Áls het gebeurt, gaat dat vaak niet viraal. Je loopt er immers niet mee te koop wanneer je cybersecurity ontoereikend is gebleken. Maar de ingrijpende hack die nét jouw organisatie moest treffen, kan grote schade berokkenen: financieel en emotioneel. Waar jarenlang de focus lag op voorkomen, ligt die bij onderzoekers Rutger Leukfeldt en Rick van der Kleij nu vooral op weerbaar maken. Rutger is initiatiefnemer van het onderzoeksconsortium Cyberweerbaar NL, waar naast De Haagse Hogeschool ook Hogeschool Saxion en NHL Stenden Hogeschool bij betrokken zijn. Rick is lector Cyberweerbare Organisaties bij het Centre of Expertise Veiligheid & Veerkracht van Avans en is op 1 oktober 2024 toegetreden tot dit consortium. Een gesprek over ‘goede ideeën’, krachten bundelen, praktijkgericht onderzoek en brandwerende dekens.

‘Kerstcadeautje’

Medio oktober 2019 infiltreerden cybercriminelen het netwerk van de Universiteit Maastricht. Via een phishingmail kregen ze toegang tot de laptop van een medewerker. Gedurende twee maanden wisten ze zich geruisloos door het netwerk te bewegen. Op 23 december activeerden ze de ransomware. Dit ‘kerstcadeautje’ voor de universiteit zorgde ervoor dat al haar systemen werden versleuteld. Dat roosters, bestanden en e-mails ontoegankelijk werden voor medewerkers en studenten.

In november 2021 werden MediaMarkt-vestigingen in heel Europa getroffen door een ransomware-aanval. Processen werden daardoor stilgelegd. Klanten konden niet langer artikelen afhalen of retourneren. Het bedrijf kon deze gigantische operationele hinder afkopen met een losgeld van 43 miljoen euro.

Afhankelijkheid

“Deze dingen komen helaas steeds meer voor,” zegt Rutger Leukfeldt. Hij is lector Cybercrime en Cybersecurity en leading lector van het Centre of Expertise Cyber Security aan de Haagse Hogeschool, senior onderzoeker bij het Nederlands Studiecentrum Criminaliteit en Rechtshandhaving en bijzonder hoogleraar Governing Cybercrime aan de Universiteit Leiden. “In een samenleving die steeds digitaler wordt, worden we steeds afhankelijker van kwetsbare digitale systemen. De impact van cyberaanvallen neemt daardoor alleen maar toe. Omdat er dringend behoefte is aan krachtenbundeling in praktijkgericht onderzoek, heb ik vanuit De Haagse Hogeschool, samen met Saxion Hogeschool en NHL Stenden, het initiatief genomen om SPRONG Cyberweerbaar NL op te richten. In 2024 is met Rick en zijn team ook Avans Hogeschool toegetreden in dit onderzoeksconsortium. Ik ben blij dat zij nu ook hun expertise inbrengen.”

Grote impact

Rick van der Kleij is behalve lector bij Avans Hogeschool ook senior onderzoeker bij TNO, waar hij zich al jaren bezighoudt met dit thema. “Voor ons is het terrein van praktijkgericht onderzoek breder dan alleen cybercrime. Ook een foutieve software-update of een datalek – daar zit meestal geen kwade wil achter – kan grote impact hebben en bijvoorbeeld de bedrijfscontinuïteit in gevaar brengen.”

Die impact vertaalt zich in urgentie. Rutger geeft met een paar percentages aan hoe urgent hun praktijkgerichte onderzoek is. “Jaarlijks wordt ongeveer 5 procent van de burgers slachtoffer van hacken. Ongeveer 3 procent lijdt onder digitale fraude. En dan meten we de meeste vormen van cybercrime niet eens. Verder weten we dat jaarlijks één op de vijf bedrijven te maken krijgt met een cyberincident. Voor één op de vijftien bedrijven gaat het dan om een aanval van buitenaf, dus om cybercrime, met financiële schade tot gevolg. De vraag hoe ons praktijkgerichte onderzoek kan bijdragen aan een grotere weerbaarheid is dus bijzonder relevant.”

