Cyber risk management moet vooral shared risk management worden

Cybercrime. Het aantal hacks groeit en het karakter ervan wordt steeds ingenieuzer. De vraag is niet óf een organisatie daar slachtoffer van zal worden, maar hóe die organisatie haar weerbaarheid heeft georganiseerd. Peter Roelofsma ziet dat de samenleving roept om meer kennis over risicomanagement rond cybersecurity. Dat is precies zijn onderzoeksterrein als lector Risk Management & Cyber Security. Een kennismaking met een bevlogen wetenschapper die graag vertelt over zijn unieke Cyber Security Living Lab. 

Als je hem midden in de nacht wakker maakt, zal hij nóg enthousiast vertellen over zijn grote onderzoeksopgave: ervoor zorgen dat cyber risk management shared risk management wordt. Dan gaat het niet primair om innovatieve technologie. Dan gaat het om mensen. Peter: “Om te komen tot shared risk management moet er een shared mental model komen. Moeten alle mensen die professioneel daarbij betrokken zijn op dezelfde manier naar de wereld leren kijken en dezelfde oorzaak-gevolgrelaties gaan zien. Om weerbaar te zijn, moeten we optimaal samenwerken. Daarvoor hebben we technologie nodig die ons faciliteert."

Cyber Security Living Lab

Peter Roelofsma heeft een indrukwekkend track record. Als wetenschapper was hij actief binnen de Vrije Universiteit, Leeds University Business School, de Erasmus University en de TU Delft. “De rode draad in mijn carrière is de combinatie van risicomanagement en menselijke besluitvorming. Het lectoraat Risk Management & Cyber Security, ingebed in Centre of Expertise Cyber Security, doet onderzoek in de Dutch Innovation Factory in Zoetermeer. “We gaan daar iets neerzetten dat ongekend is in Nederland: het Cyber Security Living Lab.”

“In het Cyber Security Living Lab doen studenten een integrale onderwijs-, onderzoeks- en praktijk/werkervaring op. Zij bouwen, werken, leren en doen onderzoek in een security operations center (SOC), waarin real time 24/7 cybersecuritydreigingen worden waargenomen en gemonitord en waarin incidentrespons is. Dat is de toekomst van het onderzoek en onderwijs over cybersecurity.” 

Zeilen in een bootje

“Ik kom uit Friesland. Daar leren we zeilen in een bootje, niet uit een boek. Zo is het ook bij De Haagse en in mijn lectoraat. Studenten uit het mbo, hbo en de universiteit werken in dit living lab samen. Uniek is, dat onderzoek en onderwijs zijn geïntegreerd in deze leer- en ontwikkelomgeving. Als de studenten een aantal maanden in ons living lab zijn, leren ze meer dan in een jaar op een werkvloer elders. In het living lab doen we gezamenlijk onderzoek met bedrijven en organisaties. Als je het samen doet, sta je veel sterker in cybersecurity.”

Als de studenten een aantal maanden in ons cyber living lab zijn, leren ze meer dan in een jaar op een werkvloer elders.

“Security operations centers zijn vaak een beetje spooky. Niemand mag weten dat ze er zijn. Alle deuren dicht, niemand mag binnenkomen. Dit kan leiden tot obscuriteit. Dat moet anders. Security by obscurity is geen optimaal cyber risk management. In het shared mental model is het juist heel belangrijk om openheid te hebben. Bedrijven waarmee we samenwerken, willen openheid geven over hun cybersecuritybeleid. Omdat ze zien dat ze het in hun eentje niet kunnen rooien.”

Omgaan met regels

“Als je naar risicomanagement en cybersecurity kijkt, beland je tussen regel en realiteit. Wat zijn de regels? Waar komen die vandaan? Hoe maak je regels die ook werken? Hoe integreer je informatie in je oordeel en besluitvorming? Een van de belangrijkste redenen dat wij hier in het Cyber Security Living Lab een security operations center bouwen en onderhouden, is dat het in de wereld van de cybersecurity vaak te onduidelijk is hoe het eraan toe gaat in de werkelijkheid, ondanks of juist door alle regels. Het observeren van het gedrag van teams en organisaties in de praktijk van alledag is waar nu veel behoefte aan is. Hoe gaat bijvoorbeeld een chief information security officer (CISO), zijn team en andere beslissers om met die regels? Welke fouten worden gemaakt in het SOC-proces bij teams en organisaties? Hoe kunnen die worden voorkomen? En wat gaat er goed? Daar gaan we praktijkgericht onderzoek naar doen.”

