Proactief handelen in een digitale wereld

“Zonder Zero Trust is cybersecurity een bodemloze put.”

Toen Marcel van Eemeren, CEO en oprichter van één van Nederlands grootste cybersecurity-dienstverleners vijftien jaar geleden ON2IT startte, waren IT-afdelingen en systeembeheerders zijn enige gesprekspartner. Op directieniveau was cybersecurity geen onderwerp van gesprek, of hoogstens bij de borrel. Maar sinds geslaagde ransomware aanvallen de waarde van beursfondsen laten verdampen en gemeenten, ziekenhuizen en universiteiten wekenlang kunnen stilleggen, kan geen bestuurder meer om de noodzaak van databeveiliging heen.

Recente onderzoeken, zoals PwC’s CEO Survey, laten zien dat cybersecurity doordringt tot de bestuurskamers. CEO’s begrijpen dat actuele boardroom-thema’s zoals weerbaarheid, supply chain management en digitale transformatie afhangen van de eigen IT-systemen en die van hun zakenpartners.

Grote gevolgen

“Cybercriminaliteit is de afgelopen jaren dichtbij gekomen”, zegt Marcel van Eemeren, CEO en oprichter van ON2IT, één van de grootste cybersecurity dienstverleners van Nederland. “Gemeenten, univer-

ON2IT

siteiten en bedrijven als Hoppenbrouwers Techniek, Mediamarkt en industrieonderneming VDL werden slachtoffer.

Zij vormen het topje van de ijsberg. Meer dan negentig procent van de ondervraagde organisaties in een recente Deloitte-enquête bleek minstens één cyberincident te hebben meegemaakt. De dreiging van operationele disrupties, omzetverlies en reputatieschade is reëel. In Ierland is de totale gevolgschade van een ransomware-aanval op vier ziekenhuizen bijvoorbeeld begroot op honderd miljoen euro. Dat was tien jaar geleden onvoorstelbaar.”

Meer dan technologie

Dat cybersecurity in 2023 op de agenda van directies staat, wil nog niet zeggen dat gesprekken erover per se soepel verlopen. IT-ers en bestuurders spreken ieder hun eigen taal. “Bestuurders denken als generalisten in grote lijnen over cybersecurity”, zegt Van Eemeren, “Hoe weerbaar zijn wij, tegen welke risico’s? Doen we de juiste dingen met ons cybersecurity-budget? Hoe verhouden onze cybersecurityinvesteringen zich tot de kans dat we slachtoffer worden – is het budget te hoog of te laag? Dat zijn goede vragen.”

CISO’s en IT-afdelingen komen daarop met vaak technologische antwoorden die niet echt aansluiten bij die vragen, weet Van Eemeren. “Tegelijk zoeken CIO’s en IT-directies zelf oplossingen en aanbieders die hen helpen het probleem te beheersen. Veel organisaties hebben door de tijd een lappendeken van deeloplossingen van verschillende leveranciers opgetuigd. Die werken nauwelijks samen en zijn niet opgewassen tegen de groeiende bedreigingen.”

ON2IT’s Zero Trust as a Service (ZtaaS) is een nieuwe aanpak van managed cybersecurity services waarbij preventie voorop staat. ZTaaS biedt een volledige invulling voor het uitbesteden van cybersecurity met 24/7 ondersteuning van onze managed SOC teams. Zero Trust as a Service is gebaseerd op de Zero Trust strategie, ontwikkeld door ON2IT’s John Kindervag, en biedt de beste bescherming tegen cyber bedreigingen. Alle voordelen van Zero Trust verpakt in één managed service. www. on2it.net/nl/

Eén kwetsbaarheid is genoeg Kwetsbaarheden in software en menselijke fouten liggen altijd op de loer. “De verdediger moet bij honderd procent van de dreigingen tijdig de juiste verdediging gereed hebben. Een hacker heeft intussen aan één kwetsbaarheid genoeg om binnen te komen”, merkt Van Eemeren op. Hij ziet sinds enkele jaren wel vooruitgang in de relatie tussen bestuurders en IT-specialisten. “Toch is een strategische, breed gedragen benadering van cybersecurity nog zeldzaam. De meeste CEO’s denken: ‘ik hoop dat mijn hoofd IT snapt wat er moet gebeuren’.”

Hoop is geen strategie.

De opkomst van de strategische Zero Trust benadering voor cybersecurity maakt het verbinden van de boardroom met ITers makkelijker. “Zero Trust geeft de CEO en cybersecurity-teams een gemeenschappelijke taal”, zegt Van Eemeren.

“Het biedt mogelijkheden om strategische prioriteiten te vertalen in technische oplossingen. Het reikt een model aan om beheersing meetbaar te maken.” De bedenker, John Kindervag, schreef vijftien jaar geleden al over de noodzaak om cybersecurity anders te benaderen. Hij was toen een roepende in de woestijn – maar nu niet meer. Zijn inzichten zijn inmiddels breed geaccepteerd, vooral in de VS. De Zero Trust-strategie is daar sinds 2021 zelfs verplicht voor alle overheidsinstellingen, inclusief het ministerie van Defensie.

Never trust, always verify Kindervag besefte vroegtijdig dat ontwikkelingen als de cloud, smartphones en thuiswerken het concept van een beveiligd bedrijfsnetwerk met vertrouwelijke gegevens onbruikbaar zou maken.

Gevoelige data kan nu overal staan, en dus moeten we in 100 procent van de gevallen verifiëren en inspecteren wie er toegang toe wil. Rond zijn mantra never trust, always verify formuleerde Kindervag enkele eenvoudige strategische uitgangspunten.

De belangrijkste: verifieer en inspecteer altijd wie toegang wil.

Bestuurders snappen deze Zero Trust strategie, want ze denken al vanuit risico’s. Van Eemeren: “De aanpak gaat niet uit van technologie, maar van de meest waardevolle digitale kroonjuwelen van een organisatie. Zero Trust vraagt van organisaties om alle data en applicaties groepsgewijs in kaart te brengen en per cluster aanvaardbare risico’s vast te leggen.”

Beperk kans en impact

Het benoemen en vastleggen van de waarde van alle digitale assets geeft een IT-afdeling een objectieve en meetbare leidraad voor rapportage. Van Eemeren: “Voorheen kwam cybersecurity neer op ‘alle data en programma’s tegen alle mogelijke aanvallen beschermen’. Dit voorkomen van alle datalekken en ransomware vergt een onbeperkt budget. Het werkt ook niet.”

You run out of money before you run out of potential hackers

Bedrijven als ON2IT, die de Zero Trust aanpak al vroeg omarmden, hebben ruime ervaring met Zero Trust als een integrale managed dienstverlening.

“Wij hebben het algemeen geaccepteerde vijf stappen model voor de implementatie van Zero Trust bijvoorbeeld geïntegreerd

in ons cloudplatform. Daarop hebben zowel de CEO, de CISO en de IT-afdeling relevante dashboards over hun Zero Trustprogressie.”

Inhaalslag Europa

De VS lopen voorop met Zero Trust. Naast de wettelijke plicht zijn er kaders om de volwassenheid te meten en er zijn budgetten voor de invoering. Van Eemeren ziet Europa langzaamaan ook in beweging komen.

“De nationale cybersecurity-centra in Europa kennen Zero Trust. Zo propageert het Nationaal Cyber Security Centrum (NCSC) het, omdat organisaties die de benadering omarmen, aantoonbaar minder vatbaar zijn voor externe en interne aanvallen.”

Maar het moet sneller, vindt Van Eemeren. “Europa heeft de General Data Protection Regulation (GPDR) al. Maak ook van Zero Trust een wettelijke plicht met glasheldere beoordelingscriteria.”

Hij is daarbij hoopvol over de invoering van de Europese NIS2-richtlijn, die moet bijdragen aan Europese harmonisatie en een hoger niveau van cybersecurity bij bedrijven en organisaties.

NIS2 beveelt de Zero Trust-strategie expliciet aan. Net als de GDPR is NIS2 omgeven met aansprakelijkheden en potentieel hoge boetes. Dat bevordert de behoefte aan beslissingen over cybersecurity op strategisch niveau en het Zero Trust-gedachtegoed.

“Wij spreken op dit moment veel bestuurders met vragen over wat de NIS2-richtlijn voor hen gaat betekenen. Daarbij vragen ze ook hoe ze kunnen voorkomen dat cybersecurity een bodemloze put wordt. Het antwoord is: Zero Trust.”

Wat is Zero Trust?

Een inbraak kan altijd plaatsvinden, maar Zero Trust zet in op het minimaliseren van de kans dat dit gebeurt en de impact (in tijd en kosten) ervan.

Dat kan door alle data en toepassingen op te delen in segmenten met eigen passende beveiligingsmaatregelen. Passend betekent: gebaseerd op de waarde van de data, het risicoprofiel en eventuele verplichte maatregelen van toezichthouders of brancheorganisaties (compliance). De compartimentering voorkomt dat een geslaagde hack direct een hele organisatie kan platleggen. ‘Zero Trust’ betekent letterlijk ‘nul vertrouwen’. Het gaat daarbij voor John Kindervag niet om het vertrouwen van personen, maar van hun smartphones, laptops en netwerken. Een hacker kan bijvoorbeeld malware op iemands pc installeren. Daardoor kan met hun login ransomware worden verspreid zonder dat die persoon het weet. Vandaar: never trust, always verify.

MICHIEL STELTMAN

Nieuwe Europese securitywetgeving is nog geen garantie voor een proactieve cybersecurity-instelling

VOORWOORD

Ondernemers worstelen met de huidige en nieuwe Europese cybersecuritywetgeving. De contradictie wil bovendien dat die nieuwe wetten niet per se een stimulans zijn om genoeg concreets te doen om de risico’s op digitale inbraken, ransomware, datalekken of DDoS te verkleinen.

Michiel Steltman, directeur van de stichting DINL, de koepelorganisatie van de Nederlandse Digitale infrastructuur-sector, en kernteamlid van de Online Trust Coalitie, is klip en klaar in zijn reactie. Op de vraag wat organisaties concreet te doen staat antwoordt hij: “Ik kan het niet mooier maken dan het is. Elke Nederlander behoort de wet te kennen. En dat geldt dus net zo goed voor ondernemers. Ik kan me zeker voorstellen dat je verdwaalt in het woud van nieuwe regels, en dat je schrikt van de hoofdelijke aansprakelijkheid die in enkele van die nieuwe wetten staat. Maar dat ontslaat je niet van de noodzaak om naar de geest van die wetten te gaan handelen.

