Nieuws

Cybercrime. Het aantal hacks groeit en het karakter ervan wordt steeds ingenieuzer. De vraag is niet óf een organisatie daar slachtoffer van zal worden, maar hóe die organisatie haar weerbaarheid heeft georganiseerd. Peter Roelofsma ziet dat de samenleving roept om meer kennis over risicomanagement rond cybersecurity. Dat is precies zijn onderzoeksterrein als lector Risk Management & Cyber Security. Een kennismaking met een bevlogen wetenschapper die graag vertelt over zijn unieke Cyber Security Living Lab. 

Als je hem midden in de nacht wakker maakt, zal hij nóg enthousiast vertellen over zijn grote onderzoeksopgave: ervoor zorgen dat cyber risk management shared risk management wordt. Dan gaat het niet primair om innovatieve technologie. Dan gaat het om mensen. Peter: “Om te komen tot shared risk management moet er een shared mental model komen. Moeten alle mensen die professioneel daarbij betrokken zijn op dezelfde manier naar de wereld leren kijken en dezelfde oorzaak-gevolgrelaties gaan zien. Om weerbaar te zijn, moeten we optimaal samenwerken. Daarvoor hebben we technologie nodig die ons faciliteert."

Cyber Security Living Lab
Peter Roelofsma heeft een indrukwekkend track record. Als wetenschapper was hij actief binnen de Vrije Universiteit, Leeds University Business School, de Erasmus University en de TU Delft. “De rode draad in mijn carrière is de combinatie van risicomanagement en menselijke besluitvorming. Het lectoraat Risk Management & Cyber Security, ingebed in Centre of Expertise Cyber Security, doet onderzoek in de Dutch Innovation Factory in Zoetermeer. “We gaan daar iets neerzetten dat ongekend is in Nederland: het Cyber Security Living Lab.”

“In het Cyber Security Living Lab doen studenten een integrale onderwijs-, onderzoeks- en praktijk/werkervaring op. Zij bouwen, werken, leren en doen onderzoek in een security operations center (SOC), waarin real time 24/7 cybersecuritydreigingen worden waargenomen en gemonitord en waarin incidentrespons is. Dat is de toekomst van het onderzoek en onderwijs over cybersecurity.” 

Zeilen in een bootje
“Ik kom uit Friesland. Daar leren we zeilen in een bootje, niet uit een boek. Zo is het ook bij De Haagse en in mijn lectoraat. Studenten uit het mbo, hbo en de universiteit werken in dit living lab samen. Uniek is, dat onderzoek en onderwijs zijn geïntegreerd in deze leer- en ontwikkelomgeving. Als de studenten een aantal maanden in ons living lab zijn, leren ze meer dan in een jaar op een werkvloer elders. In het living lab doen we gezamenlijk onderzoek met bedrijven en organisaties. Als je het samen doet, sta je veel sterker in cybersecurity.”

"Als de studenten een aantal maanden in ons cyber living lab zijn, leren ze meer dan in een jaar op een werkvloer elders."

“Security operations centers zijn vaak een beetje spooky. Niemand mag weten dat ze er zijn. Alle deuren dicht, niemand mag binnenkomen. Dit kan leiden tot obscuriteit. Dat moet anders. Security by obscurity is geen optimaal cyber risk management. In het shared mental model is het juist heel belangrijk om openheid te hebben. Bedrijven waarmee we samenwerken, willen openheid geven over hun cybersecuritybeleid. Omdat ze zien dat ze het in hun eentje niet kunnen rooien.”

