24 september 2025

Cybersecurity

Governance

Van commerciële luchtvaart naar militair toestel

Vroeger konden we onze datacenters vergelijken met de commerciële luchtvaart. De buitenwereld was relatief veilig en het doel was vooral klanten zo veilig en comfortabel mogelijk hun “digitale reis” te laten maken. Natuurlijk waren er risico’s, maar die konden grotendeels met techniek en procedures worden ondervangen.

Vandaag is dat beeld achterhaald. In een digitale oorlog moeten diezelfde datacenters opereren als militaire vliegtuigen. Ze moeten hun eigen veiligheid borgen, maar ook voortdurend voorbereid zijn op actieve aanvallen uit een vijandige omgeving. Zoals elke generaal weet: je moet je niet voorbereiden op de vorige oorlog, maar op de volgende. Alleen: hoe ziet die eruit als ‘opeens’ AI overal wordt ingezet, zowel bij de aanval als de verdediging? Wat als je wordt aangevallen door honderden AI-agents die elke mogelijke zwakheid proberen te vinden? Of een AI-agent van je klant ‘ontspoort’ en laat een spoor van data-corruptie in je datacenter achter?

Wat als de dijk echt breekt?

Alles is het laatste jaar in een vreemde beweging geraakt. AI versterkt niet alleen onze verdedigingslinies, maar geeft aanvallers net zo goed nieuwe wapens. In dit spel van aanval en verdediging is het naïef te denken dat er toch geen doorbraken of ongelukken zullen gebeuren. De vraag is steeds serieuzer niet óf, maar wannéér je als organisatie wordt getroffen. Ruim 20.000 geslaagde ransomware aanvallen afgelopen jaar. Ongelooflijk!!

Wat gebeurt er als het ineens ‘alles zwart’ wordt en je datacenter, je internet en communicatie dagen of weken stilvalt? Hoe ga je om met gijzeling en losgeld, of met wekenlange onderbreking van kritieke processen? Voor sommige bedrijven kan dat letterlijk het einde betekenen als fabrieken opeens wekenlang niets meer kunnen produceren. Zoals afgelopen weken gebeurde bij Jaguar Land Rover in de UK en zo werd gedwongen wereldwijd de productie stil te leggen.

De verantwoordelijkheid ligt in de boardroom

Daarmee komt de verantwoordelijkheid nadrukkelijk in de boardroom te liggen. Risicomanagement gaat niet meer alleen over verzekeringen en brandveiligheid, maar over digitale continuïteit en overleven. Het is niet genoeg om “een pondje extra” bij je cloudleverancier af te nemen. Bestuurders moeten weten welke processen en data echt cruciaal zijn en welke mate van bescherming en soevereiniteit daarbij noodzakelijk is. Kun je al je eieren in één cloudmandje blijven leggen? Hoeveel mandjes moet je hebben om uitwijk van systeem of leverancier hebben? En moeten die mandjes misschien dichter bij huis staan, binnen de eigen wet- en regelgeving? Ondersteund door binnenlandse leveranciers of channelpartners die eindverantwoordelijkheid over die soevereiniteit nemen?

Wie zit er in de cockpit?

De luchtvaartanalogie blijft leerzaam. Een militair toestel is voorbereid op vijandige aanvallen, heeft mogelijkheden om die ‘af te schudden’ en heeft zelfs een schietstoel om de piloot te redden. In een commercieel toestel kan dat niet, daar moet je bij een storing alles doen om snel veilig en gecontroleerd te landen. Stel dezelfde vragen eens voor je digitale diensten en data. Wie zit er in de cockpit? Wie beslist wanneer een noodlanding nodig is, ook al is dat op een ongewenste plek? En altijd op een ongewenst moment. En wat betekent dat voor de continuïteit van je organisatie, voor je klanten? Zelfs als er geen slachtoffers vallen, kan de economische schade catastrofaal zijn. Heb je de noodscenario’s klaarliggen en zijn de mensen getraind?

En vooral niet voorbereiden op de vorige oorlog, maar op de volgende. Dat betekent: niet alleen repareren of toevoegen wat nog ontbrak, maar bedenken hoe een toekomstige aanval kan uitpakken. Niet alleen denken aan beschermen, maar ook aan wat er gebeurt als het toch een keer misgaat. Hoe overleef je? Hoe kun je achterhalen wat er fout ging? Hoe kun je geconditioneerd weer opstarten? Hoe communiceer je met klanten en shareholders, als je überhaupt nog communicatiemiddelen hebt? Heb je een overlevingspakket samengesteld voor het geval je datacenter en internet ineens wekenlang uitvallen? En is er een tijdelijke uitwijkoptie beschikbaar als een herstart langer – wellicht maanden – gaat duren? Heeft je leverancier of leveringspartner dit soort voorzieningen?

Wat te doen na de crash?

Ik heb eerder geschreven over het belang van forensische data om fouten en oorzaken te achterhalen, en daarmee de sector veiliger te maken – net zoals de luchtvaart dat met haar “luchtwaardigheid” heeft gedaan. Alleen door lessen te delen kan de digitale infrastructuur wereldwijd veiliger worden. Als je niet weet ‘wat’ er mis ging en ‘hoe’ ze binnenkwamen, kunnen ze het een volgende keer gewoon nogmaals kunnen doen. Ondanks de tien of meer bitcoins die je als losgeld hebt betaald.

