In dit interview deelt Lotta Croiset van Uchelen Feberwee haar inzichten op het gebied van cybersecurity, risicobewustzijn en cultuurverandering.
Wat dacht je toen je hoorde over de grote stroomstoring in Spanje en Portugal?
Lotta: Net als veel mensen dacht ik meteen: is dit een oefening van bijvoorbeeld de Russen in aanloop naar de NAVO-top? Mensen gingen massaal hamsteren, stonden in de rij bij banken. Uiteindelijk bleek het "gewoon" een stroomstoring te zijn. Maar het zorgde ervoor dat het nieuws over echte DDoS-aanvallen in Nederland, zoals op provinciewebsites, naar de achtergrond verdween.
Wat is een DDoS-aanval precies?
Lotta: DDoS staat voor Distributed Denial of Service. Je hackt meerdere computers en laat ze tegelijkertijd een verzoek sturen naar een website. Dat veroorzaakt een digitale file waardoor de site onbereikbaar wordt. Het lijkt onschuldig, maar als bijvoorbeeld de websites van supermarkten of banken niet bereikbaar zijn, heeft dat grote maatschappelijke impact.
Waarom is Nederland zo aantrekkelijk voor cyberaanvallen?
Lotta: Omdat we extreem goed georganiseerd zijn. Dat is tegelijk onze zwakte. We hebben een zeer uitgebreid IT-landschap, met veel verschillende systemen en netwerken. Ook is Nederland in hoge mate gedigitaliseerd. Betalen met je smartphone is bijvoorbeeld nergens zo 'gewoon' als in Nederland. Die hoge mate van digitalisering vergroot de kans dat er ergens een zwakke plek zit waar je binnen kunt komen.
Welke organisaties zijn het meest kwetsbaar?
Lotta: De vitale infrastructuur: energie, openbaar vervoer, banken. Denk aan wat er gebeurt als elektriciteit uitvalt: geen treinen, geen betalingen. Zelfs verkiezingen kunnen beïnvloed worden als mensen fysiek niet op hun stembureau kunnen komen.
Wat gebeurt er als Nederland getroffen wordt door een grote cyberaanval?
Lotta: Na drie maaltijden zonder eten reageert niemand meer rationeel. Mensen kunnen slecht omgaan met stress en onzekerheid. Dat zagen we ook tijdens corona. Massaal hamsteren veroorzaakt congestie en verstoringen. Dat soort gedrag leidt tot een menselijke vorm van DDoS op supermarkten, banken, noem maar op.
Zijn andere landen hier beter op voorbereid?
Lotta: Ja, bijvoorbeeld Finland en Polen. Die hebben een andere historische relatie tot dreiging. Daar is het idee dat 'het zomaar anders kan zijn' veel reëler. In Nederland geloven we nog vaak dat we via overleg alles oplossen.
Zie je dat het bewustzijn in Nederland verandert?
Lotta: Zeker. Vroeger lachte ik mijn vader uit omdat hij een noodpakket had. Nu heb ik er zelf ook een. Maar het brein verandert pas echt als je iets meemaakt.
Wat is volgens jou de grootste kwetsbaarheid in organisaties?
Lotta: Niet de techniek, maar de mens. Technische beveiliging is vaak goed geregeld. Maar een medewerker die op een phishinglink klikt, kan alsnog de deur openzetten. Dan is het cruciaal dat iemand zijn fout durft te melden. Schaamte is hier het grootste risico.
Wat kunnen organisaties doen om hiermee om te gaan?
Lotta: Iedereen moet betrokken worden, niet alleen IT’ers of specialisten. De vraag is niet of het gebeurt, maar wanneer. En dan is het belangrijk dat medewerkers zich veilig genoeg voelen om te zeggen: "Oeps, dat was misschien fout." Dat vergt cultuurverandering.
Cybersecurity klinkt technisch. Maar jij legt de nadruk elders?
Lotta: Klopt. Techniek heeft al veel aandacht gehad. Maar gedrag en cultuur blijven achter. Bestuurders denken vaak: “Fijn dat de experts dit oppakken.” En experts willen geen bemoeienis. Zo ontstaat een vacuüm. Maar het echte risico zit bij de mensen die klikken en niets zeggen.
Hoe begin je met zo’n gedragsverandering?
Lotta: Ik onderzoek altijd eerst: waarom gebeurt het nu nog niet? Zijn mensen te druk? Zijn er andere prioriteiten? Op basis daarvan ontwikkel je maatwerk: psycho-educatie, gamification, teamtrainingen, of bijvoorbeeld informele gesprekken tijdens vergaderingen. Boven- en onderstroom moeten samenkomen.
Hoe maak je schaamte bespreekbaar?
Lotta: Brené Brown zegt: de enige manier om met schaamte om te gaan, is erover praten. Dus laat leidinggevenden hun eigen fouten delen. Denk aan een wall of shame, een wall of fame, of een fuck-up café. Als iemand durft te zeggen: "Ik heb mijn wachtwoord afgegeven", zet dat de toon.
Heb je dat in de praktijk zien werken?
Lotta: Ja. Tien jaar geleden was daar weinig ruimte voor. Nu groeit het bewustzijn. Maar je moet wel het goede voorbeeld geven. Ook directieleden moeten zich psychosociaal veilig voelen om fouten toe te geven.
Moeten ook bestuurders hier meer kennis over opdoen?
Lotta: Ja. Maar het zit vooral in de middenlaag. Het middenmanagement heeft het druk en krijgt vanuit alle afdelingen verzoeken. En dan hebben we het niet alleen over de dagelijkse werkzaamheden maar ook ver verzoeken, veranderingen en wijzigingen vanuit stafafdelingen. Voor hen is cybersecurity is maar één van de vele verzoeken. Als je wilt dat zij hier écht aandacht aan geven, moet je laten zien wat het hén oplevert.
Wat werkt er voor deze laag?
Lotta: Maatwerk. Groepstraining, een spreekuur, een one-pager. Het moet aansluiten bij hun manier van werken en leidinggeven. En als ,ze kiezen voor een aanpak, moeten ze daar ook echt voor gaan.
Hoe groot is het probleem eigenlijk in Nederland?
Lotta: Veel is geclassificeerd. En lang niet alles wordt gemeld. Maar dat doet er niet toe. De aanval komt. De vraag is wanneer en hoe ernstig. We hebben het nog niet eens gehad over malware of ransomware. Die zijn vaak nog complexer en vereisen een goede voorbereiding van het bestuur.
Kun je dat oefenen als organisatie?
Lotta: Zeker. Net als bij de brandweer of de marine moet je dit trainen. Hoe eerder je een aanval detecteert, hoe sneller je kunt reageren. En daar moet je tijd en aandacht voor vrijmaken.
Wat is jouw stelling richting organisaties?
Lotta: Zie je medewerkers niet als risico's, maar als je ogen en oren. Maak van hen security agents. Als zij zien dat iets niet pluis is, kunnen ze snel reageren. Daar zit de echte kracht van cybersecurity.
Tot slot: waar draait het uiteindelijk om?
Lotta: Om cultuur. Gedrag. Boven- en onderstroom die samenkomen. Dat is misschien minder sexy dan firewalls en encryptie, maar het is essentieel.
