Het was een gedurfd thema: Veiligheid en Digitalisering in verhouding tot de politieke ambities van Rutte IV. Maar dat weerhield ruim honderd studenten er niet van om deel te nemen aan het eerste door medestudenten georganiseerde congres, dat maandag plaatsvond in het Apeldoornse Orpheus Theater.

Het thema was gedurfd omdat de doelgroep, studenten Integrale Veiligheidskunde en Security Management, niet op de eerste plaats geïnteresseerd zijn in thema’s rond digitalisering. De initiatiefnemers Lucas van den Berg en Mark van der Linden wilden echter geen ‘veiligheidsbreed’ onderwerp, maar een congres dat dieper in zou gaan op iets dat relevanter is dan ooit en dat is digitale veiligheid. Het bleek ook dat het in deze sector makkelijker was om sponsorende bedrijven te vinden en die waren hard nodig om de organisatie rond te krijgen. Grote bedrijven als KPN Security, Northwave, Ordina, Pwc en SeSa Groep steunden het congres zowel financieel als inhoudelijk en hielpen zo mee veelbelovend talent te koppelen aan bedrijven met interessante carrièremogelijkheden.

Centrum voor Veiligheid en Digitalisering
Tijdens het congres was het bijna niet te geloven dat het georganiseerd was door een groepje studenten dat zoiets nog nooit eerder had gedaan. Alles verliep alsof het door een professionele congresorganisatie werd uitgevoerd. De opening werd verricht door wethouder Burgerparticipatie en Revitalisering Wim Willems van Apeldoorn. Hij wees op het Centrum voor Veiligheid en Digitalisering, een initiatief van Hogeschool Saxion, Politieacademie, Universiteit Twente en gemeente Apeldoorn, in samenwerking met het Opleidings- en Kenniscentrum van de Koninklijke Marechaussee, de Koninklijke Landmacht, het Nederlands Instituut Publieke Veiligheid, Stichting Aventus en Apeldoorn IT, het netwerk van bedrijven en instellingen met IT-professionals. Caroline van de Molen, directeur academie BR&R Saxion, en Lucas van den Berg, voorzitter Security Management Studenten Platform, riepen de aanwezigen vervolgens op kennis zoveel mogelijk te delen, zodat de hele samenleving ervan kan profiteren.

Ransomware
Het is niet altijd een goed idee om een directeur van een commercieel bedrijf een keynote te laten doen, maar Pim Takkenberg van cybersecuritybedrijf Northwave wist een uitstekend en pakkend verhaal neer te zetten, waaruit duidelijk naar voren kwam dat cybersecurity zeker niet alleen iets voor ICT-ers is. Hij verwees naar de Heineken-ontvoering. “Zoiets gebeurt nu niet meer. Tegenwoordig worden hele bedrijven gegijzeld. En dat gebeurt met ransomware. Vaak worden daarbij ook gevoelige gegevens buitgemaakt. Die dreigt men dan openbaar te maken of aan andere criminelen te verkopen als er niet betaald wordt, omdat de systemen met goede back-ups zijn te herstellen.” De criminelen bereiden zo’n aanval heel goed voor, vertelde Takkenberg. “Ze weten vooraf wat zij aan losgeld kunnen vragen. Vaak is dat zo’n 2 procent van de jaaromzet. Voor veel bedrijven betekent het dat zo’n aanval de hele marge opslurpt.” De algemeen directeur van Northwave noemde de oorzaken (zwakke wachtwoorden, slecht securitybewustzijn, geen systeemmonitoring en verouderde software) en oplossingen (back-ups, waarvan één offline, meerstaps verificatie, automatische updates en detectie van ongewoon verkeer op het netwerk). Hij waarschuwde voor de professionaliteit van de criminele netwerken die ransomware verspreiden en liet zelfs gesprekken horen van onderhandelingen met de ‘helpdesk’ van de bendes.

Cyber en brandveiligheid
Tijdens de dag kon drie keer aan vier breakout-sessies worden deelgenomen. Jesse Trommel, cybersecurity consultant bij Ordina en Information Security Officer van NOC*NSF vertelde over cybersecurity tijdens de Olympische Spelen in Beijing en Tokyo en met welke digitale dreigingen de sporters te maken hadden.
Bij Henk van Ee van IT Visibility konden deelnemers onder begeleiding van een ethische hacker de website van een snackbar kraken. Ook vertelde Van Ee welke informatie een telefoon al uitzendt als de gebruiker een QR-code scant. Verder werd uitgelegd hoe je een phishingmail in 5 minuten in elkaar zet en kunt versturen.
Matthijs Hardeman van Acuro en Monica Jansen van Young Safety Professionals gingen in op het onderwerp brandveiligheid. Met hun organisatie willen zij jongeren op weg helpen naar een baan in de brandbeveiliging of bedrijfshulpverlening. Lastig, omdat daar nog geen door de overheid bekostigde opleidingen voor bestaan. De twee vertelden waaruit brandveiligheid bestaat en waar de prioriteiten liggen. Tot slot gaven Stefan in ’t Veld en Maarten van der Slik van Pwc inzicht in het fenomeen ethisch hacken, uitgevoerd door red, blue en purple teams.

