LUISTEREN
Cyberhelden
AFLEVERINGEN
← Alle afleveringen
EP 66 · 52 minuten

Cyberhelden 66 - D-NCSC Matthijs van Amelsfort: Niet de brandweer, wat dan wel?

Cyberhelden 66 - D-NCSC Matthijs van Amelsfort: Niet de brandweer, wat dan wel?

Het NCSC is geen digitale brandweer , Mathijs van Amelsfoort, directeur van het Nationaal Cyber Security Centrum, legt in deze aflevering aan Ronald Prins en Marco Kuipers uit wat dat onderscheid in de praktijk betekent. Van de fusie met het Digital Trust Center en de sprong van 300 naar 10.000 entiteiten onder de nieuwe cyberbeveiligingswet, tot het House of Cyber in Den Haag, AI in dreigingsanalyse en de toenemende hybride dreiging vanuit Rusland.
Afbeelding voor Cyberhelden 66 - D-NCSC Matthijs van Amelsfort: Niet de brandweer, wat dan wel?
SoundCloudApple Podcasts

TRANSCRIPTIE

whisper

Cyberhelden En welkom bij alweer een nieuwe aflevering van Cyberhelden. De podcast waarin ik in gesprek ga met mensen die zich bezig houden met de digitale dreiging. Mijn naam is Ronald Prins en vandaag is Jelle er niet maar heb ik alleen Marco Kuipers als co-host.

Maar dat wordt gecompenseerd door een heel bijzondere gast. We hebben Mathijs van Amelsvoort, de directeur van het Nationaal Cyber Security Centrum uit NCSC. Hey Mathijs, welkom. Dankjewel. Het is alweer een tijdje geleden dat we iemand van het NCSC aan tafel hadden. Dat was de laatste keer in 2021 met jouw voorganger Hans de Vries. Een paar dingen staan we nogal bij van dat gesprek. Dus dat gaan we nog wel aanstippen zoals lijsten die in de lade bleven liggen, die die toch graag gaan willen uitdelen. En over het verschil tussen vitaal en niet-vitaal en frustraties over organisaties die maar niet willen patchen en zo.

Maar goed, ondertussen is er veel veranderd. We hebben nu het House of Cyber, oftewel het NCSC 2.0. En je bent aan het fuzeren met een paar andere organisaties. Fuzeren of overnemen, hoe moet ik dat dan zeggen. En nieuwe type dreigingen, dat wordt allemaal wat meer statelijk. Dat heb ik de indruk. En AI is er natuurlijk. En ik vind het een hele mooie kreet. En dat zal misschien wel een groot draad worden in het gesprek. Wij zijn niet de digitale brandweer van Nederland. Die heb je laatste keer ergens gezegd.

Maar voordat we echt beginnen, Marco, hoe gaat-ie bij jou? Ja, gaat goed, hoor je? Ik vond het eigenlijk geen bijzonderheden. Ik zag dat sinds 10 maart de nieuwe Summer School editie van dit jaar, van de Joint Second Cyber Unit online is. Dus, daadat voor degenen die het niet weten, dat is een jaarlijkseventement waarin de JSU allerlei challenges uitgrijft. En daar kan iedereen aan meedoen. En misschien als je goed genoeg je best doet en je write-up is mooi genoeg, heb je kans dat je mee mag doen met de Summer School op locatie.

Dus dan leer je ook een beetje rijden en zeilen van de JSU zelf. Dus weet vooral dat hij online is. Een bedoeling dat ze daarmee nieuwe krachten weten te vinden? Uiteraard zit er ook een kleine wervingscomponent aan. Ja, dat is ook. Matthijs, jij nog wat leuks gedaan vorige week. Vorige week was ik bij ENISA in Athene. Onze Europese zusterorganisatie had in het overal in Stavriessen, die daar tegenwoordig werkt. En daarbij komst had met het management board.

Dat zijn eigenlijk alle directeuren van de member states. En dan kijken we welke dreigingen we hebben. Maar ook wat gebeurt er allemaal op het Europese vlak met cyber security en weerbaarheid. Zijn daar overal voldoende zusterorganisaties? Heeft elk land wel zo'n vergelijkbaar organisatie als het NCSC? Ja, in principe wel. Het is wel een verschillende orde van grootte. Dus je kan je voorstellen dat in een kleine land echt wel wat minder mensen aan het werk zijn dan bij zo'n NCSC als Nederland. Maar in een heel groot land is het wel verschil.

Sommigen hebben ook andere positieën. Dus die hangen onder een defensieorganisatie of een inlichtingorganisatie. Dus ook daar zit best wel wat diversiteit in. Maar neem niet weg dat we wel heel goed met elkaar kunnen werken. Oké, ja. Ik heb ook iets heel leuks gehad. Ik heb de reunie gehad van heel veel instellingen en mensen vooral die 15 jaar geleden aan het Diginotor onderzoek gewerkt hebben. Dat is trouwens voor jullie ook wel heel relevant in het NCSC. Want ik kan me nog heel goed herinneren dat het was in 2011 dat de Tweede Kamer die vond het maar doodeng dat er een NCSC zou komen.

Dat ze allemaal prijsieconsequenties hebben. Janine Hennesse zat daar heel hard tegenin terug te drukken. Toen kwam het Diginotor incident en daar weer een debat na. Toen was de eerste vraag die mevrouw Hennesse stelde. Dus waarom hebben we nog geen NCSC eigenlijk? Zo zie je maar hoe politici kunnen draaien. En dat je af en toe een hele grote crisis nodig hebt om goede stappen te kunnen zetten. Never waste a good crisis. Ik wou net zeggen, ja. Het is heel triest voor het bedrijf Diginotor.