Ketenproblematiek

Voor wie het niet helemaal scherp op het netvlies heeft staan: elk bedrijf van enige omvang dat digitale diensten zoals cloud

services heeft of levert,en dat in belangrijke leveringsketens is betrokken zoals zorg, voedselproductie of finance, krijgt niet langer alleen met de AVG te maken. Maar ook met de NIS2, CSA en het EUCS, mogelijk met DORA, met de CER. En binnenkort ook nog eens met de CRAvoor leveranciers van software en IT producten.

Het voert te ver om op deze plek al die regelgeving te ontrafelen. Steltman geeft aan dat iedereen iets moet gaan doen. “Het gaat niet alleen om cyber security in eigen huis. En je kunt je aansprakelijkheid niet langer afschuiven op je leveranciers.”

Handenwrijvend

Steltman geeft aan dat juristen al handenwrijvend naar die nieuwe wetgeving kijken. “De reflex van organisaties bij een nieuwe wet is om aan juristen te vragen wat te doen. Maar hun focus is niet cyber security. Ze gaan kijken naar

het aansprakelijkheids- en boete risicoen hoe de organisatie die het makkelijkst kan voorkomen. Dat zagen we bij de AVG. Daar werd allereerst een heel juridisch circus opgetuigd met verklaringen op de websites, en contracten voor leveranciers en klanten.”

Wat Steltman in ieder geval wil meegeven, is dat zo’n puur juridische aanpak niet langer gaat werken. “Toezichthouders en je ketenpartners willen straks bewijs zien dat de zaak ook inhoudelijk op orde is”, vertelt Steltman. “Ook is er de nieuwe versie van de corporate governance code, beter bekend als de code Tabaksblatt. Daarin worden IT en cyber security nu concreet genoemd. En dat betekent dat ook comissarissen moeten gaan zorgen dat de organisatie waar ze op toezien op dat gebied in control is. “En verder is er ook een link met de jaarrekening. Je kunt niet met goed fatsoen beweren dat de zaak financieel op orde is als je zo weinig aan security doet dat je slachtoffer wordt van een ransomware die je zomaar miljoenen kan kosten. Dat had dan blijkbaar op de balans moeten staan als reservering. De accountant gaat dus ook steeds vaker naar cyber security vragen.”

Lichtpuntjes

Het verhaal dat Steltman afsteekt, doet de indruk wekken dat er toch nog veel onduidelijkheid is. “Doorgaans is de overheid niet zo duidelijk over de concrete invulling van wetten. Daar is het al snel ‘dat hangt ervan af’, en als het misgaat komt het oordeel achteraf met forse boetes.”

Het goede nieuws is: er tekenen zich duidelijke ontwikkelingen af. Zoals de

PROACTIEF HANDELEN IN EEN

DIGITALE WERELD

Campagne Manager

Managing Director

Jonathan Andersson

Graphic Design Mo Aslan, Kiloe van Benthem

Tekst Hugo Schrameyer, Leendert van der Ent, Karina Meerman, Diederik de Groot

Coverfoto AdobeStock

Gedistribueerd met Het Financieele Dagblad 2023

Drukkerij RODI Rotatiedruk

Over Contentway Wij maken online en print campagnes met waardevolle, interessante content die gedistribueerd worden naar relevante doelgroepen om de business van onze klanten te laten groeien.

Onze branded content en native advertising oplossingen zetten jouw verhaal op de eerste plaats.

Partner content in deze campagne is tot stand gekomen in samenwerking met onze klanten. Dit zijn commerciële uitingen.

Dit is een commerciële uitgave. De FD-redactie heeft geen betrokkenheid bij deze productie.

koers van de Rijksinspectie Digitale Infrastructuur, de toezichthouder voor de nieuwe NIS2, die inzet op jaarlijkse audits en verklaringen vooraf, op te stellen door geaccrediteerde Auditors. Ook heeft Norea, de beroepsorganisatie van IT auditors, recent een IT in-control Auditverklaring ontwikkeld. Die is bedoeld om klanten, comissarissen en aandeelhouders, maar ook toezichthouders, te laten zien dat professionele auditors hebben geconstateerd dat het management in elk geval de zaken zo heeft ingericht dat er voldoende aandacht aan security en IT risico’s wordt besteed.

“Die vraag zou daarom ook centraal moeten staan: welke set van concrete security maatregelen bieden mij en mijn stakeholders integraal afdoende zekerheid. Dat lijkt me zinvoller dan als een kip zonder kop achter vijf verschillende wetten aan te lopen met als doel vijf keer proberen alleen het juridische risico te verkleinen.”

Uitgegeven door Contentway B.V. Keizersgracht 424

NL-1016 GC Amsterdam

Telefoon

+31 20 808 82 00

Website contentway.nl

Email info@contentway.nl

redactie@contentway.nl

Lees meer op contentway.nl

Volg ons op social media op /contentwaynl

Niet naleven cybersecurityrichtlijn NIS2 kan zelfs bedrijfsbestuur aansprakelijk stellen

De nieuwe cybersecurityrichtlijn NIS2, de herziene Netwerk- en Informatiebeveiligingsrichtlijn, heeft als doel om de Cyberveiligheid en weerbaarheid van Europese netwerken en systemen te verhogen . Op zich is daar niks mis mee, maar Frank van Olphen, directeur van de onafhankelijke gespecialiseerde entiteit CS2, onderdeel van Croonwolter&dros, benadrukt daarbij dat de impact van de regelgeving niet onderschat moet worden.

dit voor invloed op mijn organisatie, wat moet ik doen en welke maatregelen moet ik nemen? Van essentieel belang hierbij is dat een organisatie goed inzicht heeft in het risicoprofiel van de organisatie: waar liggen de kwetsbaarheden en wat moet ik doen om deze te beschermen?”

Drie aspecten

Eerst even de richtlijn zelf. Deze is reeds vastgesteld in 2022, waarna de implementatietermijn van 21 maanden is gestart. De planning is dat de Nederlandse wetgeving eind 2024 wordt geïmplementeerd, waarna er een 10 maandsperiode is voor de bedrijven/organisaties om aan deze wetgeving te voldoen. Het doel hiervan is een uniform en hoog beveiligingsniveau van netwerken en systemen in de hele Europese Unie te borgen. Een belangrijke verandering ten opzichte van de oorspronkelijke richtlijn is dat bedrijven sneller cyberincidenten moeten melden. Het niet naleven van de cybersecurityrichtlijn NIS2 kan zelfs leiden tot het bedrijfsbestuur aansprakelijk stellen.

De NIS2 zich in twee typen sectoren, namelijk essentiële en belangrijke entiteiten. Essentiële entiteiten bevinden zich in sectoren zoals energie, banken, financiële markten, zorg, digitale infrastructuur, en overheidsdiensten. Belangrijke entiteiten bevinden zich in sectoren als post- en koeriersdiensten, voedselproductie, levensmiddelen, chemie en onderzoek. Deze classificatie is bepalend voor invloed op de verantwoordelijkheid van organisaties.

Frank van Olphen: “We krijgen in de komende jaren te maken met een overvloed aan nieuwe cybersecurity-regelgeving. Die dienen allemaal specifieke doelen, terwijl de NIS2 van al die maatregelen de grootste algemene invloed heeft. Er wordt breed beseft dat deze richtlijn op ons afkomt, en onze klanten vragen zich wel af: wat heeft

Croonwolter&dros

Klanten die door CS2 worden begeleidt bij hun NIS2-aanpak krijgen op drie aspecten ondersteuning te weten; mens, organisatie en techniek. Strategie en beleid is daar een onderdeel van. Er is een team beschikbaar dat zich bezighoudt met strategie, beleid en procedures in relatie tot de NIS2-richtlijn. Er wordt gewerkt vanuit een risicogestuurde aanpak waarbij de risico-inventarisatie de basis vormt voor de prioritering van de te nemen maatregelen. “Wij maken een risk assessment op basis waarvan een risicoprofiel ontstaat. En dat bepaalt wat er moet gebeuren aan te nemen maatregelen, zodat de klant voldoet aan de voorgeschreven digitale weerbaarheid.”

Wat daaruit volgt, is dat CS2 de opdrachtgever meeneemt in de bewustwording en training over de te nemen stappen. Het derde aspect heeft betrekking op de te nemen technische maatregelen om er daadwerkelijk voor te zorgen dat invulling aan de richtlijn wordt gegeven. “Dus dan vertaal je eigenlijk praktisch je strategie en beleid naar toepassingen binnen de verschillende systemen in je bedrijf.”

OT versus IT

Veel bedrijven/organisaties, signaleert Van Olphen, menen dat ze met een paar technische aanpassingen in het systeem voldoende gedekt zijn. Dat is echter zeker niet het geval, waarschuwt hij, want de NIS2-verordening heeft vooral van doen met procedurele en strategische beslissingen. Die zijn voor misschien wel zeventig procent bepalend om aan te haken bij de cybersecurityrichtlijn. “We zitten bij veel bedrijven nog in de bewustwordingsfase om hen te demonstreren dat het niet alleen gaat om een technische aanpassing, maar op de eerste plaats om een strategische beslissing.”

Daar komt nog bij dat veel bedrijven de overtuiging hebben dat hun netwerk goed is beveiligd. Van Olphen roept bedrijven op die conclusie niet al te snel te trekken. “Onze focus ligt voornamelijk aan de kant van de operationele techniek (OT) niet aan de IT-kant. Met onze risk assessmentanalyse kijken we welke maatregelen er inmiddels zijn getroffen aan zowel de ITals OT-kant, op zowel strategisch, tactisch en dus operationeel vlak. Wij kijken waar we een harde scheiding moeten maken tussen operationele techniek en het informatienetwerk, maar we kijken ook waar we die samen kunnen laten lopen. Ons motto in deze ‘Samen waar het kan – gescheiden waar het moet’.”

Operationele techniek

Tot slot: wat CS2 onderscheidend maakt ten opzichte van andere cybersecurity-aanbieders, is dat CS2 de focus heeft op uw operationele techniek (OT) zonder de IT technische kant uit het oog te verliezen. Daar waar veel bedrijven zich focussen op een deel van het cybersecurity domein is CS2 de verbindende factor tussen mens, techniek en organisatie.

