Subscribe
Share
Share
Embed
In de podcastreeks gaan we onder leiding van presentator Rens de Jong met bestuurders, wetenschappers en experts in gesprek over maatschappelijke en economische thema's. Daarbij analyseren we het systeem, identificeren we problemen en onderzoeken we wat nodig is om duurzame vooruitgang te realiseren.
00:00:20
Speaker 1: Gegevens van burgers of klanten die op straat komen te liggen door een hek. Het moet een nachtmerrie zijn voor de mensen die getroffen zijn, maar ook voor bestuurders. En zo bleek laatst maar weer een data bridge is zo gebeurd. Het gebeurt natuurlijk niet dagelijks, maar de dreiging wordt wel steeds groter. Eén op de vijf Nederlanders is al slachtoffer, maar veel organisaties hebben nog geen goed plan klaarliggen voor als het echt misgaat. Hoe kunnen we weerbaarder worden? Welkom bij de Vooruitgang aan tafel, de podcast van Berenschot met mij, Rens de Jong, waarin we kijken naar systemen die schuren en oplossingen die ontstaan. Jawel, aan tafel. En vandaag cybercrime. Het is al lang geen Hollywoodscenario meer. Afgelopen jaar zagen we luchthavens die plat lagen door cybercrime. Openbaar Ministerie was wekenlang digitaal onbereikbaar. In Antwerpen konden geen operaties worden uitgevoerd vanwege een cyberaanval. En heel recent nog. Er zijn miljoenen accounts gelekt van Odoo. Mijn eerste gast is Stan Duif. Hij is hoofd operatie en cyber bij de Landelijke Eenheid Opsporing van de Nederlandse politie. 111 team dat cybercriminelen opspoort, maar ook probeert het een en ander te voorkomen. Standaarden. Welkom. Leuk je te zien. Ja is goeiemorgen. Uh. Jullie zeggen uh 2026 is een kanteljaar als het gaat om cybersecurity of cyberveiligheid in Nederland. Waarom is het een kanteljaar? Nou, wat wij zeggen is eigenlijk.
00:01:43
Speaker 2: Dat er een soort van voortdurende kanteling bezig is. Als je terugkijkt op 2025, hebben we door een aantal cyberaanvallen of cyberproblematiek toch echt verstoring gehad van belangrijke infrastructuur in Nederland. Denk bijvoorbeeld aan onderwijs wat dagen plat heeft gelegen, bijvoorbeeld de TU in Eindhoven. Als je kijkt naar betalingsverkeer wat een hele tijd onbruikbaar is geweest. En zo kan ik nog wel doorgaan van een aantal grote incidenten in 2025, die maken dat we voortdurend in die kanteling zitten. En het jaar is nog niet begonnen. En nou ja, sla de kranten daar op na. Er zijn al een aantal grote incidenten geweest die ook dit jaar alweer tekenen.
00:02:18
Speaker 1: En wat is dan een worst case scenario waar jullie als politie rekening mee houden?
00:02:22
Speaker 2: Nou, worst case scenario vind ik wel het voorbeeld van een datalek van afgelopen week bij audit O. Iedereen heeft het kunnen lezen in de media, uh, klantgegevens van miljoenen mensen gelekt. En dat zijn eigenlijk allemaal weer individuele potentiële slachtoffers van andere vormen van cybercriminaliteit. En dat is een worst case scenario voor ons als politie.
00:02:38
Speaker 1: Ja, gek dat het eigenlijk niet de hele dag op de voorpagina staat, toch?
00:02:41
Speaker 2: Nou, het is uitvoerig in de media geweest en al onze aandacht geeft.
00:02:43
Speaker 1: Maar daarna is het ook wel weer, weet je wel. We hebben de aandacht voor jeugd. T is weg, ja en ja. En daarna uh, dan gaan we weer door met de Olympische Spelen.
00:02:49
Speaker 2: Ja, ik begrijp je. Ik begrijp je opmerking ook. En en dat, dat is ook het lastige bij deze cyber dreiging. En die cybercriminaliteit, dat is voor mensen eigenlijk redelijk onaantastbaar. Tot op t moment dat je zelf slachtoffer bent. En dan beheerst het je leven. Dus in dat opzicht proberen wij als politie ook wel. Dat is ook de reden waarom ik hier bijvoorbeeld zit, dit onderwerp echt onder de aandacht te brengen, omdat dit een dreiging is voor elke individuele burger in Nederland.
00:03:09
Speaker 1: Ja, onze andere gast is Luuk Stadhouders, strategisch adviseur teamlead bij Berenschot. Jij gaat je praten over cybersecurity en weerbaarheid. Ja, en we hebben elkaar gesproken. Jij zegt Eigenlijk hebben heel wat organisaties geen idee van de dreiging en de kwetsbaarheden. Ik viel van mijn stoel. Ja, als je ze dat verhaal van Stan hoort, dan denk je ja, dat zou toch in de top vijf van prioriteiten moeten liggen? Nou, dat het staat op de op de agenda van de World Room dus. Dus in dat opzicht is er aandacht voor. Tegelijkertijd het echt inschatten van risico's is en blijft lastig. Het is lastig te kwantificeren, maar bovenal heb je tal van risico's waar je wat mee moet. En ja, dan heb je het met elkaar een een enorme lijst waarin je soms ook wat relatief kleine risico's hebt, maar die potentieel grote impact gaande kan hebben. En dan kies je dus soms voor om dat risico dan toch te accepteren. Als dat al bewust bewust gebeurt. Ja, maar daar zit het punt hè. We we. Accepteren we die risico's omdat we erover nagedacht hebben of omdat het niet hebben gezien? Ja, bestuurders willen zeggen risico's te willen weten, maar als ze het echt weten, dan moeten ze er ook wat mee. Dus dat, dat maakt ook dat ze soms ook die keuzes dan toch maar een beetje vooruit schuiven of wat minder expliciet maken. Ja goed, laten we over oplossingen aan tafel gaan praten voordat we helemaal de de materie induiken. Ik zoek even een een echte overtuiging, Stan. Ja, een een stevig geloof in deze hele discussie van jongens. Dat. Dat is iets wat we, ja, waar ik echt in geloof dat we moeten doen bijvoorbeeld.
00:04:34
Speaker 2: Nou, als ik er dan toch eentje moet kiezen, zou ik zeggen wil je dit echt kunnen aanpakken? De cyber dreiging die er is en de cybercriminaliteit die er is, vraagt dat, zoals wij dat noemen, voor een rol society approach. Kijk, de reikwijdte van het politiewerk is geen oplossing. Politiewerk kan helpen. Is er een pleister? Soms voor bloeden en soms gelukkig ook nog wel? Kunnen wij wel meer doen dan dat? Maar wil je hier echt een vuist tegen maken. Deze. Tegen deze tegen problematiek heb je de overheid nodig, heb je bedrijfsleven nodig en elke individuele burger nodig. Dus dat is echt een overtuiging die ik heb.