Digitale hartaanval
‘Maak je geen zorgen, het wordt alleen maar erger’, was de titel van de keynote van Dave Maasland van cybersecuritybedrijf ESET. Hij vertelde hoe Oekraïne al acht jaar door Rusland gebruikt wordt als proeftuin voor digitale oorlogsvoering en dat niet alleen de Oekraïners daar last van ondervinden. De NotPetya ransomware legde ook enkele Nederlandse bedrijven meerdere weken plat. “Het heeft dus ook gevolgen voor de nationale veiligheid in heel Europa”, aldus Maasland. “Cybersecurityspecialisten waarschuwen er al jaren voor, maar onze boodschap lijkt niet de juiste mensen te bereiken. Wij hopen dat het jullie – als jonge generatie – wel gaat lukken. We zijn niet hulpeloos als land, maar wel kwetsbaar en het is de vraag of de politiek en de samenleving zich bewust zijn van de urgentie. Als maatschappij kunnen we een digitale hartaanval krijgen. Dat kan je niet voorkomen door uit te leggen hoe die in zijn werk gaat. We moeten mensen ervan overtuigen dat het gaat gebeuren als zij blijven doen zoals zij doen. De ‘ongezonde levensstijl’ vormt een grotere dreiging dan de steeds slimmer wordende criminelen. De aanval op de Universiteit van Maastricht had voorkomen kunnen worden als iemand de signalen vooraf serieus had genomen!” Maasland wees erop dat niet de mens de zwakke schakel is, maar ICT-systemen waarbij de security met plakband aan elkaar hangt. “Zoals remmen ervoor zorgen dat een auto harder kan rijden, zo zorgt security ervoor dat met ICT beter ondernomen kan worden. Als je het zo bekijkt, creëer je draagvlak voor de maatregelen.”

Toekomstige uitdagingen
Erik Becker van CGI hield een break-out over de huidige en toekomstige security-uitdagingen met politieke thema’s als cybersecurity, digitale soevereiniteit en de verhouding tussen technologie en mens. Gelijktijdig spraken Rutger van Haastert en Jordi Scharloo van KPN Security over het internationale karakter van cybercrime en over hoe de ’tegenpartij’ zich technisch ontwikkelt. Zij lieten deelnemers zien hoe zij met de politie, Europol en FBI de Russische ransomwareverspreider REvil onschadelijk hebben gemaakt. Armand van Bercheycke van SeSa Groep vertelde over zijn carrière bij inlichtingendiensten en over welke methodes gebruikt worden om industriële spionage te plegen. Hij gaf de deelnemers een groot aantal tips om in het leven aan een baan en vervolgens hogerop te komen. “Blijf je leven lang leren, wees overtuigd van jezelf, pak je kansen, maar niet alle kansen en geniet van je leven.” Guus Remmerswaal van Slimstock gaf als ervaringsdeskundige een inkijkje in wat een organisatie doormaakt als die gehackt wordt met ransomware die het volledige klantennetwerk plat legt. Hij reconstrueerde wat er gebeurd was en hoe Slimstock daarop gereageerd heeft. De deelnemers werden geprikkeld om zelf na te denken over de beslissingen die tijdens een crisissituatie snel gemaakt moeten worden.

Bestuurders overtuigen
Tijdens de laatste ronde breakouts gaf Rens van der Linden van ICT Group de workshop Threat Modelling. Samen met de studenten werd een threat model opgesteld voor een fictief bedrijf.  Lodi Hensen van Tesorion sprak over Incident Response & Threat Intelligence en over hoe dit door verschillende afdelingen van zijn bedrijf wordt ingezet om klanten uit de nood te helpen. Voor wie het gehad heeft met school, was de breakout van Northwave ideaal. Studenten mochten ontdekken hoe zij Saxion Hogeschool ten gronde konden richten. De bedoeling was uiteraard om hiertegen een strategie te ontwikkelen en dat werd gedaan.
Als laatste onderdeel vond een paneldebat plaats tussen Martijn Dekker en Erno Doornespleet van KPN Security, Oscar Koero van VWS en Dave Maasland van ESET. Een vraag was of bestuurders meer technische kennis moeten hebben om de juiste besluiten te kunnen nemen. Er waren meer voorstanders voor een cursus communicatie voor technici, zodat die bestuurders kunnen overtuigen. Op de vraag of bedrijven niet teveel verantwoordelijkheid bij de politiek leggen, werd geantwoord dat bedrijven het eerst zelf goed voor elkaar moeten hebben, voordat zij een beroep doen op de overheid. Een grote meerderheid was het eens met de laatste stelling: dat cybersecurity te weinig aandacht krijgt in het onderwijs. Er werd zelfs gepleit voor een soort cyberdienstplicht. Iedereen was het er na afloop over eens dat het congres vanaf nu jaarlijks moet gaan plaatsvinden.