Het was natuurlijk heel mooi dat we in Nederland daar ook al een beetje in voorgoed pliepen. Maar dan zal dat boel uiteindelijk gewoon niet goed voor elkaar. Inhoudelijk, Mathijs. Je bent nu ongeveer dik jaar, anderhalf jaar directeur van het NCSC. Daarvoor zat je bij het Team High Tech Crime bij de politie. Dat is een hele dynamische baan kan ik me voorstellen. Ik weet wel zeker. Opeens zit je dan in Den Haag in zo'n hele grote toren. Hoe voelt dat voor jou? Hoe is dat anders?

Het is een andere omgeving. Dat kan ik niet ontkennen. Maar het is ook wel weer goed om met de weerbaarheid bezig te zijn. En inderdaad langere tijd bij de politie werken. Ik heb ook al eerder gezegd in een interview. Het is geen probleem. We hebben een crime waar je uit kan arresteren. Dus er moet echt veel meer gedaan worden aan de weerbaarheid. En met het NCSC en juist ook op deze positie kan je dan natuurlijk wel een enorm verschil maken. Dus dat was voor mij echt een motivatie om hier te gaan werken.

En hij zit dichter tegen de politieken aan in Den Haag. Dus dat helpt ook wel mee om het op de agenda te zetten. En de boodschap over te brengen. Het helpt bij hem dingen op de agenda te zetten. Maar het zit soms ook een beetje tegen dat je alles moet afstemmen. En misschien ook wat beperkt wordt in de snelle stappen die je gewend was te zetten als politieman. Het is een andere omgeving. Maar daardoor niet minder uitdagend ofzo. Je wordt daar heel politiek aan werken.

Dat leer je toch wel. En Matthijs, je hebt meer dan 20 jaar ervaring in digital forensics. En heel veel grote internationale operaties geleid. En ze zijn heel dicht tegen de operatie aan en de techniek. Hoe helpt die operationele ervaring jou nu als NCSC-directeur? We hebben natuurlijk ook die soort taak. En we hebben ook een operationeel team. Dat bezig is met een avantecasus die nu nog speelt. En citrix zoals we afgelopen jaar gehad hebben.

Dus dat stukje operatie zit hier ook zeker in. En ook dat is niet iets wat 9 tot 5 is. Dus dat maakt het natuurlijk ook erg interessant en leuk om bij het NCSC te werken. Dus je kan ook daadwerkelijk het verschil maken. Dus het is een andere omgeving. Maar nog steeds wel, je maakt echt wel verschil. Oké, cool. Dus dat is echt wel een parallel. Ik merk ook wel een beetje hetzelfde DNA. Dat zijn natuurlijk allemaal inhoudelijke, technische, hele goede mensen. Maar die ook echt in bed uitkomen om Nederland digital weerbaar te maken.

En dat is ook heel mooi om te zien. Dus ik herken wel datzelfde type mens. Maar naast al die inhoudelijke mensen heb je ook een hele batterij juristen om je heen lopen nu denk ik. Nou, op zich valt dat best wel mee Ronald. Dus ik zeg het is een andere omgeving. Maar ook erg leuk om te doen. Oké, ja. Ik had even ingelezen. Ik zag iets tegen dat je scenariodenken noem je heel nadrukkelijk. Dat heb je als een tweede natuur ontwikkeld. En je vertelde over een stroomuitval in Nederland.

Waarbij jij gewoon de kaarsje aan stak, terwijl de buren allemaal in paniek waren. En jij deed dat omdat je gewend was aan stroomstoringen. Want je hebt een tijd op Curaçao gezeten. Hoe kom je aan zo'n mindset? Ja, ik denk dat die mindset ook wel groeit inderdaad. Ik was bijna 25 jaar bij de politie gewerkt. Dus dan moet je ook wel in scenario's denken. En gaan kijken van ja, als je dit ziet of doet dan is dat een logisch gevolg. En je moet ook scenario's klaar hebben liggen. Ook bij de politie. Omdat je toch ook wel, je wilt niet verrast worden.

Ik denk dat dat het vooral is. Dus het is ook voorbereiden. Het is die verschillende gebeurtenissen die kunnen gebeuren. Dat je die gewoon scherp hebt. Misschien is het ook wel als je het overweerbaar hebt zijn. Dus ook dat deel van bereid je voor. Eigenlijk op dat wat je niet weet probeer je je ook voor te bereiden. Ja, even een zijstapje. Wat deed jij op Curaçao? Daar zit het gegeerse samenwerkingsteam. Dus van de politie. En die voeren daar allerlei taken uit.

Vanuit drugsbestrijding, ondermijning en zo. Heel veel andere taken. En ik was daar vooral mijn team digitaal op sporen op te zetten. Mooie tijd gehad? Ja, hele mooie tijd. Ik kan iedereen aanraden om een keer in een andere cultuur te werken en te leven. En je leert ook allerlei zaken als politiek bestuurlijke sensitiviteit. En alles wat daarbij hoort. Dus je bent op jezelf aangewezen. Je kan niet heel eventjes bellen naar het NIV met tijdverschil. Hele mooie leerzame tijd.