00:05:05
Speaker 1: Ja en. Maar wat betekent dat dan? Dat we dat we iedereen er bewust van moet zijn? Is dat wat je zegt dan?
00:05:09
Speaker 2: Ja, iedereen moet er bewust van zijn en moet ook verantwoordelijkheid gaan nemen. Dus het bedrijfsleven heeft verantwoordelijkheid neemt, maar ook zoals wij hier zitten als individuele burger, inwoner van Nederland moet je nadenken over van waar laat je je data achter, hoe gebruik je je data en hoe bewust ga je om op het moment dat je actief bent op het internet?
00:05:25
Speaker 1: Luc Jouw stevige overtuiging Ja, ik kan hier alleen maar op aansluiten. Maar het. Het. Het feit dat er incidenten plaatsvinden, dat weten we. De impact of de gevolgen daarvan, ja, daar zit uiteindelijk een Een deel van de oplossing. En daar ligt ook een keuze in. Waar laat je je gegevens achter? Maar wat betekent dat ook voor de organisatie in het nemen van van hun maatregelen? Wat is eigenlijk de pakkans van een cybercrimineel?
00:05:46
Speaker 2: Nou, de tijd dat cybercriminelen anoniem blijven is voorbij. Dus we hebben echt afgelopen jaren laten zien dat we deze cybercriminelen kunnen ontmaskeren en zichtbaar kunnen laten zijn. Aanhouden van deze verdachte is wel een stuk lastiger dus.
00:06:00
Speaker 1: Want ze zitten niet in Nederland.
00:06:01
Speaker 2: Nou, vaak zitten ze niet in Nederland. Ze kunnen ook in Nederland zitten, maar ze zitten. Soms zitten ze ook in andere landen zoals uh uh in in de VS. Uh. Een grote uh groepering is called Spider uh, die actief is geweest in de United Kingdom in Engeland. Daarvan zijn de verdachten gewoon in Engeland aangehouden. Dus uh, zeg niet uh, zeg nooit nooit. Maar ze zitten ook regelmatig in landen zoals Rusland. En uh. Daar is een rol onder de huidige omstandigheden ontzettend moeilijk om een verdachte uh aan te halen.
00:06:26
Speaker 1: Mijn mijn beeld. Maar misschien corrigeer me, ik heb t idee dit is een een crime. You can get away with.
00:06:32
Speaker 2: Uh dat ideeën is er en wij bewijzen gelukkig meer en meer echt het tegendeel. Voorbeeld Wij draaien een grote operatie. Operation Endgame heet deze operatie. En elke keer als er een nieuw seizoen uitkomt, dan bedraagt deze operatie één of twee keer per jaar met allemaal verschillende internationale agencies.
00:06:49
Speaker 1: Wat is dat dan? Een een, een uh, Is dat een echte operatie.
00:06:52
Speaker 2: Is een grote operatie waarin wij vaak botnet, uh en uh en en info silo's ontmantelen. En we maken. Op die website maken we dan ook altijd zichtbaar wie de verdachten zijn. En die spreken we ook echt aan. Met bepaalde filmpjes spreken we ze aan voor we weten waar je bent. We weten waar je zit, je. We kunnen je misschien nu niet aanhouden, maar je hebt wel een keuze te maken in je leven. Ga je je hiermee door, dan kom je een keer aan de beurt en houden we je aan. Of neem je nu een afslag en stop je met deze vorm van criminaliteit?
00:07:15
Speaker 1: Ja, ja, maar dat is dat tot hoogst haalbare dan. Dus een video maken van iemand die je in Rusland ziet, dat is dat is het dan toch?
00:07:21
Speaker 2: Nou, op dat moment weet dat hele criminele ecosysteem dat wij de deze persoon ontmaskerd hebben, waardoor die ook een stuk minder populair wordt om mee samen te werken. Dus we maken er echt wel daadwerkelijk impact mee.
00:07:31
Speaker 1: Ja, ja. Wordt het ook professioneler? Alle aanvallen, Het wordt.
00:07:35
Speaker 2: Professioneler. Gelukkig worden wij ook steeds professioneler, dus dat loopt samen op. Maar wat vooral? Kijk, dit is een criminaliteitvorm die echt de schaal is. Dus als je een straatroof pleegt, dan maakt doe je een overval, neem je een telefoon, portemonnee geld mee en dan heb je. Ja, schaal dat maar eens na honderdduizend slachtoffers. Nou, dan ga je het heel druk krijgen hè? En hier, in deze vorm van criminaliteit, kun je heel snel die schaalsprong maken naar duizenden en soms zelfs miljoenen slachtoffers.
00:08:03
Speaker 1: Helpt het daar in we in die schaal bereiken?
00:08:06
Speaker 2: Ja, we zitten eigenlijk aan die vooravond dat AI echt zeg maar geïncorporeerd wordt in deze criminaliteitsvorm. En de verwachting is zeker dat het verder zal gaan opschalen. Dus nou ja, in dat opzicht alle hens aan dek.
00:08:18
Speaker 1: Ja. Luuk Ja, jij werkt ook veel voor gemeentes in onder andere de waterschappen. Zorg, Onderwijs. Ja. Als we het nu hebben over die die kwetsbaarheid die Stan hier aangeeft, hoe is het gesteld met met deze overheids en semi-overheidsinstellingen? Ja, het is natuurlijk lastig om in algemene zin iets over te zeggen. Je ziet dat het echt volwassen organisaties zijn die ook echt wel in staat zijn goed, uh, goed weerbaar te zijn. En de andere kant van het spectrum is dat er in sommige organisaties ook echt nog wel problemen hebben om echt, maar de, ja, de basismaatregelen ook ook te nemen. Welk inzicht hebben ze dan niet? Dat is dat licht op verschillende niveaus. Dat dat begint met soms het bewustzijn aan de top van een organisatie, dat ze überhaupt een een bedrijfs probleem hebben en dat het dus niet alleen iets is van de IT organisatie of van de security club. Dus daar begint het vaak al al mee. Het tweede en minst zo belangrijk is ook echt wel het inzicht in je eigen infrastructuur, je eigen processen. Wat doe je eigenlijk als als organisatie? Ik heb het gevoel dat heel veel aan elkaar geknoopt is waarom we als systemen draaien. En sinds de jaren negentig zijn we alles heel handig aan elkaar aan het knopen gegaan. En dat maakt het natuurlijk wel weer kwetsbaar. Of zie ik dat verkeerd? Ja, de infrastuur is inherent gekoppeld om er gebruiksgemak en en connectiviteit te hebben en het beperken daarvan, want dat is toch vaak hoe ook security wordt en wordt gezien, maakt dat daar een afweging gemaakt moet moet worden. Als die bewust wordt gemaakt en bewust voor gekozen om om bepaalde dingen wel open te zetten, dan is dat is dat prima. Tegelijkertijd zie je dat dat vaak niet in beeld is en daardoor een risico.
