“Data is het nieuwe goud, ben je daarvan bewust en zorg dat het goed beschermd is.”
Generaal bd. Dick Berlijn was tot april 2008 belast met het bevel over de Nederlandse krijgsmacht. Na zijn militaire carrière was Berlijn adviseur bij Deloitte waar hij zich bezig hield met cybersecurity. Daarnaast was hij werkzaam bij verschillende organisaties als adviseur of toezichthouder op het gebied van veiligheid, crisis- en risicobeheersing, leiderschap en digitalisering. Momenteel is hij werkzaam als Associate Partner bij Hague Corporate Affairs en is daarnaast onder andere lid van de Internationale Adviesraad van TeledyneFlir, HAL24K, Subsolar Energy en MMOX. Actueel nieuws vroeg hem onder andere naar de risico’s op het gebied van cybersecurity en naar zijn kijk op de oorlog in Oekraïne.
Kunt u iets vertellen over uw loopbaan nadat u bij Defensie bent gestopt?
“Na mijn tijd bij Defensie heb ik me bij Deloitte ingezet op het gebied van cybersecurity. Daarna ben ik adviseur geworden voor verschillende fora of organisaties die allemaal op een of andere manier te maken hebben met het onderwerp veiligheid of risicobeheersing. En dat doe ik nog steeds.”
Wat is de voornaamste taak waar u zich op dit moment mee bezighoudt?
“Ik ben Associate Partner bij Hague Corporate Affairs, wij assisteren bedrijven om in de markt die voor hen relevant is, hun footprint te vergroten, met andere woorden uit te leggen wat er allemaal gebeurt op het gebied van markten waar zij belang bij hebben, vooral in Nederland of Europa. Ik adviseer partijen op het gebied van cybersecurity, maar ook op het gebied van cloud en soms op het gebied van defensie.”
U bent lang werkzaam geweest bij Defensie. Hoe bent u aan uw expertise op het gebied van cybercrime gekomen?
“Dat was min of meer toevallig. Vanuit Defensie begreep ik natuurlijk het belang van het kunnen vertrouwen op data. Als je geen goede data hebt, dan is een goede analyse niet mogelijk, en als je geen goede analyse maakt, dan baseer je beslissingen op foute aannames. Toen ik in 2008 defensie verliet, werd ik door Deloitte gevraagd hen te helpen om een grotere speler te worden op het gebied van cyber in Nederland, dat heb ik opgepakt en gedurende een jaar of 8 met een groot aantal jonge echte experts op dat gebied mogen samenwerken. Ik heb veel van hen geleerd. Ik denk dat ik er meer geleerd heb, zeker in de beginjaren, dan dat ik zelf kon brengen. Daarbij heb ik in veel keukens mogen kijken van verschillende organisaties en ben zo langzamerhand steeds beter gaan begrijpen waar het nu eigenlijk om gaat. En ik heb er mijn missie van gemaakt om te proberen het jargon van de echte experts te vertalen naar taal die ook de mensen van de Raad van Bestuur begrijpen. Dat zijn vaak geen cyberexperts, dat zijn mensen met andere skills, maar ze moeten wel begrijpen waar het om gaat. Wat is cyber, wat is het niet en op basis daarvan, wat zijn mijn verantwoordelijkheden? Daar heb ik me de afgelopen jaren mee bezig gehouden, maar op dit moment bij Hague Corporate Affairs houd ik me ook bezig met allerlei andere vraagstukken die heel erg variëren.”
U gaf net aan dat u in die 8 jaar heel veel heeft geleerd. Wat zijn de belangrijkste punten waar het om gaat?
“Ik heb een veel beter inzicht gekregen in de wereld van cyber. Ik heb kennis opgedaan over wie de actoren zijn, welke technieken ze gebruiken, wat bedrijven moeten doen om ervoor te zorgen dat ze de grootste risico’s kunnen mitigeren en dat vervolgens ook inderdaad doen. Daarnaast heb ik ook geleerd over wat de verantwoordelijkheden zijn en welke soort vragen managers moeten stellen om toch een beetje een gevoel te krijgen dat ze in control zijn.”
Onlangs publiceerde het Parool een gezamenlijk interview met de top van de AIVD, MIVD en de NCTV waarin zij stellen dat Nederland niet alert genoeg is op spionage en cyberaanvallen. Wat is uw mening daarover?