Oké. Toen jij dus 2 jaar geleden begon bij het NCC. Je komt daar binnen. Opeens ben je daar de baas. Wat is dan je eerste indruk? Wat vond je goed werken en wat moest anders? Ik trof van een organisatie aan die enorm in ontwikkeling is. Dus je noemt dit al die organisatie. De samenvoeging van het Digital Trust Center en het CSIRT DSP. De Digital Service Providers vanuit economische zaken naar het NCC toe.

Die hebben we inmiddels afgerond. Dus vanaf 1 januari zijn we dat vernieuwde en versterkte NCC. Maar dat zijn best wel aardige trajecten. Daarnaast is er natuurlijk die nieuwe cyberbeveiligingswet die eraan moet komen. Maar ook het organisatie daarvoor klaarmaken. Want vanuit de huidige wet ondersteunen we ongeveer 300 entiteitenorganisaties. En onder de nieuwe wet worden dat er 10.000. Dus je kan je voorstellen dat de manier van werk waarop we dat deden, dat moet echt wel anders. Dus we zijn ook echt nu aan het omklappen naar een meer agile vorm van werken.

Dus daar gebeurt er heel veel. Er komt natuurlijk nog meer nieuwe wetgeving. We hebben natuurlijk doorgaande nettenkoten, cybersecurity. Dus een organisatie enorm aan het groeien en in beweging. En met een steeds beter informatiepositie. Dus daarmee ook meer gelijkwaardig aan de partners in Nederland. Dus we zullen straks even iets meer in op wat er nu allemaal gebeurt en wat er nog te gebeuren staat. Maar ik wil het nog even terug. Ik heb nog terug geluisterd naar dat interview met Hans de Vries. Wat me er erg bij staat is dat hij lijsten had met kwetsbare servers.

Waarvan hij dus wist die zijn weg. Want er vonden scans plaatsen en mensen hadden dat gemeld. Of het NCC dat zelf had gescand. Nou, dat laatste denk ik niet eigenlijk. Maar hij zat er ontzettend mee dat hij met die lijsten met IP-adressen niet kon uitdelen. Want dat waren IP-adressen. Dat werd gezien als persoonsgegevens onder Nederlandse wetgeving. Hij zei toen ook maar die wetgeving moet deze maand aangepast. En dat gesprek was zeg maar 5 jaar geleden. Hebben jullie nog steeds van die lijsten nu liggen of gaan die nu wel snel de deur uit?

Ik denk dat er in die tijd echt wel een heel hoop is veranderd. Informatiedeling is natuurlijk cruciaal in cybersecurity. Dus dat is gezien. Dus er is inderdaad nieuwe wetgeving. En ook de nieuwe wet die biedt ons ook weer meer mogelijkheden. Dus gaan we straks misschien ook nog over hebben. Dus ik denk dat die wereld inderdaad echt wel anders uitziet tegenwoordig. Dat is goed gezien, goed opgepakt. Ah, oké. Nou, dat is goed om te horen. Ja, want ik wou zeggen, want dat is natuurlijk eigenlijk frustrerend als je met van die lijsten blijft zitten. En ja, je kunt er volgens niemand waarschuwen, want persoongegevens.

Ja, nou ja, dat en wat nog belangrijker is, denk ik, ook de detectie bij de ene is de preventie voor de ander. En als er dan iets blijft liggen, dan is dat natuurlijk eeuwig zonde. En als het huis van je buur in de brand staat, dan denk ik ook dat je heel graag even wil waarschuwen. Dus goed, als gezegd, het ligt niet in mijn la nu. Een van de dingen gaat veranderen is over welke organisaties je nu gaat of wat er in jullie pakket past.

En daar is ook hoop veranderd. We hadden toen over een onderscheid tussen vitaal en niet-vitaal. Want ik weet nog, we hadden ook een incident ooit met een kaasdistributeur. Die was toen getroffen door Rensenberg, waardoor hij een legerschap had. En ja, en dan kan je dus de vraag opwerpen, ja, is kaas vitaal? En moet zo'n distributeur nou wel of niet door ondervallen? En zitten we nu met die NEST 2 implementatie. Hoe zit dat nu? Zit zo'n kaasdistributeur nu wel of niet daaronder dan?

Nou, je ziet dat er dus, wat ik net al zei, waar dat er nu drie honderd entiteiten waren die vitaal en belangrijk waren. Zijn het nu, worden het er 10.000. En dat heeft, denk ik, ook iets te maken met die coronacrisis die geweest is. Ik denk dat toen het besef kwam dat inderdaad kaas ook en voedsel dus ook belangrijk is. Dus ja, voedsel is nu ook onderdeel van vitale onder de nieuwe wet. Dus ja, dat is zeker uitgebreid en veel meer dan dat het nu is.

Want de WB is natuurlijk nog steeds van kracht. De nieuwe wet moet nog komen, maar dat is een enorme toename. Ook voor ons, dus ook veel meer sectoren en dus ook voedsel. En waar wachten we nu dan op voor de nieuwe wet? Want het is al volgens mij een paar keer uitgesteld. Ja, het is nu in behandeling. Dus de teksten zijn in principe klaar. Dus dat wordt nu besproken. En ja, dan moet de Tweede Kamer natuurlijk akkoord gaan. En daarna de Eerste Kamer. En dan kan die gepubliceerd worden. En we hopen nog steeds deze zomer dat die echt is.

Maar waarom heeft het zo lang moeten duren? Want andere landen hebben het wel al op orde. Nou, blijkt toch dat die, als ik zei, ook nog steeds in Europa vorige week, en nog zeker niet alle landen hebben, is het weer omgezet in wetgeving. Dus het is toch iets gecompliceerder dan dat het op eerste oog lijkt. Dan kan je dus twee dingen doen. Of je gaat de hele wet, direct omzetten in de wet. Of je gaat een goede wet maken. Nederland heeft de neiging om meer tijd te nemen om gewoon een goede wet te hebben.