Daarmee is het bedrijf vooral gericht op

Technologie maakt de wereld om ons heen steeds intelligenter. CS2 is een zelfstandig, specialistisch en onafhankelijke entiteit binnen Croonwolter&dros. Croonwolter&dros is één van de leidende bedrijven in deze ontwikkeling. Al meer dan 145 jaar staat het bedrijf aan de wieg van de talloze innovaties die een grote impact hebben op werken, wonen, produceren en recreëren. Bovendien maakt Croonwolter&dros onderdeel uit van TBI, één van de grootste techniek-, bouw- en infraconcerns van ons land. In totaal telt deze landelijke organisatie 6.300 medewerkers. Bij TBI wordt er gewerkt, vanuit een 20tal zelfstandige ondernemingen aan grote, integrale projecten, waarbij duurzaamheid tegenwoordig als één van de belangrijkste speerpunten is. www.croonwolterendros.nl

de continuïteit van de bedrijfsvoering en de beschikbaarheid van systemen.

“Wij maken de verbinding tussen techniek en organisatie, hebben veel ervaring met het implementeren, configureren en onderhouden van systemen.”

Feiten

Eén op de vijf bedrijven is tegenwoordig slachtoffer van cybercriminaliteit. Dat kan allerlei vormen aannemen, van digitale inbraken tot datalekken of DDoS-aanvallen. In totaal gaat het om een schadebedrag van circa 10 miljard euro op jaarbasis. Het opvallende feit doet zich voor dat één op de achtduizend bedrijven door brand gedupeerd raken, terwijl daar de meest stringente eisen voor gelden. “Als je niet beseft welk cybersecurity-risico je loopt, dan is dat je hoofd in het zand steken.”

(Bron: Cyberveilig Nederland)

Proactief digitaal handelen: Verantwoord navigeren in de digitale wereld

UITDAGINGEN

In een tijdperk waarin de digitale wereld een steeds belangrijkere rol in ons leven speelt, kan het belang van proactief handelen niet genoeg worden benadrukt. Proactief “digital citizenship” is een concept dat individuen en organisaties aanspoort om actieve stappen te zetten in het vormgeven van een verantwoordelijke, veilige en inclusieve digitale omgeving.

Één van de grootste zorgen van de mens is veiligheid, dat geldt uiteraard ook -en hoe langer hoe meer- voor de digitale wereld en de online zakelijke veiligheid. Organisaties nemen steeds meer proactieve stappen om dit probleem aan te pakken.

Maar niet alleen in het zakelijke domein speelt proactief digitaal handelen een belangrijke rol. Ook thuis moet nog meer gewerkt worden aan proactief digitaal handelen, met name nu hybride werken steeds meer gangbaar is.

Wie kent de oude KPN reclame niet, van de peuter die in een onbewaakt moment per abuis even naar Azië belt en de hoorn ernaast legt – toen was het alleen een dure grap, tegenwoordig is het ook een veiligheidsrisico voor de werknemer thuis, maar ook voor het bedrijf waarvoor hij werkt. Met een verkeerde druk op

de knop zijn niet alleen alle zakelijke en privégegevens bekend, maar wordt ook de hele digitale omgeving gehackt met alle gevolgen van dien.

Omdat het digitale landschap voortdurend verandert, is digitale geletterdheid cruciaal om er verantwoord mee om te gaan. Proactieve spelers creëren educatieve inhoud, online cursussen en workshops om digitale geletterdheid te verbeteren. Hieronder valt ook het leren onderscheiden van nepnieuws van betrouwbare bronnen door werknemers, het begrijpen van privacy-instellingen op sociale mediaplatforms en het herkennen van phishing-pogingen.

De overheid draagt bij door het voeren van campagnes, en ook bedrijven dragen hun steentje bij, maar dat is vaak pas als een inbreuk zo groot is dat iedereen er al van op de hoogte is.

Met de toenemende geavanceerdheid van cyberbedreigingen, is cyberbeveiliging en voorlichting daarover steeds meer van belang.

Artficial Intelligence (AI) en de toepassingen daarvan maken de digitale ontwikkelingen nog veel sneller, waardoor proactief handelen nog moeilijker, maar ook nog veel belangijker wordt.

Kortom, terwijl we blijven navigeren door de complexiteit van het digitale tijdperk, blijft proactief digitaal handelen, goede beveiliging, gezond boerenverstand - en ouderwets tot 10 tellen en checken bij collega’s voordat u ergens op drukt –van groot belang voor het veilig gebruik kunnen maken van de fascinerende digitale mogelijkheden die er zijn.

dienen

Het is een boodschap met helaas een waarschuwend woord: cyberincidenten komen steeds vaker voor, zijn omvangrijker en beschadigen niet alleen de gedupeerde organisatie, maar richten ook schade aan dieper in de value chain. Deze constatering betekent dat organisaties zich serieus moeten afvragen of ze voldoende zijn beschermd tegen data-aanvallen en snel genoeg de eigen cybersecurity blijven verbeteren.

Dat signaal komt van Peter Kornelisse, Partner Technology Risk van het audit- en adviesbureau EY in Nederland. Hij roept in herinnering dat het weinig moeite vergt om een prangend voorbeeld te geven van een cyber-attack, zoals de ransomwareaanval op transportbedrijf Bakker Logistiek twee jaar terug. 250 vrachtwagens konden toen geen kant meer op. “Je ziet dat organisaties worstelen met cybersecurity, terwijl het juist nu nodig is om te focussen

op continue cyber-verbeteringen omdat cyberdreigingen toenemen, maar los daarvan: cybersecurity heeft ook invloed op de snelheid van de eigen businessstrategie. Als het management een nieuwe koers wil voeren, is het jammer als IT en in het bijzonder cybersecurity daarvoor onvoldoende klaar zijn.”

Kornelisse maakt daarbij een onderscheid tussen operationele en strategische risico’s. Operationele cyberrisico’s zijn goed af te dekken met compliance en control: Het veilig inrichten van de eigen IT-infrastructuur, het controleren op zwakheden en het zorgen voor tijdige patching zijn alle een kwestie van dagelijkse aandacht.

Bij strategische risico’s komen ook bijvoorbeeld het adopteren van nieuwe technologieën en het ontwikkelen van nieuwe IT-gebaseerde producten aan de orde, en de snelheid waarmee deze ontwikkelingen gepaard gaan. Compliance

beschermen

en control zijn dan niet altijd het antwoord op deze risico’s.

“Wat je nu in het kader van nieuwe cybersecurity-regelgeving ziet, is dat organisaties worden gestimuleerd om cyber-risico’s beter af te wegen. De nieuwe regelgeving, waaronder NIS2 en DORA, heeft bovendien tot doel om meer verantwoordelijkheid bij het management neer te leggen. Ook dat moet een stimulerend effect hebben op proactief cyber-risicomanagement”, aldus Kornelisse, die niet de illusie heeft dat cybersecurity tot achter de komma gewaarborgd kan worden.

“Het kan wel een keer mis gaan. De crux is dan wel dat de organisatie zich daarop heeft voorbereid en weet hoe dan te handelen. Probleem van nu is, dat wanneer zich vandaag een ransomware-aanval plaatsvindt, veel organisaties niet weten of zij dat morgen kunnen herstellen.”

Besef, wil Kornelisse al met al zeggen, dat wat wij vijf jaar geleden goed genoeg vonden, nu echt niet meer genoeg is.

EY zet zich in voor een beter werkende wereld: Building a better working world. Hoogwaardige audit- en adviesdienstverlening helpen vertrouwen op te bouwen in de wereldwijde kapitaalmarkten en economieën. EY ontwikkelt uitstekende leiders, die een cruciale rol spelen bij het bouwen aan een beter werkende wereld voor eigen medewerkers, klanten en de samenleving. Betreffende cybersecurity levert EY naast audit- en adviesdienstverlening ook certiferingsdiensten.

Het continu monitoren of een hack nu plaatsvindt, het regelmatig uitvoeren van penetratietesten en het zorgen voor backups die bij een ransomware-aanval niet kunnen worden gewijzigd vragen in het bijzonder de aandacht.

Continue cybersecurity-verbeteringen

snel genoeg te gaan om blijvend de business-strategie te ondersteunen en waarden te

De organisatie van de toekomst is een weerbare organisatie

Technologische ontwikkelingen volgen elkaar snel op en vereisen een andere benadering van het omgaan met informatie. Door kritisch naar het gebruik van informatie te kijken, kunnen organisaties een stevig fundament (weerbaarheid) bouwen om op voor hen gepaste wijze snel op oude en nieuwe bedreigingen te anticiperen en reageren.

Weerbaarheid is deels te bereiken met technologie, maar vereist ook een integrale, organisatiebrede aanpak om snel en adequaat te reageren op onvoorziene omstandigheden. Tim Florack is medeoprichter en CEO van Cuccibu. Hij zegt: “Rondom een incident moeten bedrijven in staat blijven om hun belangrijkste processen te blijven uitvoeren. Wij helpen hen door inzichtelijk te maken welke stappen gezet kunnen worden naar een weerbare organisatie, afgestemd op hun specifieke doelstellingen en daarbij passende maatregelen.” Kenmerken als snelheid, flexibiliteit, cultuur en bewustwording liggen aan de basis voor een weerbare organisatie.

Rondom een incident moeten bedrijven in staat blijven om hun belangrijkste processen te blijven uitvoeren

Snelheid en verbondenheid

De digitale ontwikkelingen volgen elkaar dusdanig snel op, dat het voor organisaties niet meer mogelijk is om alle risico’s te overzien. In het aanpakken van die risico’s zit daarom wel een uitdaging, beseft Florack. Neem ChatGPT dat snel door de massa werd omarmd en ingezet voor allerlei doeleinden. Dit heeft allerlei “nieuwe” risico’s tot gevolg waar organisaties slechts beperkt op voorbereid

www.cuccibu.com

zijn. Denk bijvoorbeeld aan “belletjes van de CEO” die door AI gegenereerd zijn en overtuigen tot het overmaken van grote sommen geld.

Bovendien is alles en iedereen steeds meer “smart en verbonden.” Het oppervlak waar risico’s voor informatie zich afspelen, wordt daarmee groter en groter. Waar een meer traditionele vorm van risicobeheersing zich vooral richt op het voorkomen van bedreigingen wordt het vermogen om snel en flexibel te reageren meer en meer cruciaal.