00:09:46
Speaker 2: Maar ik zeg ik ik snap het ook wel. Want kijk, als je kijkt naar die gemeentes, uh kijk naar middelgrote gemeentes waar ze vandaan komen. Die digitalisering wordt in één keer onderdeel van je bedrijfsvoering. Van de manier hoe je zo'n gemeente bestuurt met elkaar. Je hebt steeds meer data, dus je ontsluit steeds meer data van de mensen die bij je wonen. Dat gaat van BSN nummers tot paspoortgegevens naar alles, noem maar op. Want we willen.
00:10:07
Speaker 1: Ook meer met burgers delen, ook meer.
00:10:09
Speaker 2: Je dienstverlening wordt digitaal, dus je weet steeds meer over die mensen in je gemeente. Maar ondertussen wordt de waarde van wat je in huis hebt ook steeds belangrijker voor criminelen. Want die waarde, die zorgt ervoor dat je af te persen bent, dat die data verkocht kunnen worden. En dan moet je ook in één keer gaan denken aan cybersecurity. En dan ben je een middelgrote gemeente met een beperkt budget. Elk jaar heb je al de grootste discussies over waar moet je je centen aan uitgeven? En dan? En dan moet je hier in één keer een fikse post voor gaan inrichten. En daar worstelen gemeenten mee. Ik snap dat heel goed en daar hebben we echt iets ook met elkaar te doen. Uh. En we hebben uh, National Cybersecurity Center die daar iets in kunnen betekenen, maar ook misschien wel de combinatie tussen kleine gemeenten en grote gemeenten die daarop kunnen samenwerken. Ja, en.
00:10:48
Speaker 1: Als het misgaat, wat? Wat gebeurt er dan? Trekken organisaties aan de bel of hoe gebeurt zoiets? In het beste geval Wel zeker. Wat is dit geval? Ja zeker. De wat meer volwassen organisaties realiseren zich dat ze, ja ook op dat soort momenten hun kwetsbaarheid moeten moeten tonen En daar dan toch ik ook met met de billen bloot moeten dat er iets heeft, heeft plaatsgevonden. Dat is uiteindelijk ook wel de beste strategie, maar even het beste. Dat is het beste geval dus. Heel vaak gebeurt dat dus niet. Nou ja, ik denk dat De Standaard misschien beter iets over kan. Ik word er bijna aan de bel getrokken op t moment dat het gaat.
00:11:16
Speaker 2: Let op bij kijk bij. Ook bij cyber. Weet je, soms denk je oh, we zien, er is iets mis, maar je hebt geen idee wat er dan gebeurt. Dus dat kost tijd. Ja dus soms hebben we organisatie ook even tijd nodig om er achter te komen. Vooral ook soms nog wat organisaties die wat minder volwassen zijn op dit gebied. Wat zijn er ook van, Ben ik nou slachtoffer geweest en hebben ze überhaupt iets weg kunnen nemen? Of zijn ze alleen aan de voordeur geweest? Hebben we even rondgekeken en zijn ze weer weg.
00:11:39
Speaker 1: U ziet het, in een normale braak zie je gewoon dat uh dat de deur draait.
00:11:43
Speaker 2: Precies. En dan loop je naar binnen toe en dan zien ze jij bij m'n tv's van de. Want ja. Dus die hebben ze meegenomen en dat kun je binnen enkele seconden. Heb je die waarneming gedaan? In Sybil is dat soms wat lastiger, of moet je hele analyses maken van de data die daarachter schuilgaan, Dus ze hebben vaak wat meer tijd nodig.
00:11:59
Speaker 1: Er zit denk ik ook wel iets anders onder. Ik denk als je het niet helemaal zeker weet, dat je denkt nou, ik ga de politie nog niet bellen. Reputatieschade. Ja, en dat dan.
00:12:08
Speaker 2: En dat is bij een gemeente weer anders dan bij een bedrijf waar het commerciële belang voorop staat. Je wil niet in de media, je Je denkt van ja, als ik er meer gehoor aan geef, worden we misschien alleen maar groter, houden we niet meer in de hand. Ja, maar ook daar zit een soort van misvatting onder. Wij denken echt Als we als. Je moet direct de politie bellen. Wij komen naar je toe. We. We kunnen direct starten met forensisch onderzoek en op het moment dat je ons in huis haalt, betekent echt niet dat je er al direct ruchtbaarheid aan geeft. Dat kan discreet, dat kan. In goed overleg kunnen afspraken over gemaakt worden. Want vergeet niet als wij, als wij een week of twee weken later binnenkomen, dan zijn er direct forensische sporen waar we niet meer bij kunnen, waar we niks meer aan hebben en kunnen we ook wat minder aan de zaak doen. Dus wil je ook echt? Ons. Wil je ook echt serieus aandacht van de politie? Moet je ons ook serieus nemen en direct bij ons gewoon.
00:12:52
Speaker 1: Meteen bellen En dan komt er ook echt daadwerkelijk iemand breekt zeggen ja, ja ja ja. En ik ken ook casuïstiek waarbij inderdaad politie direct betrokken is is geweest. Waarbij ook echt daadwerkelijk is voorkomen dat data nog verder uiteindelijk is is weg gelekt en daar dus ook tijdig met een ISP, een service provider hostingpartij ook echt wel een stop op is is geweest en zo de impact dus uiteindelijk toch kleiner is geworden. Wie zijn die types die aanvallen dan?
00:13:15
Speaker 2: Ja, dat is dat. Dat is niet zomaar in een bepaald vakje of hokje te proppen. Dat is zeer gevarieerd. We hebben cybercriminelen die dat doen vanuit een soort van activistisch oogpunt, met de DDoS aanval om iets stil te leggen. We hebben bijvoorbeeld ransomware criminelen die het echt doen voor het financiële gewin, dus die ontsluiten data en filtreren dat en persen je daarna af en zeggen van nou, je moet 1 miljoen betalen, dan krijg je terug en anders verkopen ze op het internet. We hebben data. Die dieven zijn er, criminelen die. Die halen gewoon de data bij je weg en bied het op Dark web aan. En probeer daar gewoon zoveel mogelijk geld voor is.