Maar ondertussen handel je wel al als zijnde, dat je volgens die richtlijnen werkt en verwacht je ook van partijen, dat ze het op die manier doen? Nou, er zit een directe werking vanuit zo'n directive. Dus dat betekent dat de rechten er zijn bij organisaties. Dat is de rechte ondersteuning van het NCC en dat wij informatie leveren. Dus dat is er al. Alleen er zijn nog geen plichten die wel uit die wet voortvloeien. En dat gaat dan over die registratieplicht, de meldplicht, de zorgplicht. Dat zit daar allemaal ook in.

Maar die zijn dus nog, omdat het nog geen wetgeving is, nog niet van kracht. Maar wij hebben die tijd wel gebruikt om wel klaar voor te zijn als NCC. Dus we hebben het mijn.ncc.nl. Daar kunnen organisaties al op registreren. En dan roep ik ze ook echt toe op om dat vast te doen. En hoeveel hebben we dat al gedaan? Nou, inmiddels hebben we meer registraties dan dat we onder de huidige wet hebben. Dus dat is wel goed. Dat is nog steeds een stijgende lijn. Dus dat gaat de goede kant om. Maar je wil liever geen getal noemen?

Nou, dat fluctueert ook. Nee, registraties worden alleen maar meer natuurlijk. Ja, daarom. Maar die tijd gebruiken we natuurlijk wel. Dus we zijn op NCC echt klaar voor. Dus op het moment dat die wet er komt, dan hebben wij in ieder geval dat allemaal op orde. Oké, en je hebt het net al een paar keer genoemd dat we straks zo'n 10.000 organisaties registratieplicht hebben. Die schaalvergroting, hoe bereiden jullie daar dan voor? Dat betekent dus dat we niet meer dingen kunnen doen zoals we dat deden.

Dus met die 300 entiteiten kan je gewoon bezoeken bij, of zo spreken. Dus met 30 relatiemanagers zoals we dat noemen, die echt op pad gaan en onze klanten kennen. Hebben we straks 10.000, dat is al niet meer te doen. Dus we rechten ons veel meer op Digital First dienstverlening. Dus heel veel via ons portal. Dus zoveel mogelijk één punt hebben. En ook zoveel mogelijk gemak daarin creëren. Dus als je een melding moet doen en het is onder de doorraad dat je dat op hetzelfde portal van ons kan doen. Maar in beeldvorming, dat is dat portal wat je net zei, de Mijn.ncsc.nl? Ja, precies. Dus organisaties die kunnen daar al gewoon terecht en kunnen ook al informatie ontvangen op dat portal.

Dus als je daar op geregistreerd bent, dan bieden we die service ook daar al meteen aan. Als organisaties nu nog twijfelen, val ik onder die wet, dan zou ik zeker ook adviseren om die zelf evaluatie op onze website te doen. Want ja, als die wet er komt, dan wil je natuurlijk ook wel weten dat die van jou van toepassing is. En er kan ook iets misgaan als je je registreert, maar uiteindelijk vinden anderen dat je er toch niet onder valt. Heeft dat ook nog nadelen? Of heeft het alleen maar voordelen om je gewoon aan te melden? Nee, je mag je gewoon aanmelden. Dus ik zal dat ook bij twijfel, zal ik dat zeker gewoon wel doen.

Ook omdat je natuurlijk bepaalde informatie kan krijgen. En als je onder die wet valt, krijg je ook meer informatie. Maar het is wel aan de organisatie zelf om eerst te bepalen of dat ze onder die wet vallen. Ja. Hey, je spreekt over NCSC 2.0. En dat gaat niet alleen over een vernieuwing zeg maar, maar jullie gaan ook viseren nog met het DTC. En het DSP, dat zit al onder jullie. Dat is iets dat DSP, dat kennen niet heel veel mensen. Wat is dat precies voor een club? We zijn dus ook klaar met DTC.

Dus we zijn al die versterkte organisaties, dat is het goede noem. Nou, alles is al rond. Sinds 1 januari zijn we dat versterkte NCSC. Oké. Dat betekent ook dus een doelgroep toename voor ons. Dus ook alle organisaties in Nederland kunnen in principe voor kennis en advies ook bij het NCSC terecht. Dus dat is dat ene punt zeg maar waar je kan melden voor de overheid, voor cybersecurity. Dus dat is sowieso al, dat werkt. En dan zie je zo'n DSP die rechts vooral op de digital service providers in Nederland.

Dus de Marijnplaatsen en dat soort. Ah, oké. En dat zijn dus niet per se de hosters en zeg maar de hele IT-backboven van het internet? Ook, maar ja ook. Maar ook onder de nieuwe wet valt dat er ook weer onder. Dus heel veel verschil maakt dat voor hen niet uit. Nee, oké. Want we merken wel, de reden, en dat komt uit de cybersecurity strategie, dat die wens er was om te bouwen in het centraal aanspreekpunt in Nederland.

En ik denk dat het ook heel goed was, want je zag in Zweden wel dat wij met het NCSC kwamen met basis, principes van wat moet je nou doen om cyberweerbaar te zijn. En dat de DTC ook kwam maar net weer iets anders. En dat wij gingen waarschuwen en dat de DTC ook deed. Dus dat is verleden tijd, dus dat doe je nu op één centraal punt. Maar wat ook heel fijn is, de blik van buiten naar binnen. Dus omdat de DTC dat komt van economische zaken vandaan. Dus die had ook een heel groot netwerk. De DTC community wat ze mee hebben gebracht.