Cultuur en bewustwording

De snelheid en flexibiliteit waarmee een organisatie om kan gaan met onzekerheden vereist een cultuur waarin medewerkers op alle niveaus snel het belang van de organisatie kunnen afwegen tegen ontstane risico’s. Zo kunnen ze dan zelf snel en direct in actie komen zonder noodzakelijke tussenkomst van allerlei managementlagen. Daarvoor is het dus van groot belang dat medewerkers betrokken zijn bij wat écht belangrijk is voor de organisatie en welke rol zij daarin spelen. Het gaat dus niet alleen om het uitvoeren van maatregelen, maar ook om het begrip waarom een maatregel nodig is. Je wil dat een medewerker ook het juiste doet als er een bedreiging ontstaat waarvoor de maatregel nog niet is bedacht.

“Een traditionele manier van risicomanagement is om software te verbieden, bepaalde applicaties af te sluiten, USB-poorten dicht te lijmen. Dat werkt niet”, aldus Florack. “Mensen vinden een manier eromheen. Leg uit waarom de maatregelen er zijn en waarom ze belangrijk zijn voor jouw organisatie en de medewerker. Zo creëer je begrip en, belangrijker nog, betrokkenheid.”

Positiviteit

Hij voegt toe: “In ons vakgebied wordt vaak gesproken vanuit een negatieve mindset: datalekken, hacks, boetes en risico’s. Bij Cuccibu geloven we niet in werken vanuit angst en verlies. We maken duidelijk wat de winst is van de te nemen maatregelen, namelijk het sneller en/of effectiever behalen van de organisatiedoelen. Op deze manier creëren wij toegevoegde waarde voor de organisatie én haar medewerkers.”

Weerbaarheid en compliance

Weerbaarheid kan worden verward met het voldoen aan wet- en regelgeving. Die is er genoeg. Denk aan nieuwe wet- en regelgeving zoals NIS2, Cyber Resilience Act, Artificial Intelligence Act en de beweging naar ethisch en verantwoord ondernemen. Al deze regulering zal zorgen voor een sterkere basis voor organisaties als het aankomt op de verantwoorde omgang met gegevens en nieuwe technologie. Toch is enkel het voldoen aan de regels niet voldoende om voorbereid te zijn op alle mogelijke risico’s, nu of in de toekomst. Ook geldt voor het inrichten van de nieuwe wet- en regelgeving dat deze toegepast moet worden op de organisatie. We hebben dit eerder gezien enkele jaren geleden met de intrede van de Algemene Verordening Gegevensbescherming (AVG). Een 10-stappenplan om te voldoen aan die wet heeft er niet voor gezorgd dat een organisatie daarna in alle lagen bewust was van wat wenselijk en correct is in de omgang met persoonsgegevens. “Compliance is niet hetzelfde als verantwoord met gegevens omgaan. Weerbaarheid versterken gaat verder dan lijsten afvinken en protocollen volgen. Onze specialisten begrijpen dat verschil.”

Over Cuccibu

Cuccibu is een Nederlandse adviesorganisatie, opgericht in 2014. Het is een groeiend bedrijf met meer dan 100 medewerkers en vestigingen in Eindhoven en Rijswijk. Cuccibu ondersteunt haar klanten bij verantwoord omgaan met gegevens, nieuwe technologie en processen. Dit door pragmatische dienstverlening op het vlak van Privacy, Informatiebeveiliging, Cyber Security en QHSE. De professionals van Cuccibu werken vanuit de diepgewortelde overtuiging dat hun expertise waarde toevoegt aan processen en organisaties, met het doel maximale meerwaarde te creëren voor de organisatie met veilige en verantwoorde digitalisering.

Ook bestuurder zelf is aansprakelijk voor niet

naleven van cybersecurity-wetgeving

PROFIEL INTERVIEW

De nieuwe cybersecurity-wetgeving die momenteel vorm krijgt, geeft een duidelijk signaal dat organisaties meer verantwoordelijkheid moeten nemen om hun digitale weerbaarheid te vergroten. Voor wie dat niet doet, zal de aansprakelijkheid gevoeld worden tot in de bestuurskamer.

Veel van deze nieuwe wetgevingen en regels zijn nog niet in volle omvang geldend, maar duidelijk is wel dat Europese cybersecurityvoorschriften als de tweede richtlijn voor Netwerk- en Informatiebeveiliging (NIS2) en Cyber Resilience Act (CRA) verstrekkende gevolgen gaan krijgen. Hans de Vries, directeur van het Nationaal Cybersecurity Centrum (NCSC), zegt in reactie daarop dat bedrijven steeds verder met elkaar digitaal verknoopt raken. “We komen uit een historie waarin we ons behoorlijk naïef gedroegen. Nu zijn we waakzamer en proactiever om digitale veiligheid op orde te krijgen.”

Min of meer dezelfde woorden echoën na in de reactie van Jos De Groot, directeur Digitale Economie bij het ministerie van Economische Zaken en Klimaat. “Bedrijven krijgen nu echt de verplichting om afdoende cybersecurity-maatregelen te nemen. Wat nieuw is in de regelgeving, is dat bestuurders die voorschriften niet naleven hoofdelijk aansprakelijk kunnen worden gesteld. En dat heeft alles te maken met de toch wel lankmoedige houding van veel bestuurders die verantwoordelijkheid uitbesteden aan de IT-afdeling.”

Dat beide heren aan het woord komen, is niet voor niets: Het Nationaal Cybersecurity Centrum (NCSC), het Digital Trust Center (DTC) en het Cyber Security Incident Response Team voor digitale dienstverleners (CSIRT-DSP) gaan samen in één centraal expertisecentrum en informatieknooppunt. Deze cybersecurity-organisaties vallen onder het ministerie van Justitie en Veiligheid en het ministerie van EZK. De Groot en De Vries hebben in die hoedanigheid rechtstreeks met elkaar van doen.

De Groot: “Wat we afgelopen jaren hebben geconstateerd, is dat de groeiende aandacht voor cybersecurity heeft geleid tot verschillende organisaties met ieder zijn eigen aandachtsgebied. Mede door de nieuwe regelgeving en de druk op organisaties om hun digitale veiligheid op orde te krijgen, hebben we geconstateerd dat het effectiever en efficiënter is om de betreffende organisaties bij elkaar te voegen. Met het samengaan van NCSC, DTC en CSIRTDSP ontstaat er een samenwerkingsblok dat heel Nederland kan bedienen.”

Beide heren zijn ook samen met Gemeente Den Haag betrokken bij de organisatie van de cybersecurity-conferentie ONE Conference, waar samenwerkingen zoals deze ook centraal staan met een expo die het thema ‘Let’s collaborate’ heeft. Een unieke mondiale gebeurtenis, benadrukken De Groot en De Vries, niet in de laatste plaats omdat het op deze conferentie ontbreekt aan een commerciële doelstelling, maar dat het echt gaat om de inhoud. “Er bestaat een optimale balans tussen bestuurders uit de cybersecuritywereld en mensen met technische kennis.”

De conferentie speelt zich af op 3 en 4 oktober in Den Haag, de Internationale stad van Vrede en Recht waar ook een van de grotere cybersecurityclusters van Europa gevestigd is.

Op de dag voor de ONE Conference is de jaarlijks terugkerende wedstrijd Hâck The Hague, waarbij eerlijke hackers de computersystemen van de gemeente proberen binnen te dringen. Zo controleren zij hoe digitaal veilig Den Haag zelf is. De Groot tot slot: “Het is prachtig om te zien dat Den Haag zich zo kwetsbaar durft op te stellen en hackers uitnodigt om te vragen of ze kwetsbaarheden in het cybersecuritysysteem kunnen vinden. Uiteindelijk is het daarmee de bedoeling om de gemeente Den Haag weer een stuk veiliger te krijgen.”

Drie vragen aan: Peter Kornelisse, Partner Technology Risk bij EY in Nederland

Het bedrijfsleven krijgt van doen met verschillende nieuwe cybersecurityvoorschriften. Is dat eigenlijk een stimulans voor een proactieve cybersecurity-houding?

“Twee elementen zijn van belang bij cybersecurity. Eén: het huis op orde houden, dus ervoor zorgen dat je de basisregels voor cybersecurity continu in acht neemt, zoals het controleren op beveiligingszwakheden en het tijdig opvolgen van geconstateerde zwakheden. En twee: op basis van de zich continue ontwikkelende cyberdreigingen daarop inspelen. Omdat tegelijk met het huis op orde krijgen nieuwe dreigingen opkomen, vinden organisaties het moeilijk het achterstallig onderhoud te voltooien. Dus ja, die nieuwe regels komen er ook omdat wanneer je het aan de praktijk over laat, organisaties het moeilijk vinden snel genoeg te gaan met het continu verbeteren van cybersecurity.”

Is de cybersecurity-conferentie ONE Conference, die zich op 3 en 4 oktober afspeelt in Den Haag, een nuttige tool om je te laten informeren over de actualiteit?

“De combinatie die je daar aantreft – de combinatie van bestuurders en mensen met technische kennis – is heel belangrijk. Er bestaat eigenlijk een te groot gat tussen waar je als bestuurder over beslist en wat er zich in de basis afspeelt op het gebied van cybersecurity.

Bestuurders vinden het moeilijk om specifieke verantwoordingsinformatie over cybersecurity te vragen, en beveiligingsmanagers weten vaak niet goed welke informatie aan te bieden. En dit terwijl we nu naar een tijdgeest gaan waarin bestuurders ook op basis van wetgeving zoals NIS2 steeds meer aansprakelijk zijn voor cybersecurity.”

Op de ONE-conferentie staan het delen van kennis, best practices en onderzoeksresultaten centraal. De happening op 3 en 4 oktober bestaat uit een plenair programma, optionele breakout-sessies, een expo en talent hub. Er komen tal van onderwerpen aan bod: van zeer technische onderwerpen zoals malwaredetectie, incidentrespons en wetshandhavingszaken tot minder technische onderwerpen, zoals governance en cybersecurityonderzoek.

Geloof jij in een wedstrijd als Hâck The Hague, waarbij eerlijke hackers de computersystemen van de gemeente proberen binnen te dringen?

“Zeker, absoluut nuttig. De boodschap van zogenaamde responsible disclosure zie je ook terugkeren op websites van organisaties: als je bij mij een technische zwakte constateert, informeer mij dan. Het jaarlijkse event zoals Den Haag dat organiseert, is ook goed voor het bewustzijn in de samenleving dat cybercriminaliteit een gevaar vormt. Let wel, dergelijke vormen van hacking zijn beperkt van karakter en vervangen niet uitgebreide interne hack-testen.”