00:13:49
Speaker 1: Is er geld te verdienen is zou ik zeker.
00:13:51
Speaker 2: Zeker als je op Dark Web gaat kijken worden continu datasets aangeboden. Daar gaat het gewoon. Dat is gewoon een levendige handel. En hoe sensitiever de data. Als het gaat om bijvoorbeeld medische gegevens van hele grote groepen Nederlanders, dat is gewoon heel veel geld.
00:14:03
Speaker 1: En waarom is dat veel geld waard?
00:14:04
Speaker 2: Nou ja, die data kun je weer gebruiken om allemaal die mensen die daar in zitten vervolgens slachtoffer te maken van bepaalde fraude delicten of phishing of andere andere type data. En daar zitten soms ook personen in waarvan het toch voor inlichtingendiensten bijvoorbeeld Heel interessant om te weten wat de exacte data zijn. Dus dat was dus de laatste categorie om mijn zin even af te maken. Ja, we zien ook steeds meer vermenging tussen criminelen en statelijke actoren. Die status en kantoor zijn er ook achter gekomen dat je op het digitale aspect veel meer informatie kan kan vergaren, dan dat je nog in het openbare domein beweegt. Dus die kopen ook gewoon die datasets om hun inlichtingenpositie te versterken.
00:14:41
Speaker 1: Ja, zo'n breach he, Hoe verloopt dat eigenlijk? Ja. Dus waar je mee begint is uiteindelijk altijd Initial Access verkrijgt dus echt toegang tot de tot de omgeving. En dat begint ook vaak aan de randen van een van een netwerk. In veel gevallen is dat toch nog steeds phishing in de vorm van het verkrijgen van credentials, username, password, om uiteindelijk dan dan binnen te komen. En dan zijn er eigenlijk twee dingen relevant. Één Je wilt toegang behouden persistence. En twee uiteindelijk ook meer rechten krijgen. Dat je uiteindelijk een soort van gold mode kunt krijgen in de infrastructuur hier. Je kruipt langzaam richting de system admin. Toch heb ik het gevoel dat je gaat door Is. Is dat zo?
00:15:18
Speaker 2: Ja, nee, maar dat is als je wilt die positie hebben dat je ook echt daar wat kan doen in dat netwerk. Dus je hebt een bepaalde autorisatie nodig. Dus precies wat Luuk zegt. Je probeert eerst toegang te krijgen. Die toegang kun je tegenwoordig ook gewoon op het internet kopen hè. Dus er worden gewoon toegang plekken aangeboden met bijvoorbeeld botnet, met hele netwerken van geïnfecteerde computers waar de toegang al is verschaft. En dan kun je je gaan begeven in dat netwerk en probeer je dus rechten te verwerven om daadwerkelijk ook dingen te veranderen of data te exploreren.
00:15:45
Speaker 1: Ja, ja ja en en dan de de de de. Dan zit je binnen. Ik heb wel eens gelezen. Een crimineel blijft het liefst zo lang mogelijk binnen staan. Het is alsof de crimineel bij je thuis achter de gordijnen blijft staan en is met je rondkijkt. Hee, wat zie ik hier allemaal? Is dat inderdaad zo? Ja, dus dat de in. In de kern is dat inderdaad wel. Dus als je stelt voor je komt een huis binnen, je weet zo'n beetje wel waar je de sleutels vindt en en waar de waardevolle spullen liggen. Het hangt wel af van het motief van zo'n dader. Dus daar waar het gaat over het verkrijgen van bijvoorbeeld met met geldelijk gewin toegang tot de tot systemen. En dan wil je eerst weten wat zijn zo'n beetje de kroonjuwelen? Anderzijds zie je ook wel, zeker als het gaat over meer duurzaamheidsvraagstukken, meer de operationele technologie, de bruggen sluizen waar we dan mee te maken hebben. Dan heb je ook te maken met motieven als ontwrichting en en disruptie. Ja, en dan is het soms ook zo snel als mogelijk En best veel lawaai binnen binnen knallen en dingen wegtrekken. Ja ja. Goed.
00:16:38
Speaker 2: Ja, ja, je ziet uh, precies wat Luc zegt. Uh, het is gewoon elke crimineel of elke staat heeft zijn eigen strategie daarin. Sommigen gaan naar binnen en gaan rustig in een hoekje zitten en worden pas een jaar later actief, zodat ze tot op de teksten niet worden opgemerkt en anderen denken. We zijn nu binnen. We worden waarschijnlijk opgewekt door het zegt We pakken wat we pakken kunnen en zo snel mogelijk weer weg. Dus dat is gewoon echt vaak afhankelijk van de van de doeleinden die je hebt als crimineel.
00:17:02
Speaker 1: Goed, even samenvatten hè? Het probleem is best groot en best grimmig. We zijn er niet altijd klaar voor, dus we moeten richting de oplossingen. Maar eerst wilde ik eventjes naar een klein intermezzo toe. Namelijk Heb een paar dilemma's voor jullie bedacht. Dat is sowieso verstand, maar ook voor Luuk. Eerste dilemma. Stan Ik heb hier een klein maak bedrijf wordt gegijzeld. Ransomware. De hackers vragen een half miljoen. Ze kunnen niet aan het werk. Het bedrijf kan het betalen en ze hebben ook een verzekering. En jij wordt snel gebeld. Wat doen we? Losgeld betalen zodat we weer aan het werk kunnen of niet? De criminelen financieren? Ja, ja.
00:17:41
Speaker 2: Nou, dat is ook afhankelijk van of je, als je niet betaald. Hoe belangrijk zijn die data voor je bedrijf? Dus ben je dan failliet of niet? Dus ik, wij zeggen als politie eigenlijk altijd betaal niet omdat je dan een crimineel. Ecosystemen. Waar willen we ons.
00:17:53
Speaker 1: Aan het werk? Ik heb hier dertig man op de payroll staan.
00:17:56
Speaker 2: Ja, ja. Dus vanuit het perspectief van de ondernemer snap ik de afweging dat je soms kiest om te betalen. Je kan het betalen en dan krijg je je data terug. Wat ik sowieso zou adviseren bel ons direct. Wij kijken mee bij de onderhandelingen. Kijk direct of Francis sporen kan veiligstellen en dus niet de laatste keer dat wij. Of het is niet niet de eerste keer dat wij ook uiteindelijk kunnen zorgen dat de betaling terugkomt bij het getroffen bedrijf.
00:18:20
Speaker 1: Je volgt de bitcoins of zoiets. Of ja, we.
