Foto Nationale Beeldbank
In februari 2021 werd de ACademic Cyber Security Society (ACCSS – spreek uit access) opgericht. Een vereniging voor wetenschappers in Nederland die actief zijn op het gebied van cybersecurity. Inmiddels hebben ruim 90 wetenschappers en 8 onderwijsinstituten zich bij ACCSS aangesloten en de organisatie verwacht de komende jaren nog flink te groeien. Dat is niet alleen belangrijk voor de wetenschap, maar ook voor de Nederlandse strategie op het gebied van cyberveiligheid. We spreken hierover met Bibi van den Berg, als Hoogleraar Cybersecurity Governance verbonden aan de Universiteit Leiden en voorzitter van ACCSS (en tevens lid van de Cyber Security Raad namens de wetenschap) en Aiko Pras, professor cyberveiligheid aan de Universiteit Twente en vicevoorzitter van ACCSS.
In oktober 2020 stopte het oude dcypher, een netwerkorganisatie voor cybersecurity. Daarmee verdween onder andere een belangrijke verbindingsplek voor cybersecuritywetenschappers. ACCSS heeft dit gat opgevuld. Daarom ziet Bibi van den Berg verbinding ook als een belangrijke taak van de vereniging: “ACCSS is geboren vanuit het idee dat cybersecuritywetenschappers in Nederland behoefte hebben aan een vaste plek van waaruit we aan een eigen netwerk kunnen bouwen.” Dat is volgens Van den Berg ook de reden waarom ACCSS zowel bèta, alfa en gamma-wetenschappers verbindt. “Cybersecurity is een multidisciplinair vakgebied wat grenzen binnen de academische wereld overschrijdt. Helaas is er tussen veel wetenschappers soms nog geen goed contact, terwijl ze wel met dezelfde thematiek te maken hebben. Wij wilden een plek creëren waar wetenschappers elkaar makkelijk kunnen vinden voor project- of subsidieaanvragen.”
"ACCSS verbindt zowel bèta, alfa en gamma-wetenschappers voor cybersecurity.”
Ook Aiko Pras ziet een belang voor ACCSS om wetenschappers te verenigen: “Als je naar de cybersecuritydreigingen kijkt die op ons afkomen, dan groeien die veel sneller dan mensen lang voor mogelijk hielden. Het besef begint nu te komen dat het onze samenleving bedreigt. Tegelijkertijd hebben we een groot tekort aan experts die hierover kunnen adviseren. Daarom is het belangrijk om ons als wetenschappers te verenigen, zodat we meer onderzoek kunnen doen en het onderwijs kunnen verbeteren.”
Met éen stem spreken
Een derde pijler is zichtbaarheid. Via ACCSS is het mogelijk om beter en vaker de stem van de wetenschap te laten horen. “Het is belangrijk dat we vanuit de wetenschap een bijdrage leveren aan alle plannen en agenda’s die momenteel worden ontwikkeld”, stelt Van den Berg. “Natuurlijk kunnen standpunten van wetenschappers van elkaar verschillen, er moet ruimte blijven voor verschil van inzicht, maar op bepaalde belangrijke onderwerpen wil je wel met één mond spreken. Doordat ACCSS bestaat is dat echt een vertegenwoordigde stem.”
Die stem laat de organisatie dan ook geregeld horen. Deze zomer deed ACCSS een oproep om het betalen van losgeld voor ransomware door publieke partijen te stoppen en in september publiceerde het een oproep om gegevens over datalekken openbaar te maken voor verder onderzoek. Momenteel werkt de organisatie aan een voorstel voor een Groeifonds om onderzoek en onderwijs in cybersecurity verder te bevorderen. Daarin moet budget beschikbaar komen voor onderzoek en scholing.
ACCSS werkt ook samen met het in de herfst van 2021 opnieuw opgerichte dcypher, wat nu onder het ministerie van EZK valt. Van den Berg legt uit: “Dcypher is bezig met het opstellen van een onderzoeks- en onderwijsagenda, daar dragen wij aan bij. We zien onszelf daarom ook als een van de belangrijke onderaannemers van dcypher.” Volgens Pras gaat die rol zelfs veel verder dan onderaannemerschap. “Het voordeel van ACCSS is dat we naast de bestaande hiërarchie staan die je bijvoorbeeld ziet bij de overheid. Daardoor sta je sterker en kan je beter invloed uitoefenen. Dcypher heeft ons dus ook heel hard nodig.”
“Het is belangrijk dat we vanuit de wetenschap een bijdrage leveren aan alle plannen en agenda’s die momenteel worden ontwikkeld.”