NIS2 maakt bestuurders bewust van de noodzaak van cyberweerbaarheid

De nieuwe NIS2-richtlijn heeft strengere veiligheidsmaatregelen voor bedrijven en hun toeleveranciers in essentiële sectoren. Ook maakt ze bestuurders verantwoordelijk voor de ‘cyberhygiëne’ van hun organisatie. Daarmee dringt de noodzaak van goede verdediging en weerbaarheid eindelijk door tot aan de boardroom.

Het gijzelen van systemen voor losgeld is een lucratieve business, en iedere organisatie is een potentiële ‘klant’. Voor bedrijven die wél binnen de wet opereren, zou weerbaarheid tegen digitale dreiging topprioriteit moeten zijn. Dat is nog niet zo. De nieuwe Europese Network en Information Security-richtlijn (NIS2) gaat dat veranderen. Bestuurders worden dan verantwoordelijk voor de genomen maatregelen in hun organisatie. Denk aan AVG, maar dan voor cyberincidenten. “Door die hoofdelijke aansprakelijkheid toe te voegen in de richtlijn wordt misschien ook de naïviteit van sommige organisaties op bestuursniveau weggenomen”, zegt Paul Vos, Director Cloud Transformation van HSO.

Digitale BHV

De NIS2 wordt in oktober 2024 van kracht in de Nederlandse Wet beveiliging netwerken informatiesystemen (Wbni). Bedrijven en hun toeleveranciers in essentiële en belangrijke sectoren moeten dan aan strengere regels voldoen, wat betreft hun cyberweerbaarheid. Een jaar lijkt ver weg, maar Security Consultant Nick Nieuwenhuis

adviseert nu al te beginnen met de voorbereiding. “NIS2 geeft maatregelen voor een soort digitale bedrijfshulpverlening (BHV). Doe een keer een ‘brandoefening’ op de security- en recovery-processen. Kijk waar de gaten vallen.”

Hacks in het hart

Door de toenemende digitalisering is het geen kwestie óf een organisatie wordt aangevallen, maar wannéér. Nieuwenhuis kan het belang van ‘Disaster Recovery’ na een calamiteit niet genoeg benadrukken. “Dat incident gaat er komen. Belangrijk is dan adequaat te kunnen reageren. Dat vraagt om technische maatregelen en om het trainen van mensen.” Ze willen geen doem-

denkers zijn, maar enige waarschuwing is wel op zijn plaats, vindt Vos. “De risico’s worden vaak onderschat. Hacks raken altijd het hart van de bedrijfsprocessen. Wat als je niet meer kan leveren, nieuwe bestellingen kan aannemen of je mensen kan uitbetalen? De economische gevolgen zijn niet te overzien. En wat te denken van imagoschade? Stel dat jij toeleverancier bent van defensie of je zit in de zorg- of energieketen. Jij wil niet degene zijn, die de problemen veroorzaakt.” Om dit te voorkomen, is het belangrijk te weten waar je staat op het gebied van cybersecurity én te achterhalen welke stappen je moet ondernemen om op het gewenste niveau te komen.

Verkrijgen commissarissen transparant inzicht in de digitale fitheid van de onderneming?

Digitale technologie is de backbone van vrijwel alles wat we doen. Onze afhankelijkheid van technologie en van veilige en betrouwbare software wordt steeds groter. Privacy en security zijn voorwaarden voor het online vertrouwen, economische groei en maatschappelijk welzijn. Veel organisaties kunnen geen dag meer zonder IT zonder in continuïteitsgevaar te komen. Risico’s zijn sterk veranderd en de gevolgen als het toch misgaat steeds complexer.

Vaak is IT-beheersing een sluitpost. Is dat zorgelijk? Ja. Is dat begrijpelijk? Eveneens ja”, zegt Irene Vettewinkel-Raymakers, voorzitter van NOREA, de beroepsorganisatie van alle geregistreerde IT-auditors in Nederland. “Want IT-beheersing is een complex en veelkoppig monster. Naar de cloud gaan klinkt heel aantrekkelijk, alleen moeten ondernemingen zich realiseren dat je bij uitbesteding je risico’s moet kennen en moet beheersen, want uiteindelijk blijf je zelf eindverantwoordelijk. Zo vraagt dit steeds meer om een geïntegreerde aanpak, omdat veel ketenpartijen moeten samenwerken.”

Marc Welters, vice-voorzitter van NOREA, legt uit dat met de publiek-private

samenwerking in de Online Trust Coalitie, bijgedragen wordt aan het vergroten van de bewustwording van de uitdagingen waar afnemers en aanbieders van clouddiensten voor staan. “Omdat IT zo’n onmisbare rol speelt in onze samenleving, maakt NOREA zich hard voor het verbeteren van de digitale weerbaarheid van ons als maatschappij”.

Vettewinkel vervolgt dat “meer aandacht voor beheersing van ITrisico’s en verankering van IT-kennis aan de bestuurstafel hard nodig is.” De recente herziening van de Corporate Governance Code bevestigt dit. “Het begrip langetermijnwaardecreatie speelt daarin een grote rol, en is onlosmakelijk verbonden met (beheersing van) IT.”

Volgens Welters “zien veel directies door de bomen van toenemende Europese wet- en regelgeving, zoals EU Network and Information Security Directive (NIS2), Digital Service Act en Digital Operation Resilience Act (DORA), het bos niet meer. Deze voorbeelden laten zien dat er steeds meer verantwoording moet worden afgelegd over de maatregelen die getroffen zijn in het kader van de beheersing van IT en de kwaliteit van data.” Alleen hoe doe je dat?

Vettewinkel pleit voor vergroting van de transparantie richting stakeholders wat betreft de algehele digitale fitheid van de organisatie. “Dus niet alleen op het gebied van digitale (cyber) weerbaarheid maar ook over bijvoorbeeld innovatiekracht en

Over HSO HSO is in 1987 opgericht in Nederland en uitgegroeid tot één van de leading Microsoftpartners wereldwijd, met 2.200+ medewerkers in Europa, NoordAmerika en Azië. HSO ondersteunt lokale en internationale bedrijven bij hun digitale transformatie, door de kracht in te zetten van het volledige Microsoft-platform. HSO helpt bedrijven bij het moderniseren van hun bedrijfsvoering, het invoeren van intelligente automatisering, het leveren van real-time inzichten en het verbinden van de onderneming met de buitenwereld.

Scan voor meer informatie over de nieuwe NIS2 richtlijn.

de invulling van de ethische kant van haar informatietechnologie. IT-fitheid wordt beter als de samenhang van de delen in acht wordt genomen en men niet focust op één onderdeel.”

Voor organisaties is het geven van transparantie over IT een uitdaging. Zeker als er delen van de bedrijfsprocessen zich buiten het gezichtsveld van de eigen organisatie afspelen. Voor aanbieders van clouddiensten is het aantonen dat hun diensten betrouwbaar en veilig zijn noodzakelijk, immers afnemers moeten aantoonbaar ‘in control’ zijn. Welters benadrukt dat commissarissen meer vragen moeten stellen over deze digitale fitheid, zodat de juiste risicodialoog gevoerd wordt aan de bestuurstafels.

De cloud maakt organisaties innovatiever, veiliger en duurzamer

ACTUEEL

De cloud bestaat inmiddels bijna twintig jaar. Het is waar alles rond digitalisering begint. De basis in Nederland is afgelopen jaren gelegd. De volgende stap is bouwen op deze basis met innovatie. Die innovatie kan bijdragen aan het vinden van oplossingen voor de grootste maatschappelijke uitdagingen in Nederland. Samenwerken is de sleutel tot succes.

Nederland is een innovatief en digitaal vergaand ontwikkeld land. Er ligt echter nog veel ruimte om veilig verder te ontwikkelen en te innoveren. In Nederland hebben we last van de wet van de remmende voorsprong, we zoeken naar balans tussen regelgeving en innovatie. Technologieën als Generatieve AI kunnen ons helpen oplossingen te vinden voor het onderwijs, de zorg en de groeiende ongelijkheid, om zo een welvarend land te blijven.

De overstap naar de cloud geeft organisaties inzicht in zijn data – een enorme meerwaarde. Nog belangrijker zijn de innovatiemogelijkheden van de cloud. Een uiterst actueel voorbeeld vormen generatieve AI en grote taalmodellen (LLM). Iedereen kan met deze modellen werken, het helpt bijvoorbeeld bij repeterende taken of vat samen. Niet voor niets noemt Microsoft haar AI-toepassingen Copilot, zodat de gebruiker op een

verantwoorde manier met behulp van AI creatiever kan zijn en oplossingen kan vinden voor maatschappelijke uitdagingen.

Zo kan een gemeente AI inzetten om bewoners gemakkelijk toegang te geven tot informatie voor het aanvragen van subsidies. In plaats van eindeloze

voorbeeld is dat overheden AI gebruiken om de communicatie richting burgers begrijpelijker te maken. Als de overstap naar de cloud eenmaal is gemaakt, kan het innoveren beginnen en zijn de mogelijkheden eindeloos.

webpagina’s en teksten bij elkaar te zoeken en te lezen, kan iemand eenvoudig vragen hoe een aanvraag voor een toeslag kan worden gedaan. Een ander

Bedenk eens hoe dit ons kan helpen bij het opleiden van de personeelstekorten bijvoorbeeld, in het onderwijs of in de zorg. De impact die we kunnen maken is oneindig, maar dat vraagt wel om meer samenwerken. Microsoft zet zich hard in om AI op een zo’n verantwoorde manier te implementeren, maar we kunnen dat niet alleen. Samen moeten we allemaal onze rol pakken om te zorgen dat we de mogelijkheden op een verantwoorde manier beschikbaar maken in Nederland. Alleen dan kunnen we optimaal profiteren van digitalisering en als Nederland de voortrekkersrol pakken, die we als innovatief land altijd hebben gehad. Een klein land met een globale uitstraling.

Opzetten van een eigen cloud-infrastructuur is naïeve optie

In Europa gaan er stemmen op om een eigen digitale cloud-infrastructuur op te zetten, los van de VS. Eén van de redeneringen daartoe luidt dat Europa op deze manier zijn eigen data veilig kan stellen, zonder het risico dat deze worden ingezien door grote broer Amerika.