Dus het versterkt ook daadwerkelijk het NCSC in de missie. Ja, dus bredere bekendheid. Oké, heel goed. En je benoemde eerder al dat jullie agile gaan werken. Hoe werkt dat precies? Nou, dat we vooral echt gaan kijken, wat voegen wij nou toe als NCSC aan die weerbaarheid in Nederland. Dus wat is nou precies onze taak en hoe doen we dat? Dus je hebt eigenlijk waardestromen zoals we dat dan noemen. Dus welke waarde voegen wij toe? En onder die waarde zitten resultaateams.

Die worden aangestuurd om product-onig. En werknemers zelf zitten in een competentiecluster. Dus competenties die dicht of hetzelfde zijn, die zitten in één cluster. En dat maakt dat we sneller kunnen reageren op nieuwe gebeurtenissen. Maar ook als er weer een nieuwe wet aankomt, dat wij niet weer opnieuw hoef te reageren. Maar dat dat eigenlijk waarschijnlijk weer een nieuw resultaat wordt onder een waardestroom. Dus dat maakt dat we veel flexibeler zijn. Maar ook als we moeten opschalen in het kader van een incident. Dat we veel makkelijker collega's daarin kunnen zetten. Of collega's die juist een hele tijd in incidenten hebben gewerkt.

We heel even uit die druk te halen. Om weer te werken aan competentieontwikkeling. Even wat rust pakken. Dingen die geleerd zijn op het papier zetten. Dus daarmee zijn we en wendbaarder en schaalbaarder. Oké, tof Jarmond. Dat is inderdaad ook een van mijn volgvragen. Hoe je dat dan doet voor incident responding en de operatie. Maar dat hebben jullie dus eigenlijk al helemaal ingekleed. Zoals ik het zo begrijp. Dat is redelijk nieuw toch. Agile werk in de operationele domein. Sowieso binnen de Rijksoverheid gebeurt dat nog steeds niet heel veel. En het is natuurlijk ook dat wij niet één op één alle modellen overnemen.

Dus we moeten ook kijken wat er wel werkt. En waar hebben we eventueel tweaks nodig. En ik hoop ook dat we dat weer terug kunnen brengen in de Rijksoverheid. Als we even efficiënt werken. Dan denk ik dat het hele waardevolle lessen zijn. Hoe je dat ook kan doen. Oké. Hey, House of Cyber. Ook een nieuw begrip. Kan je gewoon eens even vertellen wat we daar voor een beeld moeten hebben? Ja, House of Cyber stond inderdaad ook in die Cyber Security strategie van Nederland. Daar is het ook ingenoemd van hoe ga je nou goed samenwerken.

Publiek en privaat. Tijdens de NAVETOP hebben we ook veel publieke en private partners om ons heen gehad. Dus op het moment dat er wat speelde. Dan kon je heel snel even bij de buren naar binnen. Die zaten dan nu bij ons op de gang. En konden we dus heel snel duiden van wat gebeurt er nou. En dat is eigenlijk precies wat we ook voor ogen hebben in het House of Cyber. Dus dat de organisaties samenkomen om kennis, expertise en innovatie te kunnen bundelen. En dan is het volgens mij echt beter een goede buur dan een verre vriend.

Dus dat je elkaar ook echt dichtbij tegenkomt. Dus dat experts elkaar ook in het bedrijfsrestraan bij wijze van spreken tegenkomen. En elkaar dus ook veel bekender maken. Maar ook veel dichter bij elkaar kan betrekken in de processen. Uiteindelijk gaat het toch om die uitwisseling van kennis en informatie. Hoe moet ik me nou gaan voorstellen in de praktijk dan? Want jullie als NCSC bezetten in dat House dat het dat nieuwe gebouw heeft. Dat Egon gebouw volgens mij. Dat de gemeente Den Haag koopt en jullie mogen gaan huren geloof ik.

En ja, daar zitten jullie dan als grote kern. En allerlei organisaties zetten daar dan een liaison neer? Moet ik dat zo zien? Ja, het kan een liaison zijn. Dat kunnen er ook meerdere dat je een team neerzet. Maar het is inderdaad de bedoeling dat we zoveel mogelijk al schillen om ons heen hebben. Dus vanuit het operationele hart wat we natuurlijk doen om onze dagelijkse werkzaamheden uit te voeren. Maar daar omheen ook publieke en private partners en ook startups.

Dus de Heek Security Delta gaat daar ook naartoe. Het is ook een test van ITNO en andere organisaties. Dus dat maakt dat we verschillende soorten technoten die allemaal met cyber en veiligheid bezig zijn. Dus daar geconcentreerd hebben. En die mensen kunnen bij jullie gewoon over de gang lopen. Waardoor je elkaar tegenkomt bij de koffiemachine en dan ontstaat er al de uitwisseling. Met een beveiligingsschil kan het wel. Je kan je voorstellen hoe geheim de informatie is. Hoe meer dat afgeschermd is in het pand.

Maar inderdaad het is wel de bedoeling om zo laagdrempelig mogelijk bij elkaar samen te kunnen werken. En iets zoals dit hebben we toch al denk ik. Is dat Cyclotron of zo? Ik weet altijd creëert niet meer. Ja, Cyclotron gaat ook van publiek en privaat samenwerken. Alleen dat is dan echt op het datadeling gebied. Maar dat is ook echt wel een kern hoe je dat veel meer vorm kan krijgen op zo'n locatie. Maar dan gaan er dus een paar mensen van de politie, van Defensie, van de diensten.

