordt dat we daar nog lang niet zijn. Dat er nog stappen nodig zijn. Bijvoorbeeld door praktijkgericht onderzoek. Ik wil dat mensen naar huis gaan met het besef: ‘We moeten echt aan de bak. Samen.’”
Wil je meer horen over de transitie van cybersecurity naar cyberweerbaarheid, en ontdekken hoe praktijkgericht onderzoek hierin een sleutelrol speelt? Bezoek dan de lectorale rede van Rick van der Kleij op donderdag 8 mei bij Avans Hogeschool in Den Bosch. Meld je hier aan.