Herald Jongen, advocaat bij advocatenkantoor Greenberg Traurig, beziet deze discussie met een mix van deemoedigheid en wrevel. Waar het mee begon, roept hij in herinnering, is GAIA-X, een project dat in 2020 op poten werd gezet om een data-infrastructuur voor de EU te ontwikkelen. Jongen: “Nog los van de vraag of je twintig jaar achterstand op Silicon Valley kunt wegpoetsen, spelen er verschillende sentimenten om tot zulke initiatieven te komen. Het is een mengelmoes van afkeer van grote techcompanies of zelfs afkeer van de VS, privacy extremisme, maar ook politieke en economische belangen. Probleem in deze discussie is bovendien dat veel van deze argumenten, bewust of onbewust, met elkaar worden vermengd.”

In Nederland overheerst de gematigde lijn. De Nederlandse staat heeft een nieuw cloudbeleid waarin vrijwel alle data in de cloud mogen worden geplaatst. De staat sloot daartoe mantelovereenkomsten met

Microsoft, Google en Amazon die privacyproof zijn. Bovendien heeft het Ministerie van Justitie & Veiligheid laten uitzoeken hoe de Amerikaanse Cloud Act precies werkt en wat het risico is. “Uit deze gepubliceerde onderzoeken blijkt dat het onjuist is, zoals wordt gesteld door tegenstanders van de US cloud providers, dat Europese bedrijven niet worden geraakt door de Cloud Act.”

Er bestaat volgens Jongen een vooringenomenheid dat deze Act het voor de Amerikaanse overheid mogelijk maakt om te pas en te onpas Europese data in te zien. Dus bij wijze van spreken tot op het niveau van Nederlandse patiëntengegevens. “Om kort te gaan: die kans is verwaarloosbaar klein. Slechts bij uniek hoge uitzondering, bij zware criminele activiteiten bijvoorbeeld, worden data opgevraagd, zo blijkt uit hele transparante rapportages van onder meer Microsoft”, aldus Jongen.

“Daarnaast heeft Microsoft recent een

belangrijke security-verbetering doorgevoerd. In een bepaald deel van haar diensten worden niet alleen opgeslagen data (at rest) of data in transfer afgeschermd, maar ook data in use, dus als de data worden bewerkt.”

Er is dus wat Jongen betreft geen gerechtvaardigd argument om Amerikanen te wantrouwen. “Wil je dat je data om onduidelijke redenen niet door Amerikaanse bedrijven wordt beheerd en daarmee de kans ontstaat op grotere cybersecurity-onveiligheid? Juist bedrijven als Microsoft en Amazon zijn optimaal ingericht om cyberaanvallen af te wenden. Niet omdat ze de data inzien, maar omdat ze bewegingen en trends analyseren. Als deze bedrijven de bewegingen en trends in de EU niet meer kunnen zien, versnippert het beeld en dat gaat zonder meer ten koste van de security.”

“Choose your friends!”, luidt dan ook zijn motto.

Na de overstap naar de cloud kan het innoveren beginnen en hoeft het niet meer op te houden

InSpark: wie niet aanhaakt bij cloudtechnologie zet zich buitenspel

Cloudtechnologie ontwikkelt zich razendsnel. Zeker met de komst van Artificial Intelligence kunnen bedrijven en organisaties volop profiteren van nieuwe kansen die deze technologie biedt. Tegelijkertijd gaan daar ook grote security- en kostenrisico’s mee gepaard, zeker wanneer de organisatie onvoldoende kennis en ervaring heeft met deze digitale transformatie.

CEO Erik Jan van Vuuren van InSpark, IT-dienstverlener op het gebied van Microsoft Cloud, vindt het begrijpelijk dat bedrijven nieuwsgierig zijn naar moderne technologie. “Cloudtechnologie kan enorm veel brengen. Denk aan Artificial Intelligence, in de vorm van beeld- of fraudeherkenning bijvoorbeeld, maar ook aan automatiseringstaken met chatbots die documenten kunnen uitlezen. Of denk aan gebruikers die in Microsoft Teams proactief worden ondersteund met taken die ze alleen of samen op dat moment

aanvullen”, vertelt Van Vuuren, die daarmee wil benadrukken dat InSpark de juiste ervaring, best practices en repositories in huis heeft om klanten te helpen deze nieuwe AI-technologie snel beschikbaar te maken en te implementeren.

InSpark dient daarbij als een soort gids om vroegtijdig nieuwe technologie te valideren en klanten ontzorging te bieden door het overnemen van IT-services. De nadruk ligt daarbij op de eigen Microsoftspecialiteit. “Klanten van Microsoft vragen ons om samen met hen de best practices in te richten op basis van de ervaring die wij al jarenlang hebben opgebouwd.”

De hype rondom Artificial Intelligence vinden veel eindgebruikers moeilijk behapbaar. Daarin schuilt ook het grote gevaar, benadrukt Van Vuuren. “Concurrenten kunnen opeens een enorme voorsprong behalen als zij daar wel gebruik van maken. Een ander risico voor wie innovaties niet gebruikt, is dat ze te duur worden. Uit onderzoek blijkt dat nieuwe AI-technologie circa 25% aan arbeidskostenbesparing oplevert.

Als je niet meegaat in het gebruik van nieuwe technologie zal dat ook je positie op de arbeidsmarkt verslechteren. Jonge medewerkers stellen hoge eisen aan hun werkplek en willen bijvoorbeeld dat ze geholpen worden met een Teams-chat app die automatisch data suggereert die beschikbaar is binnen de organisatie.”

Wat InSpark goed in de vingers heeft,

is het bouwen van een fundament voor technologische innovatie. Op basis daarvan wordt de klant meegenomen om grote stappen te zetten in technologische innovatie. “Dat noemen we klant enablement. Wij zijn niet alleen een adviespartij, we leiden, realiseren en brengen innovatie tot leven”, aldus Van Vuuren.

InSpark, een dochter van KPN en volledig gespecialiseerd in Microsoft Cloud, is in staat om BV Nederland zeer goed en op schaal te voorzien van innovatieve technologie uit de Cloud. Daarmee kunnen bedrijven en organisaties efficiënt, zeer veilig en compliant innoveren op basis van best practices en hoge kwaliteit van dienstverlening. Onder de public cloud-klanten bevinden zich opdrachtgevers als de gemeente Amsterdam en de gemeente Den Haag, maar InSpark is ook geen onbekende binnen de bouw, verzekeringsmarkt en de logistieke- en zorgsector.

Voor wie meer wil weten over succesvol veranderen en vernieuwen binnen de eigen organisatie heeft InSpark een gratis whitepaper gepubliceerd over Innovatie en AI. Scan de QR-code hieronder.

Groei is nodig voor de CIO en CISO

De Chief Information Security Officer (CISO) opereert in een jong vakgebied. Nieuw leiderschap moet samenwerken met het bestaande leiderschap van de CIO. Onervarenheid en onwetendheid kunnen spanning creëren tussen die twee rollen. Dat is onnodig, aldus Job Voorhoeve van Amrop.

De CISO werkt in een nieuw vakgebied en dat vraagt om nieuw leiderschap. Dat is het vakgebied van Job Voorhoeve, Global Digital Practice Leader & Partner bij Amrop Executive Search. Hij wordt gedreven door de wens de BV Nederland beter te maken door betere leiders neer te zetten. Voor een jong vakgebied als cybersecurity is dat een mooie opdracht, omdat het domein nog weinig ervaren leiders kent. Voorhoeve hoort veel discussie over de rol en verantwoordelijkheden van CISO’s.

“Sommige CISO’s willen niet rapporteren aan de CIO. Anderen vinden het geen

Amrop

probleem zolang ze maar kaders hebben.”

De spanning tussen de twee rollen zit vaak in hoe impact te maken op de business en voldoende middelen krijgen om dat te doen. “Een hele traditionele CIO is gericht op operationele zaken en zal eerst bezuinigen op security omdat dat minder prioriteit heeft. De CISO wil zeggenschap over die security en de strategie bepalen.” Moderne CIO’s zijn meer businessgericht. Zij zijn blij met de komst van een specialist. “Laten we niet vergeten dat de dreiging in cybersecurity tegenwoordig komt van statelijke actoren. Van landen, niet van jongetjes op zolderkamertjes.”

Voorhoeve vindt dat de CISO aan de CIO moet rapporteren. “Zij moeten samen optrekken om een strategie te bepalen waarin te investeren. Daarnaast moet de CISO de onafhankelijkheid en verantwoordelijkheid krijgen om te communiceren met de raad van commissarissen en de algemeen directeur. De CIO moet dat faciliteren. Die moet de eindverantwoordelijken uitleggen dat zij willen luisteren naar de specialist.” Het kunnen vertellen van een goed verhaal is een leiderschapskwaliteit die te leren is, weet Voorhoeve. “De CIO heeft hierin een coachende rol. Wij merken dat CIO’s vaak

hele hoge eisen stellen aan deze rol, maar het is een jong vakgebied. CISO’s zijn zeldzame profielen, investeer daarom in de ontwikkeling van deze nieuwe leiders.”

Job Voorhoeve, Global Digital Practice Leader & Partner bij Amrop Executive Search

Amrop is een van ’s werelds grootste adviesbureaus voor leiderschap en executive search, met kantoren in 55 landen en een wereldwijd team van meer dan 500 partners en professionals. Amrop Nederland helpt klanten om over de grenzen van hun toekomst te kijken, door hen toegang te geven tot ‘leaders for what’s next’. Amrop helpt bedrijven nieuwe horizonnen te verkennen met leiders die in staat zijn het bedrijf de volgende fase in te loodsen. www.amrop.com/global-reach/find-a-consultant/profile/job-voorhoeve

Verhoogde weerbaarheid door Threat Intelligence

In de snel veranderende digitale wereld is accurate Threat intelligence noodzakelijk om sneller en doelgericht beslissingen te nemen. Voor de cybersecuritybedrijven is het dan ook cruciaal om goed inzicht te verkrijgen in tactieken, technieken en procedures van Advanced Persistent Threats en andere malafide entiteiten. Dit vereist niet alleen de constante assimilatie van real-time data, maar ook een diepgaande analyse van het cyberdreigingslandschap en de actoren die binnen dat landschap actief zijn.

Bij het gerenommeerde Europese cybersecuritybedrijf mnemonic gaan ze de hedendaagse uitdagingen op cybergebied aan door te investeren in zowel menselijk kapitaal, als toonaangevende initiatieven voor wetenschappelijk onderzoek naar deze materie. Bovendien kijkt mnemonic actief mee in de ecosystemen waarbinnen cybervijanden opereren. Op die plekken onderneemt mnemonic uitgebreide cyberintelligence-operaties, waarbij bijvoorbeeld malafide fora en digitale marktplaatsen op zowel het dark- als het deepweb worden gemonitord.