“Al sinds de beginjaren dat ik bij Deloitte werkzaam was, vond ik dat we als land op het gebied van het kennen van onze kwetsbaarheden erg naïef zijn. Niet alleen Nederland, andere landen net zozeer. We hebben natuurlijk in het begin, toen het internet op ons pad kwam, alle beloftes van dat internet en alle manieren waarop het ons leven makkelijker zou maken gretig omarmd omdat we er de voordelen wel van zagen. We hebben ons op dat moment alleen onvoldoende afgevraagd op welke manier het internet ons kwetsbaar maakt. En als je achteraf kwetsbaarheden moet gaan repareren, dan is zo’n reparatie nooit 100% effectief. Je hoeft de krant er maar op open te slaan, elke dag zie je wel weer een of andere hack, of een bedrijf dat verrast is door een grote cyberaanval. An sich kun je dan zeggen, dat is spijtig voor die bedrijven, máár, die bedrijven zitten in onze kritische infrastructuur of supply chain en als partijen daarin niet hun zaken op orde hebben, dan vormen ze een grote kwetsbaarheid voor het functioneren van onze samenleving. En dat is iets wat ons allemaal direct raakt.”
Hoe komt het dat bedrijven hun cyberbeveiliging onvoldoende op orde hebben?
“In de eerste plaats door gebrek aan awareness. Vaak denken mensen niet in eerste instantie aan hoe nieuwe software of applicaties ons kwetsbaar maken. We zijn eerder geneigd om naar de positieve dingen te kijken, dan naar de gevaren van nieuwe applicaties.”
Hoe denkt u dat bedrijven en organisaties zich beter kunnen informeren en beter kunnen beveiligen op het gebied van cybersecurity?
“Het begint allemaal met awareness. Geen enkele organisatie kan meer zonder data, soms is dat een adressenbestand van de klanten, soms het verzamelde intellectual property, het kan van alles zijn. Bedrijven moeten zich daarbij realiseren dat er andere partijen zijn die dat heel interessant vinden, omdat ze die data kunnen combineren met andere datasets en er vervolgens misbruik van kunnen maken. Het begint dus bij het besef dat jouw data goud waard zijn en dat andere partijen het daar wel eens op gemunt zouden kunnen hebben. Vervolgens moet je je afvragen waar je data zich bevinden, wie daar bij kunnen en hoe je de toegang tot die data hebt geregeld en beveiligd. Kortom, allemaal vragen die organisaties zich moeten stellen. Vervolgens moeten ze dan ook nadenken over hoe ze moeten reageren als ze worden gehackt. Want daar krijgt iedere organisatie vroeg of laat een keer mee te maken. Dan komen de vragen als ‘Wat is onze respons op een hack? Hoe kunnen we daar beter op voorbereid zijn? Hebben we eigenlijk wel een team dat getraind is om daar mee om te gaan? Hebben we de telefoonnummers van mensen, weten we welke partijen we moeten opbellen, weten we de nummers van organisaties die van belang zijn om dit probleem onder controle te krijgen?’ Al die vragen moet je stellen en dan begin je in feite de risico’s die je niet hoeft te lopen, ook te mitigeren. Cybercriminelen proberen binnen te komen, als dat makkelijk is, dan zijn ze binnen en kunnen daar veel schade aanrichten. Als het moeilijk is omdat je de zaken goed hebt dichtgeregeld, dan nemen ze misschien niet de moeite en proberen het ergens anders. Het zijn vaak ook hele praktische maatregelen die helemaal niet zo ingewikkeld zijn, maar waar partijen wel vaak bij geholpen kunnen worden. Er zijn allerlei bedrijven die organisaties kunnen helpen om kritisch naar hun eigen kwetsbaarheden te kijken en die kunnen adviseren over te nemen maatregelen. We moeten ons realiseren dat we allemaal een onderdeel van een grote keten zijn en als één van de schakels in die keten zijn zaken niet op orde heeft, dan vormt hij ook een gevaar voor de andere schakels. We hebben dus ook een gezamenlijke verantwoordelijkheid om ervoor te zorgen dat de systemen die wij binnen onze organisaties inzetten, geen gevaar voor anderen vormen.”
Kan de overheid ook een rol hierin vervullen?
“Het is een beetje als met het klimaat. Het klimaat is van iedereen en van niemand en we hebben allemaal een verantwoordelijkheid om ervoor te zorgen dat het met ons klimaat de goede kant op gaat. Wij als individuen moeten ons afval scheiden en voorzichtig zijn met het verbruik van fossiele brandstoffen et cetera, de overheid heeft er een verantwoordelijkheid in met wet- en regelgeving, maar ook het bedrijfsleven moet zorgen dat er geen spullen worden gemaakt die belastend zijn voor het klimaat. Datzelfde denken geldt voor de cyberwereld, we hebben er allemaal verantwoordelijkheid in. Individuen moeten zorgen dat hun netwerken geen gevaar voor anderen vormen, de overheid zorgt voor wetgeving, de industrie zorgt dat spullen die ze maken inherent veilig en niet inherent onveilig zijn, maar zelfs internationale organisaties zoals Europa en zelfs de VN hebben allemaal een bepaalde verantwoordelijkheid. Het lastige is wel dat we soms die verantwoordelijkheden niet erg duidelijk hebben gemaakt. Dat men naar elkaar wijst om verantwoordelijkheid te nemen en er vervolgens niets gebeurt. Daar moeten we wel verbetering in aanbrengen en daar heeft de overheid een bijzondere verantwoordelijkheid.”