Verbeteren vindbaarheid
Naast verbinding is vindbaarheid een tweede taak van het ACCSS. Van den Berg: “Sommige cybersecuritywetenschappers zijn heel zichtbaar voor media, in het publieke debat en voor financiers van onderzoek. Dat geldt alleen lang niet voor iedereen. Het is daarom waardevol dat er een plek is met één brievenbus, waar iedereen die in contact wil komen met cybersecuritywetenschappers terecht kan.” Dat daar behoefte aan is, werd direct na de oprichting duidelijk: “Er waren direct partijen die ACCSS benaderden met hulpvragen, bijvoorbeeld voor het uitzetten van projecten. Ze hadden de middelen, maar waar moesten ze zijn? ACCSS vervult dan een soort makelaarsfunctie: we koppelen de juiste wetenschapper aan het juiste project. Dat doen we niet alleen voor Hoogleraren, maar we hebben bijvoorbeeld ook een groep PhD-studenten die nu werk en onderzoek combineren voor de overheid.”
Verbinden van werelden
Waar liggen nog kansen voor de samenwerking tussen wetenschappers? Volgens Pras is dat duidelijk: “Als je naar het verleden kijkt, zie je dat de technische aspecten van cybersecurity altijd goed gecoördineerd waren. We zagen elkaar en we werkten samen. Maar de huidige problemen zijn veel minder technisch van aard, denk bijvoorbeeld aan nepnieuws. Op die gebieden is cybersecurity pas net aan het opkomen. Er verschijnen allemaal clubjes met eigen specialisaties. Cybersecurity is voor hen allemaal nieuw en ze kennen elkaar nog niet. Hoe krijgen we de niet-technische wereld bij elkaar?”
“En het gaat ook om verbinding maken tussen technische mensen en niet-technische mensen”, vult Van den Berg aan. “Ik heb een sterk netwerk in niet-technische onderwerpen, maar de connectie met de bèta’s, daar gaat het vaak mis. Terwijl het zo belangrijk is om iedereen aan tafel te hebben. Veel onderzoeksprojecten hebben daarnaast als eis dat er multidisciplinair gewerkt moet worden. Dan moet je de juiste mensen wel kunnen vinden.”
Juiste vragen boven tafel krijgen
Wetenschappelijke kennis en inzichten zijn belangrijk in het huidige cybersecuritylandschap. De wetenschap heeft namelijk een aantal waardevolle kenmerken. Van den Berg legt uit: “Wetenschappers zijn van de laatste ontwikkelingen en kennis op de hoogte. Ook juist over zaken die nog niet breed bekend zijn. Daarnaast brengen we onafhankelijke expertise in. Wanneer bedrijven adviseren zitten daar soms ook belangen achter. Dat is bij wetenschappers minder het geval.”
Volgens Pras zijn wetenschappers ook belangrijk om de juiste vragen boven tafel te krijgen. “In gesprekken tussen de overheid en sectoren wordt vaak de vraag gesteld wat er in die sector moet gebeuren op het gebied cybersecurity. Het is alleen heel lastig om dat te benoemen als cybersecurity niet je kerntaak is. Tegelijkertijd liggen veel sectoren wel wakker van het onderwerp. Juist in dit soort gesprekken is het belangrijk dat de wetenschap aanschuift.” Ook Van den Berg benadrukt het belang van wetenschap in publiek-private samenwerking: “Ik word als hoogleraar vaak gevraagd om organisaties en bedrijven mee te helpen met vraag-articulatie. Het is allemaal zo beginnend en nieuw dat het voor veel organisaties niet duidelijk is welke vragen je beantwoord moet hebben om het op orde te hebben.”
Doorgeslagen poldermodel
Over de staat van cybersecurity in Nederland zijn beide hoogleraren twijfelend. Volgens Pras zijn er zeker lichtpuntjes: “Wetenschappelijk zie je een aantal initiatieven en onderzoeken in Nederland die heel hoog zijn aangeschreven en ontzettend goed werk doen.” Maar als je naar het grotere geheel kijkt, is Pras minder positief: “Kijk naar het buitenland en hoe daar wetenschap en onderwijs wordt gebruikt en gefinancierd voor innovatie op het gebied van cybersecurity, dan hebben wij nog mijlen te gaan.” Ook Van den Berg constateert dat de Nederlandse kenniseconomie op het gebied van cybersecurity langzaam wordt uitgehold, waarbij lage investeringen volgens haar leiden tot een braindrain. Daarom is het volgens haar ook belangrijk dat het onderwijs meer aandacht en financiering krijgt: “Dat gaat niet alleen om jonge mensen op de universiteiten of post-masters, maar ook om Leven Lang Leren. Er komen steeds meer mensen die vanuit een andere rol of functie een baan krijgen in cybersecurity en on the job moeten leren hoe alles werkt. We moeten met kennisinstellingen en trainingsinstituten veel meer opleidingen voor professionals realiseren. Sommige universiteiten zijn daar al mee bezig, maar het moet verder worden uitgebouwd.” Pras valt bij: “Onderwijs wordt als vanzelfsprekend gezien. Maar we moeten onze focus verbreden. Niet alleen kijken naar de universiteiten en hogescholen, maar ook iets bieden aan zij-instromers en doorstromers. Misschien moeten we wel al op de basisschool beginnen.”