Dat is dan aan de overheidszijde van EZ misschien. Want die, ik sprak met Willemijn Arnt laatste nieuwe staatssecretaris daar. Die is ook heel druk met dit digitale thema bezig. En die is ook net haar DTC kwijt aan jou. Dus die zoekt ook nog wat verbindenis denk ik. Maar ook bedrijven, is dat dan gewoon de cybersecuritygemeenschap? Gaan die allemaal daar een poppetje neerzetten? Is dat uw gedachte? Ja, we zijn nog aan het kijken hoeveel ruimte we natuurlijk over hebben en wie we allemaal kwijt kunnen.

Ik denk dat er ook best wel een FOMO ontstaat als je er niet kan zijn. Dat is het uiteindelijk. Dus dat er informatie moet rondgaan dat je alleen maar kan horen als je daar binnen zit. Nou ja, dat hopen we nog steeds wel goed te delen. Maar dat het vooral zit in de snelheid en in die samenwerking. Ja, en je moet natuurlijk vooral oppassen dat er dan niet van die mensen van Defensie of Van den Dinsdag zitten. Omdat ze toch gezien worden als ze niet helemaal binnen zitten. Ja, die gaan we niet alles vertellen. Want dan gaat dat in het House of Cyber heel veel te snel rond.

Ja, dat is natuurlijk professionaliteit die we toch al hebben ook binnen het netwerk. En het is natuurlijk ook al in samenwerking. En dan weet je dat je soms niet alles kan vertellen. Maar het is wel het doel om zoveel mogelijk te kunnen delen. Want daar draait het uiteindelijk. Ik heb nog één laatste punt die ik uit de geschiedenis van met Hans naar boven heb gehaald. Dat is een bedrag van 833 miljoen wat de cybersecurity raad ooit had geadviseerd.

Dat is nodig om Nederland cyberveilig te maken. Weet jij wat daar concreet van terechtgekomen is? Niet zo'n bedrag. Maar ik hoop altijd wel dat de wet van Moor ook van toepassing is op mijn budget en personeels bestand om mee te kunnen. Dus over twee jaar dubbeling kan het fijn zijn natuurlijk. Maar we zijn natuurlijk net klaar met de uitvoeringstoetsen. Dus wat hebben we nodig om de nieuwe wet uit te kunnen voeren? En daar zijn we nog steeds mee bezig.

Dus ons budget groeit nog tot 2028. En dan denk ik voor de taak die we nu hebben dat we daar klaar voor zijn. Je moet natuurlijk kijken hoe dat in de praktijk uitvalt. Je zal altijd moeten prioriteren. Dat hoort er natuurlijk ook bij. Maar je hebt wel heel veel mensen zitten ondertussen toch? Zeker. We zitten nu op ongeveer 500 FTE met nog inhuur erbij. En we moeten dus nog groeien tot 2028 zoals gezegd. Dus als ons budget groeit komen die jaren nog mee. Dat is echt een hele serieuze organisatie. Ik vind het altijd interessant om te kijken hoe bestuurlijk nu in Nederland die hele cyber omgeving geregeld is.

Voor mij als hoogste orgaan is dat de Cyber Security Raad denk ik. Met deze omvang heb je ondertussen wel een stoel verdiend in die raad of niet? Ik vind de raad ook heel fijn om juist ons te helpen en ook scherp te houden. De NC2 is daar natuurlijk al in vertegenwoordigd. De NC2 is onze opdrachtgever. De plaatsvangend secretaris-generaal van Justitie en Veiligheid is mijn eigenaar. En zo werken we in een driehoek. Dus ik ben de opdrachtnemer als NCSC.

Dus daar werken we veel in samen. Dus de raad is niet per se voor mij een lijn. Maar wel een heel belangrijke partner. En soms kan de raad natuurlijk ook weer meer stelling nemen dan dat ik dat kan als directeur van het NCSC. Maar het helpt zeker. Want natuurlijk ook input. Dat zag je nu ook bij de nieuwe coalitiebesprekingen. Dan wordt er ook echt geluisterd naar de raad. En dat is denk ik ook heel belangrijk. Ja. En er zitten wel voldoende mensen uiteindelijk. Als ik wat ouder dan ga ik er best zitten hoor. Oké. En daar zit er dan ook wel...

Ja, ik vind hetzelfde belangrijk dat je ook operationele cyberkennis aan boord hebt in zo'n soort overleg. Is dat dan... Want het hoofd van de NCSC zit erin. En de hoofd van de diensten. Ja, allemaal hele belangrijke mensen die helemaal goede dingen doen. Maar die toch een beetje op afstand staan uiteindelijk van die materie. En er zitten wat academici tussen. Die natuurlijk ook weer vanuit hun eigen toren zitten te kijken naar dat cyberlandschap. Maar hoe is dan de operationele kennis geborgen in die raad?

Ja, ik ga niet over de raad. Dus die vind ik ook lastig te beantwoorden. Ja, ik ook. De leden zelf worden gekozen daarin. Wat ik wel kan zeggen, dat het mij enorm helpt met mijn achtergrond. Om in ieder geval die vitaalslag te kunnen doen. Maar ook het gesprek met mijn medewerkers aan te gaan. Over wat er nodig is. Maar ook wat zij weer nodig hebben om het werk te kunnen doen. En dat werkt wel. Dus ik denk wel dat inhoudelijke kennis zeker helpend is. Ja, nee, ik vind het ook heel sterk dat ze voor jou gekozen hebben. En niet gewoon iemand die al ergens in de nage rondliep.