00:18:22
Speaker 2: Hebben daar een methodiek voor. Uh uh. En we hebben uh, vorig jaar nog een heel groot Nederlands bedrijf Schadeloos uh kunnen stellen door ze in contact te brengen met de Amerikaanse overheid. Die die die die crypto hebben teruggevonden.
00:18:32
Speaker 1: Oké.
00:18:33
Speaker 2: Dus. Dus dat is ook een reden om ons direct te bellen.
00:18:35
Speaker 1: Als je in die onderhandelingen zit. Bel ook de politie. Die moet dan sowieso. Ja, goed. Uh Er staan anderen en een bedrijf komt erachter dat het ICT bedrijf dat ze hebben ingeschakeld als leverancier nog wat zolder en nog wat servers op een zolderkamer hebben staan. Moet je eisen van dit bedrijf? Ik wil betere dienstverlening. Of moet je je verlies nemen en zeggen hier ga ik nooit meer iets mee doen?
00:18:57
Speaker 2: Ja, ik zou er niks meer mee doen. Nee, nee.
00:18:59
Speaker 1: Kom je tegen.
00:19:00
Speaker 2: Ja, ik persoonlijk niet zo. Nee, nee nee.
00:19:02
Speaker 1: Kom, jij gaat geregeld dus. Dus uh, daar zie je uh, uiteindelijk de uh, de D. J Je bent zo sterk als als een zwakke schakel in de keten. Uh en en dat betekent dus ook dat je zicht moet hebben op je, op je leveranciers. En dat betekent juist voor die kritieke processen die je dus hebt. Ja, als daar dus inderdaad zo'n bedrijf op een zolderkamer met twee ronkende servers dat dat doet. Maar dat gebeurt dus echt. Dat gebeurt. Ja, ja, ja, ja.
00:19:24
Speaker 2: En daarin zie je ook gewoon dat bedrijven steeds meer in die supply chain aan het kijken zijn van ja God, als ik met jou of met met met met met dat bedrijf zaken wil doen, hebben we bepaalde vereisten waar je aan moet voldoen voordat, voordat je deel mag uitmaken van die supply chain. En dat is natuurlijk ook altijd de afweging van is het product zo uniek of niet? Dan kun je daar ook wat flexibeler mee omgaan. Maar wij adviseren ook echt altijd als politieman. Kijk nou ook naar de bedrijven in je supply chain, want je bent zo sterk als de zwakste schakel.
00:19:50
Speaker 1: Ja, even Luuk, eentje voor jou. Een gemeente wil af van Microsoft. Ja toch? Interessant hè? Tegenwoordig met hele weerbaarheidsdiscussie. Maar opeens overstappen betekent wel twee jaar migratie project 5 miljoen misschien wel meer. In die tijd zijn we kwetsbaarder dan ooit, want we gaan met twee systemen draaien, et cetera. Of je blijft gewoon lekker bij Microsoft, waar ze ook een heel groot security team hebben. Ja, ja, een duivels dilemma is dat. Zeker weten. Ja. Dus. Kijk, als het gaat over autonomie. Autonomie betekent vrijheid. Keuzevrijheid om te kunnen doen wat je wat je wilt doen. En afhankelijkheid is daarbij, zeker als het als er incidenten kunnen plaatsvinden, natuurlijk nooit een nooit te goed vertrekpunt. Dat betekent dus de ongemakkelijke waarheid. En dan toch inderdaad die die twee jaar die je dan even schetst. Ik vermoed dat het langer is met alle koppelingen die er die er zijn. En het kostenplaatje idem dito. Dat daar wel stappen in gezet moeten worden. Maar sowieso, die hele rush naar zo'n rush weet ik niet. We praten er veel over. We moeten onafhankelijker worden van Amerikaanse providers. Is het ook niet gewoon een cyber risico? Want die Amerikaanse providers hebben heel veel ervaring, hebben hartstikke goede cyber mensen in dienst. Nou, in Nederland moet alles nog gewoon opbouwen. Ja. Nee. Ja, 100% en het. Het manifesteert zich nu met name rondom die Big Tech. We hadden het net over de leverancier op zo'n zolderkamer. Ook daar ontstaat een afhankelijkheid. Dus in. In de breedte moet je gaan kijken naar wat zijn je leveranciers, waar zit je afhankelijkheden ook ook in. En een afhankelijkheid betekent een risico en daarmee dus 111 Veiligheidsraad.
00:21:20
Speaker 2: Als ik dan nog op sommige aanvullen. We hebben bijvoorbeeld even het vergelijk met de coronacrisis. Toen zagen we hoe kwetsbaar we eigenlijk waren als land. Op het moment dat je bepaalde middelen nodig hebt en medicijnen nodig hebt van werelddelen die dan eerst voor zichzelf gaan zorgen en jij dus ook gewoon niet capabel bent om echt te zorgen dat het in je eigen land op orde komt. Zo moet het volgens mij ook zien op het gebied van uh, van data, technologie, cyber. Dat je zegt wat zijn nou echt cruciale processen en wat geef je niet aan je buurman? Of besteedt je uit, Maar zeg je moet je echt zelf hebben daar. Want in deze discussie hoort wel wat nuance, want er zijn ook heel veel dingen die we op dit moment helemaal niet zelf kunnen, waar we nog tien jaar voor nodig hebben. Nou, maak dan gewoon goede afspraken met toeleveranciers uit de US of uit andere werelddelen. Maar kijk, wat zijn nou echt je kroonjuwelen die je zelf bij jezelf vrienden moet zijn? En zorg dat je die als Nederland goed goed uh kunt.
00:22:10
Speaker 1: Uh, die kroonjuwelen. T Is dus mooi Opstapje richting oplossingen. Uh uhm uh uh Luc uh. Hier zit een manager te luisteren van een overheid en semi-overheid. Die dingen. Mmm, ik schijn daar nog niet helemaal t zicht op te hebben en dat schijnt van Luuk wel te moeten. En van ja is dan ook uh, waar moet je beginnen? Ja, dat begint dus met met inzicht, Inzicht in je, in je processen. En ik zeg met nadruk processen. Wat doe je als als organisatie en vervolgens zicht te krijgen op wat? Wat ondersteunt die je, die processen? Wat zijn dan die IT afhankelijkheden? Maar ook eigenlijk breder, dus ook in interne processen over. Heel simpel voor mij. Dan maak je paar keer een heel groot A3 tje en dan ga je intekenen. We hebben die computer daar, die dat we. Laten we een gemeente pakken, Burgerzaken, paspoort verstrekken uitkeringen en. En zo heb je een een tiental processen. Als je die weet te prioriteren, kom je tot een top tien van je processen die eigenlijk altijd doorgang zouden moeten vinden. Ja, wat heb je daarvoor nodig? Mensen, middelen, IT. En uiteindelijk zijn er allerlei risico's. Dreigingen die potentieel ertoe kunnen leiden dat bijvoorbeeld je IT om. Maar dat is. Dat is redenerend vanuit welk proces moeten door blijven gaan. Je kunt ook redeneren vanuit. Waar zit de meest kritische en waardevolle informatie? Ik neem aan dat je dat ook in kaart moet brengen, toch? Zal nog niet.