Hoe zou u die verbeteringen graag zien?
“Ik zou in ieder geval veel meer verduidelijkt willen zien wat precies ieders verantwoordelijkheden zijn. Waar mag de burger de overheid op aanspreken, maar waar mag ook de overheid de burger op aanspreken? Of de industrie. Vervolgens zou er een systeem moeten gaan werken van toenemende druk, die je gaat voelen als je als organisatie de zaken niet op orde hebt. Stel je voor dat jij een bedrijf hebt en dat blijkt dat de manier waarop jij met jouw digitale omgeving omgaat – data, netwerken et cetera – , dat dat niet veilig is, dan krijg je in eerste instantie een waarschuwing, maar het jaar erop krijg je een boete en misschien word je het jaar daarop uitgesloten van deelname aan een bepaald proces. Andersom moet je ook beloond worden voor dingen die je goed doet. Als je als onderneming kunt aantonen al jaren de zaken goed op orde te hebben, dan zou je bijvoorbeeld een streepje voor moeten krijgen als er contracten moeten worden afgesloten voor de overheid. Want als die verantwoordelijkheid duidelijk is, maar we gedragen ons er niet naar, dan heb je nog steeds een probleem.”
Wat zouden dan zaken zijn waarvan u zegt, dat zou echt met een beloning moeten worden aangemoedigd?
“Ik denk dat als een bedrijf kan aantonen, bijvoorbeeld in een jaarverslag, dat het zich gedurende het jaar heeft laten doorlichten door experts en dat daarbij is gebleken dat men goed naar risico’s kijkt en kan aantonen dat contingency plans op orde zijn, dat dit bedrijf dus kortom laat zien serieus met verantwoordelijkheden om te gaan, dan moet zo’n onderneming bijvoorbeeld een A-merk kunnen zijn. Je zou dan als onderneming moeten aantonen dat je voldoet aan een bepaalde norm en je daarmee in positieve zin onderscheiden van concurrenten. Dat zou dan ook betekenen dat het voor andere ondernemingen aantrekkelijker is om zaken met je te doen, omdat je aantoonbaar veilig omgaat met data en zij daardoor ook minder risico lopen. Dat kan dus ook op een positieve manier helpen om je business te laten groeien.”
Zijn er ook bepaalde landen waar Nederland qua beleid op het gebied van cybersecurity een voorbeeld aan kan nemen?
“Dat is zeker het geval. We weten dat Israël voorop loopt, het Verenigd Koninkrijk gaat goed met cybersecurity om en ook Amerika is een land waar we op dat gebied een voorbeeld aan kunnen nemen. Het is heel goed om naar andere landen te kijken en van elkaar te leren. We hoeven niet allemaal opnieuw het wiel uit te vinden.”
Ziekenhuizen, het elektriciteitsnet, spoorwegen en universiteiten worden voortdurend aangevallen door hackers uit Rusland en ook China. Wat is het motief voor die aanvallen?
“Data! Dat zijn allemaal organisaties, die met grote hoeveelheden data te maken hebben en data is het nieuwe goud. In mijn tijd bij Deloitte ben ik ook wel eens bij ziekenhuizen geweest om te proberen ze te wijzen op het risico van cyber. Dan werd er soms gezegd dat cybersecurity weer zo’n modeverschijnsel was, dat men al genoeg andere problemen had en dat er toch niets te halen viel. Dat is erg naïef. Cybercriminelen kunnen dan wel geen geld bij hun weghalen, maar ze kunnen wel data weghalen en die data kunnen ze combineren met andere data die ze ergens anders vandaan hebben weten te plukken en er dan schadelijke dingen mee doen. Ook hier begint het dus met bewustzijn, wees je bewust van het belang van de data waar je mee werkt en wees je bewust dat andere partijen daar misbruik van kunnen maken en er veel schade mee kunnen berokkenen. Als je als onderneming slordig omgaat met data, heeft dat namelijk ook negatieve gevolgen voor je reputatie.”
Zijn er verder nog ontwikkelingen op het gebied van cybercrime die we nog niet hebben besproken en die u belangrijk vindt om te benoemen?
