Rick van der Kleij, TNO/Avans: ‘Mens meer centraal zetten goed voor cyberweerbaarheid’

Rick van der Kleij, lector bij Avans en onderzoeker bij TNO.

Een cybersecurity-onderzoeker met een achtergrond in de psychologie: die basis tekent ook hoe Van der Kleij aankijkt tegen cyberweerbaarheid, waarvan cybersecurity een onderdeel is. Cyberweerbaarheid is meer dan technologie alleen, meent hij, beleid en zeker de mens zijn net zo belangrijk in het weerbaarder worden tegen cybercriminaliteit.

Vanuit zijn rol bij de Nederlandse Organisatie voor toegepast-natuurwetenschappelijk onderzoek (TNO) - unit Defensie & Veiligheid - was het vergroten van cyberweerbaarheid al een grote ambitie van Van der Kleij. Hij hoopt hier met zijn functie bij Avans op meer gebieden een slag in te slaan. “Het spreekt mij aan om toegepast onderzoek te doen, meer dan fundamenteel onderzoek zoals bij universiteiten. Dat doen we ook bij TNO, dus dit is een mooie combinatie.”

Meer impact cybercriminaliteit

Meer mensen worden inmiddels slachtoffer van digitale criminaliteit dan van de traditionele variant. Een CBS-onderzoek vorig jaar sprak van zo’n 2,2 miljoen mensen. Hetzelfde geldt voor organisaties, stelt Van der Kleij. Volgens een recente studie van ABN Amro is 80 procent van alle organisaties al eens doelwit geweest van cybercriminelen.

“Uit eigen onderzoek vorig jaar bleek dat in de voorafgaande 12 maanden 11 procent van alle organisaties slachtoffer is geweest van een cyberincident. Geen mooie cijfers. Het is daarom mijn ambitie om organisaties meer cyberweerbaar te maken. Dat willen we vanuit Avans met toegepast of praktijkonderzoek doen, voor en samen met deze organisaties.”

Groeiende kloof

Makkelijk is dat niet, meent de kersverse lector. Er is volgens onder meer de Cyber Security Raad namelijk sprake van een groeiende kloof tussen organisaties die hun cyberweerbaarheid goed op orde hebben en organisaties die hier minder makkelijk in mee kunnen of willen komen.

“Het is niet altijd zo dat organisaties niet weten wat ze moeten doen. Vaak is er ook onvoldoende motivatie. Je moet dus ook nadenken over hoe je partijen kunt enthousiasmeren, hen op hun eigen verantwoordelijkheid kunt wijzen. Men denkt nu vaak onterecht dat de overheid daar een rol in moet spelen. Er zijn allerlei belemmerende overtuigingen die zelf verantwoordelijkheid nemen in de weg staan.”

Strategische samenwerking

Van der Kleij sprak al over strategische samenwerking en de rol van toegepast onderzoek. Hoe ziet hij dat in de praktijk? “TNO en Avans werken aan dezelfde maatschappelijke vraagstukken, dezelfde uitdagingen, waaronder een veilige maatschappij”, vertelt de lector. “Daarin vinden we elkaar, dus ook op het gebied van cyberweerbaarheid. We hadden nog geen directe relatie. Mijn hoop is dat we elkaar nu als kennisinstelling en hogeschool beter kunnen vinden en helpen op dit onderwerp, bijvoorbeeld met kennisdeling.”

Als het gaat om toegepast onderzoek, dan heeft Van der Kleij het onder meer over de studenten waarmee hij te maken krijgt bij Avans. “Je zou studenten op pad kunnen sturen om bij bedrijven die dit willen, de cyberweerbaarheid te testen. Bedrijven krijgen zo meer inzicht in hoe ze zich kunnen beschermen tegen cyberincidenten. En wij krijgen meer inzichten op basis van de verzamelde data. De studenten krijgen ook meer begrip over wat cyberweerbaarheid nou inhoudt en hoe ze bij zichzelf en een toekomstige werkgever of klant de cyberweerbaarheid kunnen vergroten.”

Rick van der Kleij: "Als studenten begrijpen dat cybersecurity om meer gaat dan technologie, sla je twee vliegen in een klap.”

Bij Avans wil Van der Kleij meer studenten interesseren voor een loopbaan op het gebied van cybersecurity, maar ook in het algemeen de cyber awareness van studenten vergroten. “Je hebt namelijk meer security-mensen nodig, maar ook meer werknemers die het concept weerbaarheid snappen en daar naar handelen in hun werk. Gelukkig treedt er op dit gebied al een kentering op, het studenten meegeven van het juiste kader. Als zij begrijpen dat cybersecurity om meer gaat dan technologie en de nieuwste inzichten meenemen, sla je twee vliegen in een klap.”