00:23:20
Speaker 2: Zeker. Maar ja, we noemen dat business contour management. Zeg maar dat de continuïteit van je bedrijf moet doorgaan. En dat is terecht. Wat Luuk zegt. En die in die top tien van je processen als voorbeeld, kun je ook gewoon in opnemen. Waar zit je meest waardevolle informatie? Wat heb je echt te beschermen? Ja, en dat kan in die prioritering meetellen en moet je dus als bedrijf of als overheidsorganisatie altijd in beeld hebben.
00:23:40
Speaker 1: Dan heb ik dat in beeld. En dan.
00:23:43
Speaker 2: Ja, dan ga je volgens mij gewoon zo goed mogelijk kijken. Want hoe kun je dat beschermen? Uh uh En welke contracten heb ik daar onder zitten? Welke afhankelijkheden zitten daarin? En en En hoe kun je jezelf ook zo onafhankelijk mogelijk daarin daaraan maken? Zodat je kan garanderen naar de vooral van gemeenten naar je eigen gemeente toe, dat die met die continuïteit gewaarborgd is.
00:24:03
Speaker 1: Moeten we dan ook met elkaar zeggen Soms gaat het voor de medewerkers of voor de klanten. Het gaat niet makkelijker worden. Want als je het veilig wil hebben. Ik word af en toe helemaal gek van mijn tweestapsverificatie, maar ik ben wel blij dat ik het ingesteld heb. Maar. Maar ik word af en toe er wel idioot van. Ja, dat niet. Want hoe we dan ook dit moeten gaan zeggen van ja, sorry, er zit nog even een veiligheids stapje bij. Er zit een trade off tussen gebruiksvriendelijkheid en en volledige veiligheid en een volledig veilige server maken is niet zo moeilijk. Je zet m neer, doet de deur dicht en en je legt er geen lijntjes naar toe. Ik bedoel, de server is dan veilig, dus er zal altijd een trade off moeten plaatsvinden. En wat vind je als organisatie goed genoeg? En welk risico ben je dan ook bereid bij te nemen? Simpele basisgegevens zoals dubbele twee factor autorisatie. Er zijn toch wel de minimale varianten die je dan moet inzetten. Als het misgaat, moet je dan ook een soort rampenplan hebben klaarliggen? Als er een hack is of wat dan ook. Ja. Ja. Dus dat de systemen liggen. Volmondig ja En En dat moet daarin staan. Ja, ik, ik, ik maak zelf wel het onderscheid in in grofweg drie onderdelen. Dus je hebt echt te maken met je incident gesponsorde initiële reactie als er iets mis gaat, dat er ook ogenschijnlijk klein zijn. Maar dan moet je wel adequaat op reageren. Goed in beeld krijgen. Wat speelt er, wat speelt er dan uiteindelijk? Dat ook kunnen opschalen naar een echt daadwerkelijke crisis. Dus als een organisatie is dat met mensen hebben, dan een lijstje met mensen of uh ja. Dus we trekken alle kabels uit de computers. Wat? Wat staat daarop? Wat mij betreft is de minimale basis een software, een A3 tje, een scenario kaart waarbij je weet nou ja, als dit speelt dan gaan we en dan ligt dit plat. Dan zijn dit de mensen die we bellen en dan moeten we dit als eerste gaan gaan doen. En daar begint het vak toch wel erg goed in. Goede voorbeelden.
00:25:35
Speaker 2: Nou zeg, zo'n stappenplan. Dat heb je gewoon nodig. Ja dus jij hoort een melding doen bij de Autoriteit Persoonsgegevens. Je belt de politie. Uh, Je laat je incident response binnenkomen. Uh. Maar ook uh wat? Vaak niet. Uh. T Te laag wat mij betreft. Op de lijst staat dus dat bedrijven, ook de mensen die getroffen zijn. Je hebt data van andere bedrijven of in sommige gevallen van burgers. Die heb je zo snel mogelijk hierover te informeren. En ik zie dan toch vaak dat er toch nog een week tussen zit. Ja, ja.
00:26:02
Speaker 1: En en dat is slecht, want zij zijn ook kwetsbaar.
00:26:06
Speaker 2: Op t moment dat die data geïnfiltreerd zijn, geëxporteerd zijn. Dan zijn die data waar wat over die mensen gaat, die zijn allemaal kwetsbaar van op dat moment, dus die kunnen op dat moment al mails ontvangen of meldingen op hun computer ontvangen waar ze alert op moeten zijn. En hoe eerder je als je die mensen alert maakt, hoe meer weerbaarder ze dat je ze maakt. En dat duurt, uh duurt te lang. En een ander aspect is ook nog vaak dat het gaat over medewerkers. Dus je hebt ook in je goed werkgeverschap heb je wat te doen. Je hebt de zorgen voor je mensen, dus ook hun meer bewust maken. Waar ze dan mee te maken krijgen is ook ontzettend belangrijk.
00:26:37
Speaker 1: Herken jij voorbeelden? We hoeven niet de namen rugnummers waar dat. Waar je dus ziet dat er een breach is waar je als politie snel bij kwam en waar je dacht oh, dit hier is goed of slecht over nagedacht. Over het rampenplan.
00:26:49
Speaker 2: Ja, ja, Nou, laat ik het voorbeeld pakken van de Nederlandse politie. In 2024 zijn we zelf slachtoffer geweest van een hack, onze Global Address list dus dat is de lijst met zakelijke contactgegevens was gestolen.
00:27:02
Speaker 1: En wat voor een zakelijke contactgegevens zijn dat?
00:27:04
Speaker 2: Nou, een e-mailadres, een telefoonnummer, een functienaam.
00:27:06
Speaker 1: Van.