Met een schaal of zoveel. Dat die denkt, ik ga zo horizontaal iets heel anders doen. En je wordt op eerst baas van het NCSC. Iets wat je typisch in de nage ziet. Maar dat ze nu echt iemand binnenbegaalt die echt wel kennis heeft. Dus dat is supergoed denk ik. Ik wil even inzoomen op de digitale brandweer van Nederland. Want dat ben jij dan niet. Dat heb je ook heel bedrukkelijk zelf zo naar voren gebracht. Dus misschien wil je dat toch nog even uitleggen of duiden. Hoe moet ik het dan wel zien? Ja, dat is een hele grote vraag. Ik denk dat je het ook wel kunt zien. Maar ik heb ook een hele grote vraag. Hoe moet ik het dan wel zien?

In het verleden werd juist wel gezegd. NCSC is de digitale brandweer van Nederland. En ik denk dat dat echt wat te maken heeft met het verschil. Wat er nu gebeurt. Er zijn natuurlijk meerdere partijen die helpen als je een incident hebt. Ik zie ons dan echt wel meer als je dan toch die parallel wilt trekken met de officier van dienst. Dus dat wij wel ter plaatse komen. Wij zijn er niet om uit te gaan blussen. Wij willen wel weten wat er nou precies gebeurd is in een incident. Dus we hebben te maken met iets nieuws. Iets wat we niet kennen.

Wat is de potentiële impact voor Nederland? Dat is echt onze taak. En ook dat beeld te kunnen brengen. En natuurlijk ook die ondersteuning te verlenen. Dus als het echt nodig is dan komen we ook. En we hebben ook medewerkers die paraat staan om nog steeds wel naar buiten te gaan. Maar we kunnen dat niet garanderen voor 10.000 entiteiten. Dus het stukje zorgplicht dat in die nieuwe wet zit. Dat betekent ook dat je ook moet zorgen. Dat je geholpen wordt op het moment dat je een incident hebt. En dat bedrijfsleven vult dat op zich ook prima in denk ik toch?

Dus waarom zou de OVD dat moeten invullen? Ja, de markt. Ja, zeker. En daar komen we elkaar natuurlijk ook echt tegen. Dus wij kunnen het gewoon niet alleen. En dat geldt denk ik voor iedereen. Voor publieke en private partners. We hebben elkaar allemaal nodig. En iedereen heeft zijn eigen stukje verantwoordelijkheid daarin. Voor ons zit het dan echt in het zorgen de enezijt zoveel mogelijk te kunnen delen op nieuwe kwetsbaarheden. Maar ook wat de impact is. En zo goed mogelijk uitgangspositie hebben dat je weerbaarheid dus ook zo goed mogelijk is.

Gaat House of Cyber hier dan ook nog een rol in spelen in feite? Omdat met die incidenthandeling eigenlijk en alle soort zaken? Ja, juist omdat we dan zo dicht op elkaar georganiseerd zijn dat je dus heel snel met elkaar kan schakelen. En we hebben hier al een kick. Dat is al een samenwerking met dienst, politie, het Openbaar Ministerie en het NCC. Dus daar doen we al heel veel duiding. En zorgen dat we van elkaar op de hoogte zijn wat er speelt. En dat helpt.

Maar daaromheen die schil van iedereen heeft toch weer zijn eigen stukje informatie. Ik zeg altijd dat het ook puzzelen is. Dus wij hebben een stuk informatie. Maar die hebben de private partijen, andere publieke partijen, Europese internationale partners. En dat moet je echt allemaal bij elkaar zien te brengen. Om het totaalbeeld te hebben. En dan hebben we net recent een heel groot incident gehad in Nederland. Daar staat iedereen nog wel scherp. En dan zou je dan toch met die vragen in de achterhoofd over de digitale brandweer kunnen schetsen. Wat dan precies wel jullie rol is met zo'n incident als Odido als dat voorbij komt.

Wat gebeurt er dan bij jullie intern allemaal? Ten eerste willen we weten wat er dan precies gebeurd is. Dat is heel anders als je te maken hebt met een... Dan ga ik toch hypothetisch praten. Omdat het mij lastig is om echt over incidenten dan wel organisaties te praten. Maar in een incident dan willen we altijd weten wat er is gebeurd. Dus is er nou een phishingaanval geweest of is er echt een sprake van een geavanceerde hack? Dat maakt al een heel veel verschil hoe je daar op moet gaan reageren. Ook voor het NCC.

En natuurlijk willen wij dan ook weten. Maar wat zit hier dan achter? En dan doe ik niet de attributie. Dus niet van is dit nou een statelijke acteur? En welk land zit hier dan eventueel achter? Voor ons is het veel meer dan van welke tools en technieken en protocolen zijn er gevolgd. Zodat wij die weer kunnen vertalen naar andere organisaties van hier moet je op letten. Om ook niet slachtoffer te worden. Wat wel nieuw is. We hebben natuurlijk onze blik moeten verbreden nu ook. Omdat we ook het DTC onderdeel, dus de taak van het DTC onderdeel,

van het DTC onderdeel te worden van het NCC. Dat we ook wel moeten kijken. Wat betekent dit dan voor zzp'ers en mkb'ers die eventueel in die data set zitten? Dus ja, we krijgen die informatie. We weten zowaar dat ze nu rekening mee moeten houden. Dat er zo'n lek heeft plaatsgekomen. Maar je kan je voorstellen dat de reactie op zo'n zaak totaal anders is. Dan als je echt te maken hebt van een 0D kwetsbaarheid of iets anders. Of dat de continuïteit van de dienstverleningen in gevaar zou zijn. Dan is dat heel wat anders. Maar nu is het meer een privacy-probleem denk ik dan.