Lex Crielaars, Presales Team Lead bij mnemonic, zit met zijn collega’s dicht op die vijandelijke linie. “Door ons in de ecosystemen te begeven waarin cybercriminaliteit overvloedig aanwezig is, lukt het ons om eerstehands informatie te verkrijgen over relevante dreigingsactoren, gestolen data te identificeren en malware campagnes te ontrafelen.”

“Het is af en toe een surrealistische ervaring, maar heel belangrijk om te doen. Want de beste informatie vind je toch echt achter de vijandelijke linie, èn door grondige analyse en onderzoek.”

Mnemonic

Cybersecurity als wetenschappelijk domein

Ook levert het incident response-werk dat mnemonic bij diverse instanties uitvoert, zeer waardevolle threat intelligence op. Zo werden afgelopen zomer meerdere zero-day exploits ontdekt in Ivanti Endpoint Manager Mobile (CVE-202335078), tijdens een groot incident dat het mnemonic Incident Response Team onderzocht.

Veel aandacht gaat bij mnemonic uit naar wetenschappelijk onderzoek. ”Wij hebben samenwerkingsverbanden met academische instellingen, zoals met TNO en de Universiteit van Oslo, in het ‘Socrates’-project”, vertelt Anne Karine Hafkamp, Sales Director Benelux bij het bedrijf. “Dit project heeft geresulteerd in een platform dat de SOC-activiteiten -van automatische incidentrespons tot complexe dreigingsanalyse van organisaties sterk verbetert.”

“Bij mnemonic zien we cybersecurity als een wetenschappelijk en interdisciplinair domein, waarin theoretische paradigma’s met praktische implementaties zijn vermengd”, vervolgt Hafkamp. ”Hierdoor kunnen we de snel evoluerende cyberdreigingen identificeren, aan de hand waarvan we geavanceerde detection engines en mitigatietechnieken

ontwikkelen.” De datasets die uit de samenwerkingsverbanden voortvloeien, zijn essentieel om up-to-date te blijven. Crielaars: “Deze data, gecombineerd met de expertise in het analyseren van digitale artefacten en Indicators of Compromise die we sowieso al in huis hebben, stelt ons in staat om proactief te handelen. We slagen erin om constant onze detectieen responsalgoritmes te verbeteren, waardoor de capaciteit om op high-profile dreigingen te reageren onverminderd hoog blijft.”

Met een klantenbestand waarin onder meer grote Nederlandse gemeenten en belangrijke transport- en industriebedrijven te vinden zijn, rust op schouders van mnemonic de grote verantwoordelijkheid om enkele van de meest vitale infrastructuren van het land te beschermen. De recente cyberaanvallen op de luchthavens van Groningen en MaastrichtAken laten zien hoe ernstig de gevolgen zijn als een cybersecuritystrategie niet toereikend is.

Gerichte cyberaanval na bezoek

Zelenski

Crielaars en Hafkamp constateren dat het cyberdreigingslandschap vaak verandert wanneer er belangrijke (geopolitieke) gebeurtenissen plaatsvinden. Het gaat

Removing the guesswork from cybersecurity – www.mnemonic.io – contact@mnemonic.io

dan bijvoorbeeld om diplomatieke bezoeken, zoals dat van president Zelenski van Oekraïne aan Nederland, dat onlangs plaatsvond. Crielaars: “Zo’n bezoek kan leiden tot spikes in gerichte cyberaanvalscampagnes en dat is precies wat we een dag na het bezoek van Zelenski ook konden waarnemen. Dankzij de decennialange ervaring van mnemonic en de enorme kennis en expertise die in die tijd is opgebouwd, kunnen we effectief anticiperen en reageren op dergelijke escalaties. Dat is bij het bezoek van Zelenski ook gelukt.”

In de dynamische wereld van cybersecurity is kennisontwikkeling en -behoud dan ook goud waard. Met succes zet mnemonic hier vol op in. Hafkamp: “We investeren aanzienlijk in de regio Benelux om te kunnen voorzien in de blijvende en veranderende vraag naar cybersecurity vraagstukken. Daarnaast zorgt het lage personeelsverloop bij mnemonic ervoor dat opgedane kennis binnen het bedrijf blijft en dat we die kennis continu kunnen uitbouwen met behulp van resultaten uit onderzoek en veldwerk. In een tijd waarin cyberadversaries zich in rap tempo doorontwikkelen en voortdurende nieuwe dreigingen aan het licht komen, blijft mnemonic dan ook altijd alert en voorbereid.”

Meer innovatie met CS4NL cybersecurity subsidie

Vergaande digitalisering biedt kansen voor onze maatschappij. De digitalisering vraagt om digitale weerbaarheid om cyberaanvallen te kunnen voorkomen, er adequaat op te kunnen reageren en er vervolgens van te herstellen. Om digitaal weerbaar te zijn en om de huidige digitale voorsprong in Nederland te behouden zijn meer cybersecurity-innovaties nodig. Het is daarbij niet alleen essentieel om naar huidige ontwikkelingen te kijken, maar ook naar toekomstige trends en uitdagingen op het gebied van cybersecurity. Technologische ontwikkelingen volgen elkaar snel op en onze tegenstanders zitten niet stil. Daarom zijn 18 organisaties het CS4NL-programma (Cybersecurity voor Nederland) gestart om met verbeterde subsidiemogelijkheden innovaties te creëren. We spreken met Antal van Kolck, CS4NL-programmamanager bij dcypher.

CS4NL is het vraaggestuurde innovatieprogramma voor cybersecurity in Nederland

Wat is het CS4NL-programma?

Antal: “CS4NL is het grootste cybersecurityinnovatieprogramma van Nederland. Het CS4NL-programma bestaat uit 10 topsectoren en 8 kennis-, branche en andere organisaties, geïnitieerd door het samenwerkingsplatform dcypher en Topsector ICT. We werken samen om gedeelde cybersecurity-uitdagingen beter aan te pakken met innovatiesubsidies. Dat doen we samen met overheden, onderzoeksinstellingen en bedrijfsleven op een vraaggestuurde manier. We stellen vragen, zoals: wat is er precies nodig om over 5 tot 10 jaar als bedrijfsleven en overheid nog steeds digitaal veilig te zijn? Met welke uitdagingen gaan we steeds meer worstelen? Deze onderwerpen zijn gebundeld en daar waar inhoudelijke overlap is, gaan we die uitdaging samen aan met subsidie-

instrumenten zoals NWO-calls, TKI-calls en SBIR-programma’s.”

Cybersecurity als randvoorwaarde voor digitale economische groei

Hoe groot is de uitdaging op cybersecurity gebied voor Nederland? “De vergaande digitalisering in Nederland vergroot ons aanvalsoppervlakte en het risico van aanvallen. De ontwikkeling van AI creëert bijvoorbeeld mogelijkheden voor aanvallers om op andere manieren en op grotere schaal aan te vallen. Betere cybersecurity biedt meer veiligheid en draagt bij aan de economie van Nederland. Daarnaast worden grote transities op het gebied van zorg, energie, duurzaamheid en logistiek gedragen door digitalisering. De zogenoemde dataeconomie ontwikkelt zich in hoog tempo. De opbrengsten van de enorme investeringen daarin kunnen we alleen garanderen als er ook voldoende digitale veiligheid is. Onderzoek

van Dialogic toont aan dat 0,94% van het BBP voortkomt uit producten en diensten die verkocht worden door cybersecurity-bedrijven. De cyberindustrie zet 26 miljard euro om en groeit met 10-15% per jaar. Het is duidelijk dat we als digitale samenleving en economie weerbaarder moeten zijn tegen cyberaanvallen. De directe impact van goede of slechte cybersecurity op onze samenleving en economie is lastig te meten. Er bestaat geen maat voor cyber zoals een kilo aan CO2, maar het probleem is er wel degelijk.“

Cybersecurity in de grote transities en als probleem zonder eigenaar

Waar zie je kansen om cybersecurity innovatie goed te doen? “Cybersecurity komt gelukkig steeds hoger op de agenda te staan.. Samen met Eddy Boot [directeur dcypher] spreken we veel bestuurders bij de overheid en het bedrijfsleven. We horen dat de uitdagingen en de impact van digitale verstoringen steeds zichtbaarder worden. Daarnaast zien zij ook kansen. Als je cybersecurity direct meeneemt in het ontwerp van bijvoorbeeld grote infrastructuurprojecten of -systemen, is de kans veel groter dat het gehele systeem veiliger wordt, en vanaf het begin af aan al! Juist voor grote maatschappelijke transities zijn de systemen enorm in beweging: dit is hét moment voor lage cybersecuritykosten en betere beveiliging. Zoals bijvoorbeeld in de energietransitie, waarbij het landschap verschuift van enkele grote energiebedrijven naar een groot gedeelte van Nederland met zonnepanelen en elektrische auto’s. Dit systeem verlangt drastische veranderingen op het gebied van beveiliging. Het is een uitgelezen kans om socio-economische en technische kennis en innovatie te bevorderen.”

“Vanuit dcypher en CS4NL richten we ons op de complexe cybersecurity uitdagingen zonder duidelijke eigenaar, zoals ‘supply chain security’: hoe houd je de keten van (onder) aannemers veilig evenals bouwstenen die zij leveren aan eindoplossingen? Daar is onze eerste TKI subsidie-call voor ingezet. In een keten werken veel verschillende partijen met verschillende security-maturity-niveaus samen. Zij dienen samen de gehele keten veilig te houden, zonder eindverantwoordelijke of integraal overzicht. Organisaties verenigen zich steeds vaker om dit soort uitdagingen gezamenlijk aan te pakken. Mijn persoonlijke mening is: concurreer waar je wilt, maar werk samen op cybersecurity vlak. Dit is echt nodig voor een veiliger Nederland. Enkele securitymature partijen doen dit al, zoals bijvoorbeeld de banken in het TIBER-programma.”