00:27:07
Speaker 2: Van of van politieagenten? Oké. Ja, ja ja uh, dat nou is uitgebreid ook in de media geweest. Daarom kan ik daar ook vrij over vertellen. En wij kwamen er eigenlijk achter. We hadden nog nooit zo'n groot incident gehad op dat gebied binnen de Nederlandse politie, en wel door de drie processen die eigenlijk cruciaal waren daarin. De eerste was, zoals ik net al zei, onze eigen informatiebeveiliging. Je moet dus direct je incident vastpakken en je informatiebeveiliging opnieuw op orde brengen. De tweede was het informeren van je medewerkers, dus goed werkgeverschap. Die data liggen op straat. Wat zijn daar de risico's van? Dus wat kun je doen om je medewerkers daarin te beschermen en goed te informeren? En de laatste, en dat is wel bijzonder bij Nederlandse politici. Wij deden ook zelf het opsporingsonderzoek, dus we hadden de opsporing te doen wie daadwerkelijk de dader was Achter dit, achter dit incident en die drie lijnen naast elkaar, hebben wij als politie veel van geleerd en zorgt er ook voor dat als het ons nog een keer gebeurt, dat het beter weet hoe we dat moeten doen.
00:27:55
Speaker 1: En wat heb je dan geleerd?
00:27:56
Speaker 2: Nou, waar wij te weinig aandacht voor hebben gehad, is dat je die drie processen naast elkaar hebt draaien en dat er verschillende belangen in zijn. En dat wij een organisatie zijn van 70.000 mensen. Dus ook in de communicatie. Als je dat heel goed uit de lijnen hebt. En daar zijn heel veel dingen goed in gegaan, maar ook dingen die we beter hadden kunnen doen.
00:28:13
Speaker 1: Wat had je beter kunnen doen?
00:28:14
Speaker 2: Nou, ik denk dat we eerder ook naar onze medewerkers hadden kunnen vertellen dat bij een cyberincident vaak tijd nodig is om erachter te komen wat er precies aan de hand is, en dat we die context ook meegeven bij het informeren van onze medewerkers. Dat we dus niet direct in het begin exact weten wat er speelt, maar dat we ze wel alert maken van. Hou je mail in de gaten.
00:28:33
Speaker 1: En zie je. Zie jij dan dat andere bedrijven bijvoorbeeld eerst zeggen Nou, ik wil even helemaal uitzoeken wat er nou aan de hand is voordat ik mensen ga inlichten. Ja, ja, ja.
00:28:42
Speaker 2: Ja en en en. Hou er rekening mee. Dat kan soms maanden duren voordat je dat schept.
00:28:46
Speaker 1: Ja, ja ja. Luuk Ja, nou ja, je moet je realiseren.
00:28:48
Speaker 2: Dat inderdaad dat dat wel.
00:28:49
Speaker 1: De. De. De primaire reactie is. We willen weten. We willen kijken wat er aan de aan de hand is. Dat is ook de reden waarom we vanuit wet en regelgeving de AVG in. In eerste instantie al, maar nu ook met een NIST twee en de cyberbeveiligingswet. Daar wordt ook gewoon een meldplicht aan aan gekoppeld. Juist vanuit het feit om daar adequaat op te klikken. Het moet gewoon ja voor mij, dat jij zegt Stan, haal ons er vroeg bij, want we kunnen opsporen. Zeker. Wat spoor je dan op? Ik vraag me gewoon waar ga je dan naar kijken?
00:29:17
Speaker 2: Ja, ja. Nou, veel bedrijven die in ieder geval hun basis op cybersecurity goed geregeld hebben, houden ook logging bij. Dus die zien dan precies wat er op hun netwerk gebeurt. En dat moet je analyseren om erachter te komen wat er speelt.
00:29:28
Speaker 1: Maar is dat een IP adres of zo? Je weet wel.
00:29:30
Speaker 2: Dat kan een IP adres zijn, maar dat kan ook bepaalde bewegingen binnen je netwerk zijn. En probeer dat even te vereenvoudigen zodat iedereen het ook begrijpt. En onze analisten kunnen dat analyseren en kunnen dan zien wat gebeurt hier En we kunnen dat duiden en misschien ook wel malafide plaatsingen van bepaalde software in het netwerk lokaliseren. Nou, dat is echt primair voor de beveiliging van het bedrijf. Is dat niet onze taak? Dat is de taak van de incidentrespons, maar voor het opsporingsproces. Hoe eerder wij dat zien en hoe eerder wij dat weten, hoe beter we ook kunnen doorpakken daarop.
00:29:57
Speaker 1: Ja, ja, en ik wil het even hebben over leiderschap. Dit moet natuurlijk, dat gaat. Gaan jullie zeggen dit moet een boardroom issue zijn. Ja toch? Dat de de De. Maar ja, de Ja, ik maak er hoe vaak van deze uitzending maak ik al een stuk of tien. Die zeggen allemaal moet een boardroom issue zijn. Kortom het is druk En waarom moet het? Ja dit moet. Wat moet er dan in die boardroom besproken worden? Risico's. Risicomanagement, dat is in essentie kan je de risico's zien als je niet weet waar de gaten zitten. En als je je ook niet altijd helemaal kan voorstellen wat er dan precies kan gebeuren, dat het eerste wat je noemt dat.
00:30:34
Speaker 2: Dat is.
00:30:34
Speaker 1: Randvoorwaarden. Je hebt het fundament op orde, weet je processen, weet hoe je infrastructuur er uit ziet, hoe je leveranciers landschap eruit ziet. Dus dat is cruciaal om überhaupt wat metrics te hebben om daar zicht op te krijgen. Volgens mij kun jij nooit zeggen jullie zijn 100% veilig. Nee, dat kan niet. Nee zeker niet. Dus de vraag is dan dus er is altijd nee. Dus hoe kan ik dan een risico inschatten als ik nooit iemand kan zeggen dit is 100% veilig? Uiteindelijk gaat het om het zoveel als mogelijk kwantificeren van je, van je risico. En daar waar de hoogste risico's liggen, daar ook maatregelen op op te nemen. En dat betekent inderdaad dat het een wapenwedloop is. En dat je nooit de garantie kunt kunt bieden dat dat de veiligheid gegarandeerd is. Ja, weet dat er een incident gaat plaatsvinden En vandaar ook dat je dus veel meer moet gaan zitten op die op die website als organisatie. Dus zorg er dan voor. Voor een segmentatie in je omgeving. Dus als iemand binnen is, dat niet heel je organisatie omvalt. Weet dat je rondom herstel en bedrijfscontinuïteit, dat dan de juiste maatregelen ook op op te nemen. Eigenlijk zeg je ga ervan uit. In normale lekentaal De dijk zal een keertje breken. Maar dat betekent niet dat je hele land moet onderlopen. Exact. Ja.