Omgaan met regels
“Als je naar risicomanagement en cybersecurity kijkt, beland je tussen regel en realiteit. Wat zijn de regels? Waar komen die vandaan? Hoe maak je regels die ook werken? Hoe integreer je informatie in je oordeel en besluitvorming? Een van de belangrijkste redenen dat wij hier in het Cyber Security Living Lab een security operations center bouwen en onderhouden, is dat het in de wereld van de cybersecurity vaak te onduidelijk is hoe het eraan toe gaat in de werkelijkheid, ondanks of juist door alle regels. Het observeren van het gedrag van teams en organisaties in de praktijk van alledag is waar nu veel behoefte aan is. Hoe gaat bijvoorbeeld een chief information security officer (CISO), zijn team en andere beslissers om met die regels? Welke fouten worden gemaakt in het SOC-proces bij teams en organisaties? Hoe kunnen die worden voorkomen? En wat gaat er goed? Daar gaan we praktijkgericht onderzoek naar doen.”

Vrij en onafhankelijk
Voor Peter Roelofsma is het duidelijk dat we een keer aangevallen zullen worden. “Hoe staat het dan met de latente weerbaarheid? Hoe is je risicomanagement? Heb je dan de juiste spullen in huis? Hoe is de communicatie over cybersecurity in je organisatie? Welke cultuur heerst daar rond cybersecurity: durven mensen hun mond open te doen? Hoe heb je het cybersecuritymanagement georganiseerd? Welke technologieën gebruik je als ondersteuning als je belangrijke beslissingen moet nemen? Wat is de rol van AI?”

"Als wetenschapper moet je altijd in een omgeving kunnen blijven werken
waar je kritische vragen mag stellen."

Het onderzoek naar risicomanagement in cybersecurity krijgt alleen maar goed vorm als de wetenschapper absoluut vrij is. Peter: “Ik merk dat cybersecurity nu te veel wordt gedreven door de winst en macht van bedrijven. Komt een maatregel niet ten bate van het bedrijf, dan is die maatregel niet goed. Maar zo werkt het niet. Marktconforme principes kunnen niet bepalen wat goed en slecht is. Als wetenschapper moet je altijd in een omgeving kunnen blijven werken waar je kritische vragen mag stellen.”

Hij is niet tegen derdegeldstromen. “Daar ben ik juist vóór. Want dan is de link naar de praktijk heel sterk. Maar wordt jouw onderzoek betaald door derdegeldstromen, dan moet je als wetenschapper wel de ruimte krijgen om je onderzoek te doen op een vrije, onafhankelijke manier.” 

Wachten op de klap
Zijn lectoraat is maatschappelijk zeer relevant, benadrukt hij. “We wachten op de grote klap. Die kun je niet voorkomen, daar moet je op voorbereid zijn. Wat doe je als dat gebeurt? Het is gevaarlijk om dan alle kaarten te zetten op damage control in het nu en op de korte termijn. De echte ramp is vaak het tweede ongeluk, nadat je reactie op het eerste incident of ongeval niet adequaat is gebleken. Ook een cyberramp begint vaak in een klein hoekje. Kijk dus vooral ook vooruit. Zie je dat het tij keert, verzet dan de bakens in je proces. Leer om te gaan met verlies. Dat is lastig in onze samenleving. Maar een hack zorgt vaak voor een verlieservaring. Dan kun je bij de pakken neerzitten. Het is beter om vooraf te hebben bepaald hoe je om wilt gaan met de risico’s van dat verlies, ook voor de lange termijn. Om verantwoordelijkheid te nemen voor de acties die je vervolgens uitvoert. Zorg dus dat je latente weerbaarheid op orde is. Iedereen gaat een keer gehackt worden. Nog te veel bedrijven weten niet wat ze moeten doen als cybernood aan de man komt.”

Als dat geen passie oproept...
Peter Roelofsma houdt op donderdag 14 november zijn intreerede, getiteld ‘Cascade Cyber Risk Management - Between Rule and Reality’. “In mijn intreerede wil ik laten zien wat ik heb gedaan en waar ik naartoe wil gaan. Ik hoop mensen en organisaties te vinden die zich bij mijn visie willen aansluiten. Bedrijven zien dat ze dit soort onderzoek nodig hebben. Onderzoek dat superrelevant is voor de samenleving. Als dat geen passie oproept, weet ik het ook niet meer.”

Bekijk het programma en meld je aan!