Ieder jaar wordt één op de vijftien bedrijven digitaal aangevallen, vaak met aanzienlijke financiële schade tot gevolg

Blinde vlek

Áls die hack een organisatie lamlegt, zijn er duurbetaalde gespecialiseerde bedrijven die onmiddellijk paraat staan om met een krachtige incident response ‘de brand te blussen’. Wie door dit verhaal alert wordt, kan gebruikmaken van een leger cybersecurity consultants. Waar in dat krachtenveld bevindt zich Cyberweerbaar NL? Rutger: “Wij zijn zeker niet die brandweer. We leveren óók niet ‘brandwerende dekens’: kant-en-klare producten om alle risico’s af te dekken. Met onze onderzoeksdata kunnen we wél die dekens ontwikkelen en bekijken hoe de brandweer het beste kan optreden. 

We zijn met Cyberweerbaar NL begonnen, omdat in het onderzoek veel nadruk lag en ligt op het vinden van de beste technologische oplossingen. Maar daarin blijft het menselijke aspect een blinde vlek. Iedereen zag wel dat er buiten de techniek ook nog wat te doen was. Maar iedereen ging ook steeds weer opnieuw het wiel uitvinden. Jaarlijks kwamen dezelfde soort vragen terug. Toen dachten we: dit is zo’n groot maatschappelijk probleem; dit moeten we samen oppakken als hogescholen die praktijkgericht onderzoek doen. Niet langer elkaar beconcurreren. Niet langer kleine onderzoeksprojecten aanpakken. In plaats daarvan zo veel mogelijk onze krachten bundelen in substantiële onderzoeksprogramma’s.”

Ingebed in de regio

Rutger: “Het consortium is zo ingericht, dat een aantal nationale overkoepelende partijen meedoet zoals MKB Nederland, Politie Nederland, het Ministerie van Justitie en Veiligheid, het CCV, de brancheorganisatie van de cybersecuritybedrijven etc. Daarnaast is in alle regio's om de hogescholen heen – noord, zuid, oost en west – een infrastructuur opgebouwd, met gemeenten en allerlei lokale partijen. Want daar in de regio vinden de incidenten plaats. En hogescholen zijn vaak heel goed ingebed in de regio. Zij weten welke vragen er leven.”

Met Cyberweerbaar NL willen we zo veel mogelijk onze krachten bundelen in substantiële onderzoeksprogramma’s

Overtuigende dubbelganger

Rick nuanceert nadrukkelijk het beeld dat de mens de zwakste schakel is in cyberweerbaarheid. “Natuurlijk is het systeem net zo sterk als de zwakste schakel. Maar dat is vaak niet de mens. Denk aan Bunq. Eén van de medewerkers van die bank kreeg een deepfake e-mail – nota bene mét videoboodschap – van ceo Niknam, waarin hij de medewerker vroeg om met spoed een aanzienlijk geldbedrag over te maken naar een rekening. Niknam was verbaasd hoe overtuigend zijn deepfake AI-dubbelganger was. Omdat de bank processen hanteert die in deze situaties als vangnet dienen en de medewerkers goed waren getraind op het gebied van cyberweerbaarheid, werd de ceo-fraude snel ontdekt. Dan zie je hoe de mens – de alerte medewerker – ook de sterkste schakel kan zijn.”

Krachtenbundeling

Wanneer organisaties alleen maar met technologie de cybersecurity opschroeven, ontstaat een spanning tussen veiligheid en gebruikersgemak. Rick: “Als de veiligheidsmaatregelen het gebruikersgemak onder druk zetten en medewerkers daar hinder van ondervinden, kan het zomaar zijn dat ze om die maatregelen heen gaan werken en daardoor juist onveiligheid creëren.”

Rutger: “Iedereen ziet nu wel de urgentie van een effectieve aanpak. Met vier hogescholen dekken we alle regio’s in Nederland. In events en in gesprekken tussen de genoemde landelijke en regionale organisaties en de lectoren ontstaan onderzoeksideeën. Die ideeën gaan we empirisch onderzoeken, om zo de mate van effectiviteit ervan te kunnen bepalen. Elk van de vier hogeschool heeft daarin haar eigen unieke onderzoeksaspecten. Door de toetreding van Avans hebben we meer mensen die dit empirisch onderzoek kunnen doen. Die grotere krachtenbundeling is dus in zichzelf al effectief.”