De digitale oorlog is realiteit

Boven alles geldt dat de verantwoordelijkheid niet langer bij de ingehuurde CIO of CISO kan worden neergelegd. Bestuurders en toezichthouders moeten zich uitspreken over hoe digitale risico’s worden beheerst, of de afkoopsommen worden betaald en hoe de continuïteit wordt verzekerd. Met wereldwijd meer dan 20.000 geslaagde ransomware-aanvallen per jaar is de digitale oorlog geen toekomstscenario meer, maar een realiteit. En die realiteit raakt niet alleen bedrijven, maar ook nationale veiligheid en politieke stabiliteit.

Risicomanagement als Chefsache

De drukte op beurzen, de scherpe discussies bij rondetafels en de groeiende lijst van slachtoffers maken duidelijk dat digitale veiligheid geen operationele randvoorwaarde meer is, maar een strategisch vraagstuk. Het raakt direct aan de continuïteit van organisaties en zelfs aan nationale autonomie. De vraag welke digitale processen en data je zelf soeverein moet houden – binnen je eigen juridische en bestuurlijke kaders – en waar internationale leveranciers een rol kunnen spelen, moet in de boardroom worden beantwoord.

Bij mijn huidige activiteiten als ad interim CTO bij bedrijven zie ik dat security en business continuity als onderwerp steeds vaker terugkomen. Digitale transformatie vraagt ‘Safety and continuity by design‘ – intern, extern en als ingekocht product of dienst – en vraagt dus adequaat risicomanagement. Steeds vaker wordt dit ook onderdeel van mijn begeleiding van organisaties. Het is niet de snelheid maar vooral de volledigheid die de uiteindelijke kwaliteit bepaalt.

En om dit in eenvoudige bewoordingen aan board en toezichthouders uit te kunnen leggen, want helaas is bijna geen enkele bestuurder werkelijk ervaren op dit gebied. Daarna gaat het vooral om het vaststellen van de juiste vorm en inhoud, inclusief gecommitte slagkracht, noodzakelijke capaciteiten en natuurlijk de budgetten om dit binnen relatief korte tijd te implementeren.

Cybersecurity is niet langer “iets van IT”, maar een wezenlijk onderdeel van risicomanagement en governance. Of, zoals ik al vaker schreef op mijn blog: het is een discussie die gaat over vertrouwen, continuïteit en soevereiniteit. En het is een discussie die bestuurders niet langer kunnen uitstellen. Ik help hen hier – nog steeds – graag bij.

Over de auteurs

  • Hans Timmerman

    Hans Timmerman is een echte kenner en trendwatcher op het gebied van IT. Hij heeft veel ervaring opgebouwd als Chief Technology Officer, in eerste instantie voor EMC2, dat later onder de vleugels van Dell Technology kwam. Hans is van huis uit elektrotechnisch ingenieur (TU Delft) en hij begon zijn carrière met het ontwerpen van moderne trams en treinen. Hij werkte vervolgens als toekomstverkenner bij de Stichting Toekomstbeeld der Techniek (STT) waar hij momenteel nog steeds bestuurslid is. Later werkte hij bij Fokker Aerospace als hoofd productieontwikkeling en hoofd CAD/CAM-center, bij Ericsson/NIRA als technisch directeur en bij het software bedrijf PTC als director professional services.

Gerelateerd nieuws

Clare’s Law tegen huiselijk geweld in Nederland: redmiddel of risico?

In het eerste halfjaar ontving Veilig Thuis ruim 66.000 meldingen van huiselijk geweld. Een stijging van 10 procent vergeleken met dezelfde periode in 2022. Terwijl deze cijfers toenemen, groeit ook de roep om slachtoffers beter te beschermen. Steeds vaker valt daarbij de naam Clare’s Law, een Britse wet waarmee politie-informatie over het geweldsverleden van (potentiële) partners kan worden gedeeld, wordt daarom steeds vaker besproken.

Zorg & Sociaal

Remedies tegen niet tijdig beslissen

Met enige regelmaat krijgen wij de vraag wat een burger of een bedrijf kan doen als een bestuursorgaan niet binnen de wettelijke beslistermijn een besluit neemt. Zo kan het voorkomen dat een bestuursorgaan niet tijdig beslist op een vergunningaanvraag voor een bepaald project, zoals de bouw van woningen, een zonnepark of een datacenter. Ook komt het geregeld voor dat een bestuursorgaan niet tijdig beslist op een bezwaar dat tegen een vergunning is gemaakt. Als gevolg van dit alles kan een project aanzienlijke vertraging oplopen.

Omgeving

EU-wetswijzingen 'digitale omnibus' zorgelijk voor grondrechten

Vandaag publiceert de Europese Commissie een voorstel om de digitale EU-regelgeving te versimpelen, de zogenaamde digitale omnibus. De verordeningen over AI en gegevensbescherming vormen daarin een belangrijk onderdeel. Het College voor de Rechten van de Mens signaleert een zorgwekkende afzwakking van de bescherming van grondrechten in het omnibusvoorstel.

SER: ‘Stabiele koers en samenwerking essentieel voor toekomst Nederland’

Stabiel beleid en brede samenwerking zijn onmisbaar om Nederland door de grote transities van deze tijd te loodsen. Dit vormt de kern van de brief van de Sociaal-Economische Raad aan de informateur en het nieuw te vormen kabinet. Ook bij een volgend kabinet staat de SER graag klaar om als bondgenoot van de politiek samen een brede welvaarteconomie op te bouwen die toekomstbestendig is en waar iedereen in Nederland van profiteert.
Meer nieuws