Column


Column André Koot

Gaan we voor sexy, of voor saai?

Er dreigt een schrikbarend tekort aan cybersecurityspecialisten. Dat kopten de media de afgelopen weken. En dat leverde heel veel herkenning op en ook veel zorg. Want een tekort aan cybersecuritykennis vormt een groot risico gezien de steeds toenemende dreiging van cyberaanvallen en wat er al niet gebeurt in cyberspace.

Het tekort is overigens geen typisch Nederlands probleem, maar speelt in alle andere Europese landen. In tegendeel tot veel andere landen kent Nederland een professionele en volwassen securitybranche, met goede opleidingen, beroepsverenigingen, #whiskyleaks... Onze cybersecurityspecialisten zijn dan ook niet alleen in ons eigen land zeer geliefd, maar ook ver daarbuiten. Maar ook in ons land is er te veel werk voor de huidige populatie cybersecurityspecialisten.

Alles onder de cybernoemer
Cybersecurity is door de meldplicht datalekken en de groeiende aandacht vanuit de politiek een onderwerp aan vrijwel elke bestuurstafel. Er is veel geld gemoeid met cybersecurity. Cybersecurity is dan ook een sexy onderwerp met een grote behoefte aan specialisten. Maar hoe komen we nou aan al die cybersecurityspecialisten. Daar zijn er nu al veel te weinig van, dus dat wordt opleiden en trainen. Maar waarin? Wat is nu eigenlijk een goede cybersecurityspecialist?

En daar belanden we dan meteen bij mijn stokpaardje. Ik heb werkelijk niet het idee dat alle professionals (binnen en buiten ons vakgebied) die over cybersecurity spreken het over dezelfde dingen hebben. Laat ik een parallel trekken met een heel ander vakgebied: stel we zoeken een mobiliteitsspecialist. Wat moet zo iemand kunnen? Is het een chauffeur of machinist, een vrachtwagenmonteur, een wegwerker, een beleidsambtenaar, een logistiek planner? Of hebben we het over een HRM-functionaris bij een outplacementbureau? Zonder te concretiseren waar we het over hebben en wat voor soort werk er moet worden uitgevoerd, is elke invulling bruikbaar.

Hetzelfde speelt ten aanzien van cybersecurity. Met dien verstande dat ook het probleem dat we op willen lossen misschien niet heel duidelijk is. En dat komt omdat alles wat we niet snappen gewoon maar onder de cybernoemer wordt gevat. Datalekken? Cyber. Spam en phishing? Cyberaanvallen. Identiteitendiefstal? Cyber. DDoS-aanval? Cyberattack. Ransomware? Cyberattack. Privacy-inbreuk? Cyber. Advanced Persistent Threats? Cyberaanval. Inbraak? Cyberattack.

Cyberdreigingen?
Maar het meest interessante is misschien wel dat van vrijwel alle dreigingen de oorzaak niet in cyberspace is te vinden. De meeste problemen ontstaan door problemen binnen een organisatie. Ik durf de stelling te poneren dat 75 procent van alle cyberdingetjes wordt veroorzaakt door interne tekortkomingen. Ik maak bij bijna elke opdracht die ik uitvoer mee dat mensen te veel en onjuiste autorisaties hebben. Changemanagement en patchmanagement worden niet op waarde geschat. Bij systeemontwikkeling wordt onvoldoende rekening gehouden met principes van veilig ontwikkelen. Personeel en management worden onvoldoende gewaarschuwd en getraind om dreigingen te herkennen en tegen te gaan.

Alles resumerend komen we er misschien wel achter dat 98 procent van de incidenten ontstaan door interne tekortkomingen. Die andere twee procent is niet helemaal te voorkomen. Een DDoS-aanval overkomt je, maar met een beetje slimme architectuur en goede contracten met je provider kun je de overlast beperken. En aan zero-day aanvallen kun je eigenlijk helemaal niets doen, behalve misschien een goede gelaagde (netwerk-) architectuur inrichten.

Beheer, beheer, beheer
Bijna al die tekortkomingen hebben te maken met beheer. Beheer van (ICT-) componenten, beheer van autorisaties, beheer van identiteiten, beheer van eisen en wensen. Niet wat we traditioneel sexy noemen, maar gewoon, saai werk. Maar waar wel competenties voor nodig zijn waar we al heel lang professionals voor opleiden.

Laat ik voorop stellen dat er ook in beheer echt wel spannende taken zijn. Het identificeren en analyseren van security-incidenten is spannend. Ook het onderzoeken van componenten en systemen om zwakheden te vinden is spannend. Maar dat zijn vaak taken waar ervaring en passie om problemen op te lossen belangrijke competenties zijn, competenties die je juist niet met opleidingen en trainingen opdoet.

Scouten
De oplossing voor het groeiende tekort aan cyberspecialisten die de cyberproblemen bij bedrijven moeten oplossen, ligt dus voor een groot gedeelte bij mensen die functies binnen bedrijven hebben die we al decennialang kennen, bijvoorbeeld de ontwikkelaars en ICT-beheerders. Kortom, mensen met functies die wellicht niet zo ‘cyber’ en sexy zijn, maar die er wel voor kunnen zorgen dat veel cyberproblemen niet eens ontstaan.

Maar daar waar we specifieke competenties nodig hebben, zijn opleidingen misschien niet eens noodzakelijk, maar moet je ‘scouten’. Voor cyberproblemen die niet ontstaan, hebben we geen cyberspecialisten nodig, zodat de vraag naar deze professionals kan dalen en er weer meer resources ter beschikking komen. Probleem opgelost.


Lees meer over