Lotta, wat dacht je toen je hoorde over de grote stroomstoring in Spanje en Portugal?
Mijn eerste gedachte was: is dit een test van bijvoorbeeld de Russen, in aanloop naar de NAVO-top? Mensen gingen hamsteren, stonden in de rij bij banken. Uiteindelijk bleek het een gewone storing, maar het leidde de aandacht af van echte DDoS-aanvallen in Nederland. Dat laat zien hoe kwetsbaar we zijn — niet alleen technisch, maar ook psychologisch. We reageren heftig op onzekerheid, en dat maakt ons extra vatbaar voor ontwrichting.
Wat maakt Nederland zo kwetsbaar voor cyberaanvallen, en wat zijn de gevolgen als het misgaat?
Nederland is extreem goed georganiseerd en sterk gedigitaliseerd. Dat is onze kracht, maar ook onze achilleshiel. We hebben een complex IT-landschap met veel systemen en netwerken. Betalen met je smartphone is hier de norm. Als er dan iets uitvalt — denk aan energie, OV of banken — ligt alles plat. En mensen reageren daar heftig op. Na drie maaltijden zonder eten denkt niemand meer rationeel. Dan ontstaat een menselijke vorm van DDoS: paniek, hamsteren, chaos. Dat zagen we ook tijdens corona.
Andere landen, zoals Finland en Polen, zijn hier vaak beter op voorbereid. Daar leeft het besef dat ‘het zomaar anders kan zijn’ veel sterker. In Nederland geloven we nog vaak dat we via overleg alles oplossen. Maar dat werkt niet als de stroom uitvalt of je systemen platliggen.
“Zie je medewerkers niet als risico’s, maar als je ogen en oren. Maak van hen security agents.”
Wat is volgens jou de grootste kwetsbaarheid binnen organisaties?
Niet de techniek, maar de mens. Technische beveiliging is vaak prima geregeld. Maar één klik op een phishinglink kan genoeg zijn. En als iemand zich schaamt en zijn fout niet meldt, wordt het pas echt gevaarlijk. Schaamte is een onderschat risico. Daarom is het cruciaal dat medewerkers zich veilig voelen om fouten toe te geven. Dat vraagt om een cultuur waarin openheid en leren centraal staan.
Het probleem zit ook in de structuur. Bestuurders denken vaak: “Fijn dat de experts dit oppakken.” En experts willen geen bemoeienis. Zo ontstaat een vacuüm. Maar het echte risico zit bij de mensen die klikken en niets zeggen. En juist het middenmanagement — de drukste laag — krijgt talloze verzoeken. Voor hen is cybersecurity er maar één van. Als je wilt dat zij hier écht aandacht aan geven, moet je laten zien wat het hén oplevert.
Hoe begin je met gedragsverandering op het gebied van cybersecurity?
Door eerst te begrijpen waarom gewenst gedrag nog niet plaatsvindt. Zijn mensen te druk? Is het onderwerp te abstract? Vervolgens bied je maatwerk: van psycho-educatie en gamification tot informele gesprekken tijdens vergaderingen. Leidinggevenden moeten het goede voorbeeld geven. Deel fouten, organiseer een ‘fuck-up café’, maak het bespreekbaar. Alleen dan verandert gedrag echt.
Ik heb dat in de praktijk zien werken. Tien jaar geleden was daar weinig ruimte voor. Nu groeit het bewustzijn. Maar je moet wel het goede voorbeeld geven. Ook directieleden moeten zich psychosociaal veilig voelen om fouten toe te geven. En je moet oefenen. Net als bij de brandweer of de marine moet je dit trainen. Hoe eerder je een aanval detecteert, hoe sneller je kunt reageren.
Wat wil je organisaties vooral meegeven?
Zie je medewerkers niet als risico’s, maar als je ogen en oren. Maak van hen security agents. Als zij iets verdachts zien en durven te handelen, ben je als organisatie veel weerbaarder. Uiteindelijk draait het om cultuur. Gedrag. Boven- en onderstroom die samenkomen. Dat is misschien minder sexy dan firewalls en encryptie, maar het is essentieel.