“De Nederlandse kenniseconomie op het gebied van cybersecurity wordt langzaam uitgehold, waarbij lage investeringen leiden tot een braindrain.”
Ook op het gebied van onderzoek zijn beide hoogleraren kritisch. Van den Berg ziet dat er vaak te weinig met wetenschappers wordt gesproken voordat er onderzoeken worden uitgezet: “Er wordt te veel in de markt opgehaald waar behoefte aan is. Maar niemand heeft dan gevalideerd of er mensen in de wetenschap zijn die daar al mee bezig zijn of iets mee kunnen.” Van den Berg pleit dan ook voor meer ruimte voor onderzoeksagendering: Dat betekent niet dat we onze eigen voorstellen gaan maken, maar nu is het wel heel erg de andere kant op. Daardoor valt ook veel onderzoek buiten de boot, zoals fundamenteel onderzoek en onderzoek naar cutting edge technologie.”
Ook Pras ziet de mismatch op het gebied van onderzoeksvraag en -aanbod. “Waar kan je geld voor krijgen? Vooral voor onderzoek ingegeven door de actualiteit: ransomware, passwordmanagers en back-up-strategieën. Zeker belangrijk, maar aan de grote dingen die we ook nodig hebben, komen we daardoor niet toe.”
Waar wordt Nederland van?
Politiek gezien kunnen er volgens beide Hoogleraren nog flinke stappen worden gezet. Dat ligt vooral aan de manier van besluitvorming in Den Haag volgens Pras: “Ik zie dat ons mooie Poldermodel doorgeslagen is. Niemand durft een keuze te maken. Als je dan naar de Europese Unie kijkt, kan je veel zeggen, maar daar gebeurt wel wat, bijvoorbeeld de bouw van een competence centre in Roemenië.” Het gebrek aan daadkracht brengt volgens Pras een aantal risico’s met zich mee: “Nederland draait op een oude economie. De nieuwe economie is een IT-economie, met platformen als Booking.com en Thuisbezorgd. Je moet zorgen dat er op cybersecurity een infrastructuur is die dat kan ondersteunen en de juiste mensen om eraan te werken. Anders kom je er over 10-15 jaar achter dat alles in andere landen zit. Als je maar blijft praten en niet investeert, dan komt er niks.”
“Als je maar blijft praten en niet investeert, dan komt er niks.”
Ook Van den Berg vindt het tijd dat Nederland de afwachtende houding van zich afschudt: “De grote vraag die Nederland moet beantwoorden is: ‘waar worden wij van?’. Dan kan je vervolgens stappen zetten. Cybersecurity is nu ondergebracht bij verschillende ministeries, dan valt er ook veel tussen de kieren door.” ACCSS pleit daarom, net als de CSR in het laatste adviesrapport, voor meer regie op het onderwerp. Van den Berg: “Kijk naar een thema als water. Daar hebben we een deltacommissaris aangesteld, los van alle ministeries. Die maakt een plan voor de komende 25 jaar. We zijn kennisleider op dat onderwerp, omdat we hebben gezegd: hier zijn we van.”
Tijd om aan de slag te gaan
Van den Berg verbaast zich dan ook waarom Nederland dat niet doet op het gebied van cybersecurity: “Nederland heeft goede randvoorwaarden. We zijn een klein land met hoge internetdichtheid en veel knappe koppen. We kunnen een perfect ecosysteem creëren, maar dan moet je er wel aan beginnen.” Pras vult aan: “We kunnen een sterke positie innemen, niet door belastingvoordelen, maar juist door ons ecosysteem.” Beide Hoogleraren pleiten dan ook vooral om aan de slag te gaan: “Er liggen genoeg plannen en strategieën, het is tijd dat we dingen gaan uitvoeren. Daar is alleen wel een overkoepelende visie voor nodig.”
