Rick van der Kleij

‘Goede cyberweerbaarheid vereist een integrale aanpak’

Dr. Rick van der Kleij, lector Cyberweerbare organisaties

”Uit onderzoek blijkt dat organisaties die hun cyberveiligheid willen waarborgen, vrijwel hun gehele budget investeren in technische maatregelen. Dat klinkt logisch, maar toch is deze eenzijdige focus niet verstandig, vindt Rick van der Kleij. Hij is sinds januari 2024 lector van het nieuw opgerichte lectoraat Cyberweerbare Organisaties. “Voor een optimale cyberweerbaarheid moeten organisaties ook kijken naar hun digitale werkprocessen en de rol van de mens. Met mijn lectoraat wil ik hen helpen een integraal antwoord te vinden op een digitale dreiging die alsmaar groter wordt.”

Van der Kleij is aangetrokken om het nieuwste lectoraat binnen het Centre of Expertise Veiligheid & Veerkracht van Avans Hogeschool te gaan leiden. Het centrum wil zo inspelen op de behoefte van (met name kleinere) organisaties aan actuele, onderbouwde kennis over het verbeteren van hun cyberweerbaarheid. Daarvoor zijn we bij Van der Kleij aan het juiste adres; hij houdt zich bij TNO al jaren bezig met dit thema. “Het aantal Nederlanders dat jaarlijks slachtoffer wordt van cybercriminaliteit, lag volgens het CBS in 2022 op 2,2 miljoen. Ter vergelijking: het aantal fietsendiefstallen ligt op ongeveer 700.000”, stelt hij. “Uit recent onderzoek blijkt bovendien dat bijna de helft van alle Nederlandse organisaties in de afgelopen drie jaar slachtoffer werd van een succesvolle cyberaanval. De urgentie is dus duidelijk.”

Twee kloven dichten

Volgens Van der Kleij ontwikkelt cybercrime zich wereldwijd razendsnel, voortgestuwd door allerlei technologische innovaties; daar tegenover staat de veel tragere manier waarop de meeste organisaties hierop anticiperen. Het is een kloof die lastig te overbruggen valt: wie zich wil verdedigen, loopt immers per definitie achter de feiten aan. “Criminelen maken gebruik van online platforms waar slimme techneuten anoniem hun diensten aanbieden”, legt Van der Kleij uit. “Deze platforms zijn verspreid over de hele wereld en zeer lastig aan te pakken. Het is een ‘bedrijfstak’ die steeds professioneler wordt en zelfs door dubieuze regimes wordt ingezet voor economische spionage of het destabiliseren van een politieke situatie – met alle risico’s van dien. De budgetten zijn gigantisch; zie jezelf daar als ondernemer maar eens tegen te wapenen. Het bevestigt voor mij waarom ons onderzoek zo belangrijk is.”

De zwakste schakel

Een tweede kloof die Van der Kleij wil helpen dichten, is die tussen organisaties onderling: de afstand tussen de koplopers op het gebied van cyberweerbaarheid en de achterblijvers wordt steeds groter. “Er zijn helaas nog veel ondernemers die onvoldoende kennis, middelen óf motivatie hebben om hun weerbaarheid te optimaliseren”, merkt Van der Kleij. “Ik zie het als mijn opdracht om juist hen te helpen. De achterblijvers vormen namelijk ook een risico voor de partijen waarmee zij samenwerken. Cybercriminelen richten zich steeds vaker op de zwakste schakel in een toeleveringsketen: een kleine leverancier met een laag beveiligingsniveau kan zo dus onbedoeld toegang verschaffen tot een grotere partij – met maatschappij-ontwrichtende schade tot gevolg. We moeten dus juist de organisaties die nu bewust niet verder investeren in hun cyberweerbaarheid, mee zien te krijgen.”

Integrale aanpak

Gevraagd naar zijn visie op de beste manier om organisaties digitaal weerbaarder te maken, benadrukt Van der Kleij dat investeren in technologie alléén geen oplossing is. “Op dit moment gaat 85% van alle investeringen naar technologie, 14% gaat naar het verbeteren van werkprocessen en slechts 1% wordt besteed aan het trainen en opleiden van mensen – dat is totaal uit verhouding”, vindt hij. “Vooral voor de invloed van werkprocessen en de rol van de mens moet meer aandacht komen. De CEO-fraudepoging bij internetbank Bunq in 2023 (waarbij het een bankmedewerker een deepfake video ontving, waarin het leek alsof de CEO hem vroeg geld over te maken) mislukte dankzij de processen die de bank hanteert én omdat een medewerker argwaan kreeg. Het is cruciaal dat mensen scherp zijn en weten waarop ze moeten letten.”

Gebruiksgemak

Van der Kleij vindt ook dat er meer aandacht moet komen voor de gebruiksvriendelijkheid van digitale veiligheidsmaatregelen: “Security en gebruiksgemak zijn meestal geen vrienden. Maar als je veilig werken te omslachtig maakt, gaan mensen de regels omzeilen. Dan hebben al je investeringen in veiligheidsmaatregelen geen enkele zin. In plaats van te werken met ingewikkelde wachtwoorden die steeds vernieuwd moeten worden, kun je bijvoorbeeld ook kiezen voor toegangscontrole met een vingerafdruk of gezichtsherkenning. Zo maak je het gemakkelijk om veilig digitaal te werken.”

In het onderzoek dat Van der Kleij gaat uitvoeren, staat dit integrale perspectief centraal. “Hoe zetten we organisaties aan tot actie, wat staat hen in de weg? Wat is het effect van specifieke interventies, lossen ze het probleem in de volle breedte op? Dat soort vragen wil ik in samenwerking met onderwijs, overheden en bedrijfsleven onderzoeken.” Ondanks de grote dreiging die uitgaat van cybercrime, is hij optimistisch over de mogelijkheden om ons ertegen te wapenen. “Overheden werken internationaal steeds actiever samen om netwerken van cybercriminelen op te sporen, ook Nederland doet hieraan mee. Nieuwe Europese wetgeving verplicht bedrijven bovendien hun producten en processen beter te beveiligen; dat zet zaken in beweging. Producenten kiezen steeds vaker voor security by design bij het ontwikkelen van digitale middelen, wat betekent dat de beveiliging al in de ontwerpfase wordt meegenomen. Ook AI biedt enorme kansen, denk bijvoorbeeld aan geautomatiseerde verdediging via autonome systemen. Die ontwikkelingen zijn razend interessant. Ik ben blij met de kans die ik krijg bij Avans en hoop binnen het Centre of Expertise Veiligheid & Veerkracht ook mooie dwarsverbanden met de andere lectoraten kunnen leggen.”