Meedoen aan het CS4NL-programma en subsidie ontvangen

Hoe kan iemand mee doen? “Op drie manieren. Als eerste kan elke onderzoeksinstelling en bedrijf zich inschrijven voor subsidiecalls in consortia. Momenteel hebben we drie soorten subsidies. Onze ambitie is om de komende jaren voor ongeveer 50 miljoen euro aan subsidies uit te zetten. De eerste soort subsidie vindt plaats via een call uitgevoerd door NWO. Deze richt zich op fundamenteel onderzoek en vereist samenwerking tussen een onderzoeksinstelling en bedrijfsleven. De tweede optie bestaat uit calls uitgevoerd door de Topsectoren zelf (zogeheten TKI-calls). Deze zitten op hoger TRL- Technology Readiness level, (en staan dichtbij een product of markt), waarbij ook bedrijfsleven en onderzoek samenwerken. Samenwerking moedigen we dus op meerdere manieren aan. Vaak hebben cybersecurity-bedrijven een helder beeld van de uitdagingen, maar als mkb-bedrijf is er vaak een beperkt R&D-budget en tijdshorizon. Onderzoeksinstellingen hanteren een langere tijdshorizon en zoeken naar de link met de markt. De samenwerking van mkb met grote partijen en onderzoeksinstellingen kan én moet relevante en cruciale innovaties realiseren. Ook start-ups en scale-ups zijn uitgenodigd om hun innovatiekracht in te zetten. Als derde soort subsidie komt er een SBIR-programma aan vanuit het ministerie van Economische Zaken en Klimaat, waarbij de overheid subsidie biedt aan bedrijven om met een vernieuwend concept te komen voor concrete cybersecurity-uitdagingen.

Interesse in cybersecurity innovatie en subsidies?

Meld je dan aan voor de nieuwsbrief op www.dcypher.nl/CS4NL

Kom je naar de ONE-Conference?

Doe mee aan de innovatie subsidie matchmaking of loop langs bij de dcypher stand op de expo vloer.

Wie is dcypher?

www.dcypher.nl/CS4NL

SynerScope maakt data zichtbaar en interactief die voorheen verborgen zat

INNOVATIE

In deze sterk gedigitaliseerde wereld beschikken bedrijven en organisaties over een veelheid aan data. De uitdaging daarbij is dat veel van die informatie zodanig zit weggestopt dat daar amper gebruik van wordt gemaakt. SynerScope beschikt over een technologie waarmee deze verborgen data wel benut kan worden. Alsof je met de Hubble Telescoop de ruimte inkijkt: dan kom je telkens nieuwe en verborgen informatie tegen.

Een organisatie benut slechts een zeer beperkt deel van de datacapaciteit die ter beschikking staat. Misschien gaat het om hooguit tien procent. In die context moet je eigenlijk ook de huidige analysesystemen beoordelen, die zich in feite beperkten tot de meest voorkomende data die vrijkomt. En dat is niet altijd de data waarin je de gevraagde antwoorden kunt vinden, zegt Jan-Kees Buenen, ceo van SynerScope. “Je moet bijvoorbeeld denken aan de complexe combinaties van dat nodig voor oplossen van problemen als woekerpolissen, renteterugbetalingen van banken, maar ook nog lopende zaken als een toeslagenaffaire en zelfs aardbevingsschade.”

Wat SynerScope heeft gedaan, is het combineren van actuele oplossingen en producten, zoals Machine Learning, AI, NLP (natural language processing), beelden netwerk processing. “Daarmee komen we tot een oplossing om snel inzichten

en antwoorden boven tafel te krijgen op basis van data die voorheen weliswaar opgeslagen was, maar voor een groot deel verborgen bleef. Augmented Intelligence wordt daarbij gebruikt om menselijk inzicht te ondersteunen en vlot te komen tot de benodigde inzichten”, vertelt Buenen, waarbij die opnieuw het voorbeeld geeft van een verzekeringsmaatschappij. “Je kunt je afvragen of je verdient of verliest op Fiat-rijders. Daar zul je heus wel op verdienen, maar ons systeem maakt ook

Augmented Intelligence wordt gebruikt om menselijk inzicht te ondersteunen en vlot te komen tot de benodigde inzichten

duidelijk hoeveel geld je in feite verliest op de 3000 Fiat-rijders met de meeste schade. Zo kun je allerlei dwarsverbanden leggen om je verzekeringsbestand en de premiebetalingen te analyseren.”

Wat SynerScope eigenlijk doet, is het open leggen van verborgen data om deze vervolgens te combineren met andere informatie. SynerScope koppelt gestructureerde en ongestructureerde data in een mix van bekende en onbekende content. Zo ontstaat een rijke context die nodig is voor een snelle mens-machineinteractie om informatie goed te kunnen analyseren.

Jan-Kees Buenen, CEO van SynerScope

MBA in AI, Data & Analytics

€ 5,000 Early Bird discount

Deadline:

1 December 2023

We prepare you for business challenges and opportunities in big data and AI

• Classes 2 evenings a week: combine work with study

• Hands-on approach

• Network oriented with small class sizes

Start: September 2024

‘This MBA was a game changer for me. It helped me demystify data, analytics and understand what machine learning and AI is. Any business opportunity is going to be related to data and AI, this programme makes you ready for that.’

• Only recognised, part-time MBA in AI in the Netherlands

Become a knowledgeable AI expert, able to lead AI and data-intensive businesses, projects and departments. The multidisciplinary curriculum with courses in business (Leadership, Fintech, Law & Ethics of AI), analytics (Optimisation, Data Stewardship) and computer science (Machine Learning, Deep Learning) will give you the knowledge and skills to identify the opportunities and challenges that AI can bring for your business.

Sign up for the next information

mbabigdata.nl

Brancheorganisatie BTG roept nieuwe

kabinet op tot actievere rol rond digitale transformatie

Nederland moet zorgen dat het niet achterloopt op het gebied van digitale vernieuwing. Daarom is het zaak om maatregelen te nemen, nu er na de parlementsverkiezingen in november een nieuw kabinet aantreedt. Brancheorganisatie BTG vertegenwoordigt leveranciers en grote organisaties als corporate bedrijven en overheden op het gebied van IT- en communicatietechnologie. Samen met een aantal brancheorganisaties uit de digitale sector bundelde BTG haar krachten. Er is een manifest opgesteld dat mede bedoeld is om de politiek te helpen bij het maken van de juiste keuzes.

Nederland doet het in de basis prima als het om digitalisering gaat. Deze positie behouden is een regelrechte uitdaging gebleken. In een snel veranderende wereld vraagt dit om adequaat handelen en een duidelijke visie.

In het manifest wordt uitgelegd uit hoe digitalisering kan bijdragen aan het oplossen van grote vraagstukken. Nieuwe technieken als kunstmatige intelligentie, edge computing, 5G en binnenkort 6G, dragen bij aan oplossingen op maatschappelijke vraagstukken. Om dit mogelijk te maken moet de overheid onder meer aansluiting zoeken bij bedrijven, brancheorganisaties én consumenten. Op die manier wordt versnippering in de markt voorkomen, zodat er snel en doeltreffend beslissingen genomen kunnen worden. ‘Iedereen in Nederland heeft immers te maken met digitalisering’, aldus Petra Claessen, voorzitter van BTG en boardmember van BTG Holding BV.

Snelheid geboden

Claessen vindt het belangrijk dat er geen tijd verloren gaat aan teveel discussiëren vooraf bij het maken van keuzes. Actie is nodig. Daarom pleit ze er voor om de post ‘digitalisering’ onder te brengen bij het hoogste orgaan binnen de overheid. ‘We

moeten voorkomen dat er een rem komt op de besluitvorming, omdat meerdere lagen tegelijk meepraten over een besluit.’

Het is een van de zeven thema’s die de brancheverenigingen opstelden, te weten:

1. Een toekomstige economie is een gedigitaliseerde economie.

2. Digitale technologie is een cruciaal onderdeel van de oplossing van huidige vraagstukken.

3. Verstevig de kabinetsregie over digitale zaken.

4. Zet in op effectieve invoering en uitvoering van nieuwe wet- en regelgeving.

5. Zet in op behoud van de kernstructuuren waarde van het internet.

6. Verbeter de digitale kennis bij bestuurders en politici.

7. Verbeter digitale kennis in de breedte van de samenleving.

Deze zeven punten zijn om Nederlands’ toppositie binnen Europa weer te heroveren als het gaat om digitale vernieuwingen. Zo ontwikkelde de Europese Unie in de afgelopen jaren een reeks van nieuwe wet- en regelgevingen om het gebruik van digitale technologie beter mogelijk te maken. ‘Nederland moet daarop

sneller aansluiten. Er is niets mis met wetten hanteren in dit kader. Het gaat er uiteindelijk om dat we er samen voor zorgen dat het met de in- en uitvoering sneller gaat.’

Continuïteit cruciaal

Het grootste aandachtspunt is de continue bereikbaarheid op het beschikbare net. ‘Politie, ziekenhuizen, bedrijven en particulieren moeten kunnen rekenen op

continuïteit in bereikbaarheid. Er moet een goede én veilige toegang worden verleend tot het net. Dat vraagt om heldere en daadkrachtige beslissingen. De digitale infrastructuur van Nederland moet meer worden gezien als een soort nutsvoorziening,’ aldus Claessen.

BTG doet dan ook een dringende oproep aan een volgend kabinet om stevig in te zetten op digitalisering, digitale infrastructuur, innovatie en digitaal ondernemerschap. Het maatschappelijk middenveld moet betrokken worden in de discussies over de digitale toekomst. En het kabinet moet zich vaker uitspreken tegen versnippering, aantasting van veiligheid en het mondiale karakter van het internet voor geopolitieke doelen. Verder is het zaak om digitale kennis te verbeteren, horizontaal én verticaal, binnen onze maatschappij. Digitale technologie is immers continu in beweging en die moeten we zien bij te houden.

‘BTG, building bridges in a digital society.’

Lees hier het hele manifest: https://btg. org/nieuws/artikel/oproep-gezamenlijkebrancheorganisaties-digitale-sector-detoekomst-is-digitaal/

Branchevereniging voor IT & Communicatietechnologie (BTG) behartigt sinds 1986 de belangen van Nederlandse bedrijven en instellingen die op grote schaal gebruikmaken van bedrijfscommunicatie. BTG organiseert hiertoe netwerkbijeenkomsten, waarbij het delen van kennis en ervaring centraal staat. BTG vertegenwoordigt haar leden bij binnen- en buitenlandse toezichthouders. De vereniging telt ruim 180 leden binnen zowel het bedrijfsleven als de overheid. BTG signaleert trends en vertaalt deze in relevante inhoud en activiteiten. Ledenvoordeel wordt gerealiseerd door bundeling van vraag en daarop gebaseerde dienstverlening.