00:31:39
Speaker 2: Ja. Ik zei ik zou, want ik ben het daar ook wel mee eens en. En vanuit dat Bodrum concept zijn eigenlijk drie dingen die ontzettend belangrijk zijn. Wij, bestuurders en boardrooms komen tegenwoordig niet meer weg met ik heb er geen verstand van, dus ze hebben ook de verplichting om zich wat meer te verdiepen in technologie en digitalisering in security. Dat zijn gewoon onderwerpen die daar, die daar thuishoren. Twee. Ben je bewust van je risico acceptatie. Dus ben je bewust van wat zijn nou de risico's die wij als bedrijf lopen? En neem ik daar verantwoordelijkheid voor?
00:32:07
Speaker 1: Hoe definieer ik risico actie?
00:32:09
Speaker 2: Nee, maar je hebt gewoon mensen in je organisatie zitten. Uh uh uh, een uh, een uh, een uh, die verantwoordelijk zou zijn van de cybersecurity. Leg daar die vraag neer. Hoe zit ons netwerk in elkaar? Waar zit onze kwetsbaarheden? Uh uh en wat hebben we daaraan te accepteren? En wat is jullie advies daarin? Dus laten we ook gewoon je organisatie daar voor je werken. Het derde punt wat ik nog uh wilde zeggen is ook en eis ook als bestuurder dat er een, een een actieplan klaarligt op moment dat je wel getroffen wordt. Dus je hoeft dan niet precies elke stap uit je hoofd te weten, maar zorg dat het plan al ligt, zodat op het moment dat je getroffen is, organisatie je kan zeggen dat plan moet op tafel, want ik ga nu leiden op basis van deze stappen.
00:32:44
Speaker 1: En je kunt niet zeggen dat ligt bij de CSO, de de. De Chief Security Officer. Veel plezier! Fijne wedstrijd. Nou ja, risicobereidheid gaat er letterlijk om hoeveel risico ben je bereid te nemen? En voor commerciële activiteiten? Dan kun je nog eens een keer een extra risico nemen, omdat het juist de benefits enorm opwegen tegen het risico dat je neemt en het voor mij dus commerciële activiteiten de de, het gemak, de gemakkelijking van klantcontact bijvoorbeeld. Dat bedoel je dan. Uh j o of dat je inderdaad een uh, een bepaalde markt wel of niet gaat, uh uh gaat pakken of uh, dat je wel of niet een bepaald product in de in de markt zet. Mmm. En als dat niet lukt, dan heb je een risico genomen. Maar daar val je als organisatie niet mee mee om. Om cybersecurity. Daar zou ik toch zoveel als mogelijk risico, bereidheid tot tot nul, Zoveel mogelijk tot nul terug terugbrengen. En dat betekent dus ook dito investeringen die daar dan dan bijhoren. Ja, wat wel lastig wordt, want het is een gevaar wat we niet altijd zien, niet altijd willen zien, toch? Jij zegt ook wel soms te willen. Bedrijven kiezen ervoor om het liever maar gewoon even niet te zien, om een beetje vooruit eruit te schuiven. Dus dan moet ik eigenlijk geld gaan vrijmaken voor iets wat ik de afgelopen tijd vooruit geschoven. Waar ik niet helemaal weet wanneer ik getroffen ga worden. Ja en en ik zie, ik zie het niet terug in gemak. Het is ja, dit is wel een ja, alleen alleen.
00:33:58
Speaker 2: Kijk waar ik nog wel onderscheid zou willen maken. Stel je voor jij maakt een product en je hebt daar kennis van te beschermen. En je kiest ervoor om dat niet te doen. Weet je, dat is gewoon de keus van de bestuurders. Ja. I don't care Als politie. Uh uh. Uh. Alleen als jij data beschermt van mensen die in Nederland wonen en er zitten sensitieve data bij, dan heb je daar verantwoordelijkheid in te nemen en ben je daar ook aanspreekbaar op. Dus daar heb je wel minder keuze. Vrijheid.
00:34:20
Speaker 1: Ja, snap ik. Ja. En we gaan afronden. Dit. Het het. Het is een cruciaal jaar, zeg je dan. Maar het is eigenlijk volop volgende cruciale jaar. Zitten we nu in exact wat? Wat zouden quick wins kunnen zijn? Of zijn er geen quick wins in deze wereld?
00:34:36
Speaker 2: Nee, dat is niet eenvoudig. Want dat ook dat digitale landschap is continu aan het veranderen. We krijgen dadelijk een grote vermenging met de artificial intelligence die een rol in gaat spelen. Kwantum gaat hier een rol in spelen, dus hoe die echt die toekomst eruit ziet, dat is allemaal niet goed te voorspellen. Ik denk dat de belangrijkste winst is, is dat we de bewustwording in die brede samenleving creëren, van burgers, overheden tot bedrijfsleven. Daarom is het belangrijk dat dit soort type podcasts gemaakt worden, dat we dat verhaal verder vertellen. Dus ik denk dat dat gewoon een belangrijk onderdeel is van ons Meer weerbaar maken.
00:35:07
Speaker 1: Ja. Luc Ja, dus ik herhaal wat ik zei inzicht in processen en. En bovenal zou ik beginnen met inzicht. Echt in je leverancierslandschap. En dan ook vooral eens te gaan kijken naar wat zijn dan je je grote kwetsbaarheden? En dat. En welke vragen stel je dan aan je leveranciers? Is dat een ISO certificaat of is dat wat? Wat is dat? T t t tweeledig dus. Één. Je wil aan de voorkant de juiste afspraak hebben. Leg dat juridisch goed vast, maar geloof het niet op de blauwe ogen, dus dan maak je ernaast. Dus bijvoorbeeld zoiets als een ISO certificering is leuk, maar juist gedurende de looptijd van van contracten moet je echt monitoren. Altijd afhankelijk van het risico van een van zo'n leverancier. Ja, hoe je uiteindelijk met zo'n leverancier omgaat. Goed, een wondere wereld. Dank voor jullie komst hier Naar de studio. We zijn aan het einde gekomen van de vooruitgang aan tafel. Voor deze keer. Luc Stadhouders Dank je wel. Strategisch adviseur teamlead cybersecurity en digitale weerbaarheid bij Berenschot en Standuif. Dank je wel. Hoofd operatie en cyber bij de eenheid Landelijke Opsporing van de Nederlandse Politie. Logisch dat je er was. Ja, wij zijn natuurlijk nog niet uitgepraat over vooruitgang aan tafel. Blijf luisteren. Vergeet je niet te abonneren via je favoriete podcast kanalen. Wil je meer? Wil je meedenken? Ga dan even naar onze website toe. WWW. De vooruitgang aan tafel. Mijn naam is Rens de Jong. Graag tot de volgende keer. Dag.