Liesbeth Holterman bij Techdenkers

Op 11 mei was directeur Cyberveilig Nederland, Liesbeth Holterman, te gast in de Balie bij Techdenkers. Tijdens deze editie stond de centrale vraag centraal: “Hoe veilig zijn mijn data?” Aanleiding voor deze sessie was de recente reeks grootschalige cyberincidenten in Nederland, zoals Odido, Basic-Fit en Rituals.

Liesbeth trapte de sessie af met een korte uiteenzetting van de geschiedenis van ransomware en datalekken, waarbij ze begon in de jaren ’80. Daarna ging ze in gesprek met de andere tafelgasten, Ina Brouwer en Eric Smit. De belangrijkste discussiepunten en inzichten uit deze sessie laten zich als volgt samenvatten:

De explosieve groei en veranderde tactiek van cybercrime

1. De rol van AI: Er werd besproken hoe de opkomst van kunstmatige intelligentie de dreiging drastisch heeft vergroot. Criminelen gebruiken AI om foutloze, uiterst gepersonaliseerde phishing-berichten op te stellen. De drempel om geraffineerde aanvallen uit te voeren is hierdoor aanzienlijk verlaagd.
2. Van gijzeling naar diefstal: Waar cybercriminelen (ransomware-groepen) voorheen vooral systemen versleutelden voor losgeld, richten zij zich nu massaal op het stelen van gevoelige data (dubbele afpersing). Zelfs als een bedrijf goede back-ups heeft, worden ze chantagegevoelig gemaakt met het dreigement dat de data op het darkweb worden gezet.

Onze data als economisch betaalmiddel

1. Data-honger van bedrijven: Bedrijven verzamelen en bewaren structureel veel te veel gevoelige informatie (zoals BSN-nummers, bankgegevens en adressen) die ze voor hun kernactiviteit vaak niet eens strikt nodig hebben.
2. Het risico voor de burger: Doordat deze data op grote schaal worden opgeslagen, ontstaan er onnodig grote digitale schatkamers voor hackers. Zodra deze gegevens op het darkweb belanden, worden burgers het slachtoffer van identiteitsfraude en gerichte oplichting (zoals helpdeskfraude of spear phishing).

De noodzaak voor een cultuuromslag

1. Security by Design & Dataminimalisatie: Er werd vurig gepleit voor een omslag in hoe organisaties met data omgaan. Bedrijven moeten dwingend worden gestimuleerd om aan 'dataminimalisatie' te doen: wat je niet hebt, kun je immers ook niet lekken.
2. Bestuurlijke verantwoordelijkheid: Cybersecurity moet niet langer worden gezien als een puur technisch IT-probleem, maar als een fundamenteel risico voor de continuïteit en de ethische verantwoordelijkheid van het bestuur.

De aflevering is hier te zien en binnenkort ook terug te horen via de verschillende podcast aanbieders.