“Cybersecurity is een onderwerp waar je weken over kunt spreken, waar grote internationale conferenties over gaan en waar altijd weer nieuwe ontwikkelingen zijn. Maar uiteindelijk gaat het altijd om dat bewustzijn waar ik het net over had, dat je je bewust moet zijn dat je data goud waard is voor heel veel partijen en dat je dus moet zorgen dat het beschermd is. Je moet zorgen dat je de risico’s kent, dat je weet hoe je moet reageren als je zo’n hack meemaakt, dat je voldoende back-ups hebt, dat die back-ups bijvoorbeeld bij een ransomware aanval niet ook versleuteld kunnen worden, dat er niet een single point of failure in jouw organisatie is. Kortom allemaal hele logische dingen, maar mensen zijn vaak te druk met andere dingen bezig om zich te realiseren dat ze hier aandacht voor moeten hebben.”
Dan een heel ander onderwerp, de situatie van de oorlog tussen Rusland en Oekraïne. Kunt u iets vertellen over hoe u daar tegenaan kijkt?
“Rusland, onder het bewind van Poetin, heeft moeite om zijn koloniën los te laten. Wij hebben in het Westen ook koloniën gehad, en al die koloniën hebben ooit vrijheidsoorlogen gevoerd en zijn vrij geworden. Dat vonden we in het Westen ook heel vervelend. Rusland zit nu zo’n beetje in die fase. Oekraïne is van Rusland, zegt Poetin. Oekraïne zegt daarentegen, wij zijn in 1991 onafhankelijk geworden, wij zijn een autonome staat en blijf met je vingers van ons gebied af. Poetin vindt dat om allerlei redenen onzin. Hij vindt bovendien dat het Westen zich teveel met Oekraïne bezighoudt en ziet dat de invloed op Oekraïne een beetje uit Russische handen glipt. Althans, Rusland heeft niet meer de macht over Oekraïne, zoals ze dat wellicht vroeger hadden in de tijd van Stalin. Poetin heeft dus gezegd, dat Oekraïne meer richting de NAVO en de EU kruipt en daar ook nog eens een positieve respons op krijgt, dat pikken we niet meer. Rusland heeft vervolgens in 2014 de Krim bezet en is begin van dit jaar de oorlog begonnen. Poetin had het idee dat hij even snel in Kiev een nieuwe regering zou kunnen plaatsen die Moskou beter gezind was en dat de oorlog dan voorbij zou zijn. Dat lukte niet, waarna Poetin zich is gaan concentreren op de Donbas, Loegansk en Donetsk, Zaporizja en Cherson. Daar wordt hij ook terug gedreven door de Oekraïners die een geweldig moreel hebben en hun land niet zomaar op willen geven. Vervolgens ziet Poetin dat hij daar ook niet verder komt en gaat langeafstand bombardementen uitvoeren om te proberen de wil van het Oekraïense volk te breken.
De oorlog wordt bepaald door 4 belangrijke elementen, ten eerste de wil van Oekraïne om zich te blijven verzetten. We zien dat daar nog niet het begin van een zorg bestaat, want zij zijn nog steeds vreselijk gemotiveerd, zelfs zonder water en zonder elektriciteit vechten ze door, omdat ze zeggen dat alles beter is dan met de Russen. Een tweede belangrijke factor is de wil van het Westen om Oekraïne te blijven steunen. Landen in Europa zijn het soms al niet met elkaar eens, de een doet meer, de ander doet minder, de volgende doet helemaal niks. Als Trump straks in 2024 de verkiezingen wint, dan weten we dat hij op een andere manier tegen Oekraïne kijkt, kortom, dat is een zorgpunt. Een derde punt is China. China is tot nu toe steeds Rusland blijven steunen, de vraag is of ze dat blijven doen, of op een gegeven moment zeggen, we zijn wel goede vrienden, maar zo goed ook weer niet. Een vierde belangrijk element is wat er in Rusland zelf gebeurt. Gaan we in Rusland meer protesten zien, gaat op een gegeven moment Poetin zich onder druk gezet voelen door grote massa’s op straat, gaan de strijdkrachten de kant van de demonstranten kiezen? Als dat het geval is, dan hebben we echt iets bijzonders, want dat zou betekenen dat het ook het einde van het regime van Poetin is en dan verandert de wereld. Dan is er echt een hele nieuwe toekomst voor Rusland mogelijk. Zo complex is die hele situatie. Je ziet nu het begin van protesten in Rusland, maar die zijn nog niet heel erg overtuigend. Het is een zeer repressief systeem in Rusland, dus je moet al heel veel moed hebben om in die omstandigheden toch de straat op te gaan en te protesteren. Maar het gebeurt wel, wetende dat als je gepakt wordt, dat je zoals Navalny voor 15 jaar de gevangenis in gaat of zoals Skripal, Litvinenko, Nemtsov en Politovskaja gewoon vermoord wordt. Je moet dus echt wel een held zijn om dat te doen. Ik denk dat het conflict de volgende jaren nog zal voortslepen, maar als de stem van de Russische bevolking luider gaat worden, dan verwacht ik dat er wat kan veranderen.”