Inge Bryan is onder andere bekend als voormalig CEO van Fox-IT en om haar werk voor de Nederlandse opsporingsdiensten en de Autoriteit Persoonsgegevens. Maar wat bijna niemand wist: ze was persoonlijk ‘betrokken’ bij een van de grootste hacks in het mbo. Tijdens de coronaperiode, net nadat ze zich had aangemeld als student bij ROC Mondriaan, ontving haar dochter het bericht dat de instelling was gehackt.

Die hack veranderde veel. ‘De urgentie bij de mbo-bestuurders was ineens enorm’, zei ze.  ‘En driekwart jaar later stond het programma Cyberveiligheid mbo er al.’ De sector werd wakker, en bleek veerkrachtig. ‘Dat ís business continuity management: precies weten wat je te doen staat.’

De mens als kracht

Samenwerking is daarbij volgens Bryan van levensbelang. Bijvoorbeeld via SURF. Ze was intensief betrokken bij de inrichting van het SOC van SURF en zag van dichtbij hoe lastig het is om de beveiliging mee te laten groeien met een snel uitdijend IT-landschap. Bryan keerde zich nadrukkelijk tegen de gedachte dat de mens de zwakste schakel is. ‘Integendeel,’ zei ze, ‘de mens is onze sterkste schakel.’
Maar mensen zijn ook aantrekkelijke toegangspoorten. We delen veel informatie online, vaak zonder dat we het beseffen. Voor opsporingsdiensten is dat waardevol; voor criminelen minstens zo. Ze gaf voorbeelden van fysieke kwetsbaarheden, zoals makkelijk toegankelijke kabelgoten. En digitale, zoals criminelen die via Signal medewerkers brutaal benaderen met berichten of ze willen meewerken aan een hack.

De explosie van cybercriminaliteit

De cijfers zijn onthutsend: de mondiale omzet van cybercriminaliteit steeg van 350 miljoen euro in 2015 naar 24 miljard euro in 2024. Criminelen opereren internationaal, geautomatiseerd en zonder enig respect voor grenzen of rechtsorde. ‘Tachtig procent van de slachtoffers in Nederland betaalt bij een hack’, aldus Bryan. ‘Dat is begrijpelijk, want de verstoring ervan is enorm en herstel zonder te betalen vaak bijzonder ingewikkeld.’

Politieke verhoudingen spelen hierin een grote rol. De verklaring van hackerscollectief Conti dat het achter Poetin staat, illustreert hoe nauw cybercriminaliteit en geopolitiek verweven zijn. GPS-jamming is in landen rondom het Russische grensgebied sinds 2014 geëxplodeerd. En waar de bad guys voorheen vooral uit Oekraïne kwamen, is veel technisch talent uit dat land na de oorlog ‘overgelopen’. Opsporingsdiensten hebben veel geleerd van hun kennis.

Van internationale rechtsorde naar het recht van de sterkste

We leven niet langer in een wereld waarin internationale afspraken vanzelfsprekend worden nageleefd. ‘De rechtsstaat eindigt aan onze grenzen’, zei Bryan. ‘In cyberspace is dat al dertig jaar zo.’ De fragmentatie neemt toe: de wereld verschuift van een mono- of bipolair systeem naar meerdere machtsblokken. Wat we in cyberspace allang zagen, druppelt nu door naar de fysieke wereld.

Nederland is door zijn hoge connectiviteit, welvaart en digitaal vaardige bevolking een aantrekkelijk doelwit. Dat vraagt om een nieuwe manier van denken: minder afhankelijkheid, meer strategische reserves, en een economie die verschuift van efficiëntie naar robuustheid.

Data-soevereiniteit: hoe dan?

Vanwege deze wereldwijde ontwikkelingen moeten we volgens Bryan durven kiezen voor digitale onafhankelijkheid. Dat betekent onder meer:

• Bepalen wat je echt nodig hebt.
• Bepalen binnen welke actieradius je veilig kunt opereren.
• Samenwerking centraliseren waar het kan: ‘alle ballen op SURF’.
• Een transitieplan maken en klein beginnen.
• Niet bang zijn om met kleinere partijen samen te werken.
• De tegenstand overwinnen: ‘het werkt langzamer’ of ‘het is minder gebruiksvriendelijk’ hoort bij de transitie.
• Duidelijkheid over de financiering: het Rijk moet over de brug komen.

Verkleinen van het aanvalsoppervlak

Bryan benadrukte dat organisaties al veel kunnen winnen door hun digitale huishouding op orde te brengen: systemen opschonen, minder variatie, minder legacy, meer overzicht. En dat size matters: samenwerking met SURF en sectorbrede SOC-voorzieningen zijn volgens haar cruciaal om grip te krijgen op dreigingen. Ze complimenteerde daarom het mbo: met het programma Cyberveiligheid richt de sector zich precies op dit soort zaken.

Maar defensie alleen is niet genoeg. ‘We moeten ook leren terugslaan’, zei ze. ‘Niet alleen juridisch, maar ook de cybercriminelen strategisch structureel ontregelen. Want zij laten zich niet afschrikken door onze rechtspraak. Die houdt op aan onze landsgrenzen.’

De weg vooruit: transformeer, beveilig, werk samen

Bryan sloot af met een krachtige drieslag: transformeer je organisatie, beveilig wat je hebt en werk samen waar het maar kan. De digitale snelweg moet veilig zijn en dat is volgens haar ook een verantwoordelijkheid van de overheid.

Tenslotte benadrukte Inge het belang van compartimentatie. Digitale systemen moeten zijn ingericht als een onderzeeboot, zodat niet de hele organisatie besmet raakt als het bij één afdeling misgaat. En ze onderstreepte het belang van sociaal contact (‘zorg dat je naar elkaar kunt luisteren’) en de kracht van neurodiversiteit. Want mensen die anders denken, zien andere risico’s. Haar laatste boodschap was even eenvoudig als krachtig: gebruik je hersenen en volg je hart.