Vrij en onafhankelijk

Voor Peter Roelofsma is het duidelijk dat we een keer aangevallen zullen worden. “Hoe staat het dan met de latente weerbaarheid? Hoe is je risicomanagement? Heb je dan de juiste spullen in huis? Hoe is de communicatie over cybersecurity in je organisatie? Welke cultuur heerst daar rond cybersecurity: durven mensen hun mond open te doen? Hoe heb je het cybersecuritymanagement georganiseerd? Welke technologieën gebruik je als ondersteuning als je belangrijke beslissingen moet nemen? Wat is de rol van AI?”

Als wetenschapper moet je altijd in een omgeving kunnen blijven werken
waar je kritische vragen mag stellen.

Het onderzoek naar risicomanagement in cybersecurity krijgt alleen maar goed vorm als de wetenschapper absoluut vrij is. Peter: “Ik merk dat cybersecurity nu te veel wordt gedreven door de winst en macht van bedrijven. Komt een maatregel niet ten bate van het bedrijf, dan is die maatregel niet goed. Maar zo werkt het niet. Marktconforme principes kunnen niet bepalen wat goed en slecht is. Als wetenschapper moet je altijd in een omgeving kunnen blijven werken waar je kritische vragen mag stellen.”

Hij is niet tegen derdegeldstromen. “Daar ben ik juist vóór. Want dan is de link naar de praktijk heel sterk. Maar wordt jouw onderzoek betaald door derdegeldstromen, dan moet je als wetenschapper wel de ruimte krijgen om je onderzoek te doen op een vrije, onafhankelijke manier.” 

Wachten op de klap

Zijn lectoraat is maatschappelijk zeer relevant, benadrukt hij. “We wachten op de grote klap. Die kun je niet voorkomen, daar moet je op voorbereid zijn. Wat doe je als dat gebeurt? Het is gevaarlijk om dan alle kaarten te zetten op damage control in het nu en op de korte termijn. De echte ramp is vaak het tweede ongeluk, nadat je reactie op het eerste incident of ongeval niet adequaat is gebleken. Ook een cyberramp begint vaak in een klein hoekje. Kijk dus vooral ook vooruit. Zie je dat het tij keert, verzet dan de bakens in je proces. Leer om te gaan met verlies. Dat is lastig in onze samenleving. Maar een hack zorgt vaak voor een verlieservaring. Dan kun je bij de pakken neerzitten. Het is beter om vooraf te hebben bepaald hoe je om wilt gaan met de risico’s van dat verlies, ook voor de lange termijn. Om verantwoordelijkheid te nemen voor de acties die je vervolgens uitvoert. Zorg dus dat je latente weerbaarheid op orde is. Iedereen gaat een keer gehackt worden. Nog te veel bedrijven weten niet wat ze moeten doen als cybernood aan de man komt.”

Als dat geen passie oproept …

Peter Roelofsma houdt op donderdag 14 november zijn intreerede, getiteld ‘Cascade Cyber Risk Management - Between Rule and Reality’. “In mijn intreerede wil ik laten zien wat ik heb gedaan en waar ik naartoe wil gaan. Ik hoop mensen en organisaties te vinden die zich bij mijn visie willen aansluiten. Bedrijven zien dat ze dit soort onderzoek nodig hebben. Onderzoek dat superrelevant is voor de samenleving. Als dat geen passie oproept, weet ik het ook niet meer.”
 

Bekijk het programma en meld je aan

Lopende projecten

Het lectoraat Risk Management & Cyber Security is verbonden aan de faculteit Bestuur, Recht & Veiligheid en maakt deel uit van Centre of Expertise Cyber Security. Het lectoraat doet onderzoek onder andere in de volgende projecten:

• Cyber Safe Together: een onderzoek naar leercomponenten die nodig zijn om te leren over risicomanagement en cybersecurity. 
• Samen Digitaal Veilig: een onderzoek waarin een digitaal platform voor mkb-bedrijven wordt geëvalueerd om mkb-bedrijven bewust te laten worden van de risico’s die zij lopen en van (veranderende) regelgeving. 
• C-Side project: onderzoek waarin we softwareontwikkelaars bewust laten worden van de menselijke kant van cybersecurity bij het ontwerpen van software.
• Cyber Risk Management Simulation and Gaming: onderzoek waarin risicoproblemen worden gesimuleerd en gemanaged.
• Learning in Advance of the Threat (LIAT): Bouwen aan een leergemeenschap: onderzoek waarin het gaat om antwoorden op prangende vragen als: hoe ondersteun je innovatieteams; hoe werk je aan opschaling; hoe ontwerp je een leergemeenschap als een netwerk van waarden; hoe implementeer je innovaties en hoe kun je productief reageren op dreigingen? 
• AI-coach voor shared cyber risk management: onderzoek naar de stappen die nodig zijn om tot een goed threat awareness te komen.