Incidenten niet te voorkomen

Van der Kleij gaf het al aan: cybersecurity en cyberweerbaarheid zijn niet gelijk aan elkaar. Security gaat meer over zaken zoals monitoring, detectie en preventie. Maar je kunt incidenten niet altijd voorkomen, daar moet je als bedrijf op ingesteld zijn. Het gaat dus ook om het vermogen om adequaat op incidenten te reageren. Hier komt weerbaarheid om de hoek kijken.

“Een volgende stap, die steeds meer organisaties gelukkig zetten, is het vermogen om te leren van incidenten. Ik zie organisaties vaker naar buiten treden met hoe zij een incident aangepakt hebben, zodat ook andere partijen ervan kunnen leren. Denk aan de omgang met ransomware. Dus wat mij betreft gaat weerbaarheid enerzijds om het vermogen te kunnen anticiperen op wat er kan komen – en dit te detecteren als het zich voordoet – maar ook om het vermogen om adequaat te kunnen reageren op en leren van een incident. De grote vraag is: hoe vergroot je dan die vermogens? Daar wil ik me de komende tijd op gaan richten.”

Van der Kleij ziet niet alleen een groeiende kloof bij organisaties, ook de overheid lijkt andere prioriteiten te hebben. “Misschien richten we ons op de verkeerde aspecten van security. Dialogic heeft onlangs in economisch perspectief naar cybersecurity gekeken. Zij constateert dat de Nederlandse overheid relatief beperkt investeert in cybersecurity of het stimuleren ervan. Heel anders is dat in landen zoals Israël en Estland. Nederland stelt vraagstukken zoals klimaat en energie meer centraal. Mogelijk dat we daarom op het gebied van cybersecurity achterblijven. Tegelijkertijd zijn er stimuleringssubsidies die deels onbenut blijven. Ik denk dus dat zowel overheid als bedrijfsleven wel een tandje kan bijzetten.”

Fragmentatie en andere drempels

Fragmentatie speelt ook een rol. Zo is cybersecurity bij de overheid bij diverse ministeries belegd. EZK gaat over het Digital Trust Centre, terwijl het NCSC onder Justitie en Veiligheid valt – al gaan die agentschappen wel samen de komende jaren. Aan de andere kant wordt er al veel kennis gedeeld en zijn er – zoals net al aangegeven - veel subsidies, ziet Van der Kleij. “Maar het zijn toch vaak dezelfde partijen, die al voorop lopen, die elkaar opzoeken en kennis delen. Daar is echt nog wel wat te winnen, zeker in het betrekken van achterblijvende partijen die denken hier niets te zoeken of te winnen hebben.”

Een drempel om cyberweerbaarder te worden is soms ook de wijze waarop cybersecurity en het voldoen aan regulering op dit gebied gezien worden als een soort ‘straf’. Zo is er nog betrekkelijk weinig gedaan om te voldoen aan cybersecurity-regulering NIS2 (in Nederland per oktober 2024 de vernieuwde Wet beveiliging netwerk- en informatiesystemen).

“Afdwingen doe je als andere maatregelen niet werken”, ziet Van der Kleij. “Maar organisaties houden niet van dit soort ‘moeten’. Dan heeft men de neiging om uit te stellen, zoals je ook vaak bij belastingaangifte doet. Ik ben dan ook benieuwd hoe de toezichthouder dit gaat afdwingen.”

Meer focus op rol mens

De lector hamert op meer focus op de rol van de mens om sommige drempels te overwinnen. “Ik ben voorstander van een sociaal-technische aanpak: mensen, processen en technologie. Er wordt vooral in technologie geïnvesteerd en daar moet meer balans komen. Er liggen veel uitdagingen bij het menselijke aspect.”

Zo hebben veel incidenten weliswaar een menselijke component. Maar dat betekent niet altijd dat het een menselijke fout is. Van der Kleij hierover: “Als je in de inzet van technologie geen rekening houdt met menselijke eigenschappen, dan kun je verwachten dat het mis gaat bij de mens. Maar de fout ligt dan in het systeem. We maken het mensen vaak te moeilijk om zich veilig in zo’n systeem te gedragen. Denk aan gebrekkige gebruiksvriendelijkheid van veel cybersecurity-maatregelen. Of aan hoe processen mensen soms hinderen in het behalen van hun zakelijke doelen.”

Het is, zoals Van der Kleij al aangaf, dan ook zijn ambitie om alle aspecten mee nemen in zijn onderzoek de komende tijd. “Als je je enkel richt op één of een paar aspecten, zoals technologie, incident response plannen, beleid, dan kom je er niet. Er zijn veel meer aspecten die met elkaar in een systeem interacteren: dat moet je allemaal meenemen. Dat zie je bijvoorbeeld terugkomen bij programma’s voor veilig mailen die onveilig gedrag herkennen en dan de gebruiker waarschuwen. Bijvoorbeeld wanneer deze gevoelige informatie gaat versturen. Hier is het technologie die het ons makkelijk maakt om veilig te werken. Alles hangt dus samen.”