Wat dus ook wel een bordje van HP zou liggen. Natuurlijk, want dit wordt allemaal weer gebruikt om nieuwe geavanceerde revishingaanvallen op te zetten. Maar moet ik me voorstellen dan, want we weten eigenlijk niet alles zeker. Maar dat ik dan maar heel goed gokken dat het een Salesforce ding was. Dat ze via Salesforce binnenkwamen. En hoe kunnen andere telcos dat ook naar binnen brengen? Dat van jongens pas op als je hetzelfde systeem hebt. Dit is hoe ze nu aan het aanvallen zijn.

Wij sturen dan waarschuwingen uit. Dus ook op ons website zijn die ook te vinden. Dus wij waarschuwen inderdaad voor als we bekende manieren van werken hebben. Dan gaan we dat zo goed mogelijk en zo breed mogelijk delen. Maar ook als het heel specifiek is voor één sector. Dan juist binnen die sector. En dat kan soms ook zijn dat je een sectorale zee shirt hebt. Dus bijvoorbeeld binnen de zorg waar je zee shirt hebt. Dan gaan wij ook heel erg met zo'n shirt werken. Om te zorgen dat die informatie heel gericht binnen een sector terecht komt. Het is best wel een mindset shifter.

Want je gaat eigenlijk van waar vroeger werd gezegd de brandweer. Dus nu eigenlijk meer een stukje strategie en preventie meer die kant op. Hoe krijg je dan de organisaties mee? Want je stuurt de waarschuwingen uit. Maar hoe krijg je ze dan aan boord dat je ze ook zo ver krijgt dat zij dan wel beschermd zijn? Voor de entiteiten die onder de wet vallen is het denk ik nu een wettelijke... prioriteit geworden. Dus niet meer zo vrijwillig als dat het was voor de wet. Omdat er natuurlijk ook een stuk bestuurlijke aansprakelijkheid in zit. Sterker nog je moet als bestuurder dus kijken van wat doe ik aan cyber security in mijn organisatie.

En je moet het goed keuren. Sterker nog je moet een opleiding volgen om ook te snappen wat dat dan inhoudt. Dus ik denk die vrijblijvendheid zijn we daarmee ook een stukje voorbij. En voor de overige hoop ik en nog steeds krijgen wij heel veel meldingen ook die gewoon vrijwillig worden. Dus dat kan ook inderdaad de bakker op de hoek zijn die zich van ooit ben gehakt. Die meldingen kunnen net zo waardeval zijn. Want als dat de patient zero is van een nieuwe kwetsbaarheid. Dan kunnen wij dat echt wel weer gebruiken om breder te delen en te kijken en te duiden wat is daar dan gebeurd.

Oké, helder. Dus je hebt een analyse en een waarschuwingsfunctie zie ik dan heel erg. Maar je bent niet normerend. Het is niet zo natuurlijk te zeggen als je dit niet doet. Ik wil natuurlijk zeggen als je dit type organisatie bent. Dan verwachten wij dat je op deze manier je technische omgeving ook hebt ingericht. Hier moet je maar aan voldoen. Ja, dat is echt een eigen verantwoordelijkheid. We zijn ook geen toezichthouder. Dus ook als het mis is gegaan in je organisatie.

Dan gaan wij ook niet naar binnen en kijken van wat is er dan precies mis gegaan. Wat wij wel doen is zo goed mogelijk die weerbaarheid voor elkaar te krijgen. Bijvoorbeeld ook met onze vijf basisprincipes. Want we zien nog steeds dat het daar op mis gaat. Dat zijn vrij basale dingen als je dat zegt. Dat denk ik voor jou eigenlijk heel opvius. Maar toch zien we dat nog steeds. Dus dat het gaat over bescherm je systeem, creëer bewustzijn. Zorg ervoor dat je segmentatie hebt toegepast.

Nou, de basisprincipes zijn natuurlijk te vinden op onze website. Maar dat zijn nog steeds wel de zaken waar het altijd nog steeds op mis gaat. En ook bereik je oren. Want de kans dat je slachtoffer wordt, wordt natuurlijk echt wel steeds groter. Dus heb ook je scenarios klaar liggen. Wat ga je dan doen? Dat is allemaal waar. Maar hoe lang bestaat deze digitale omgeving? Al 25 jaar denk ik. Waarbij we serieus met ICT bezig zijn in onze samenleving.

We zien diezelfde problemen. En ook het NCC roept al minstens 15 jaar diezelfde vijf punten die je nu noemt. En toch zijn we blijkbaar niet in staat als organisaties om eraan te voldoen. Ook hele grote organisaties niet. Die maken nog steeds dezelfde fouten. In een van onze vorige afleveringen heb ik die wel toen ook maar geconcludeerd. Heeft het heel veel nut om nog een keer te roepen van zorg voor sterke wachtwoorden. Two-factor authenticatie. Doe je patches. Zorg voor awareness.

Er is al wel eentje die klikt op een linkje. Dat hebben we gezien recent. En dat lijken we tot het volgende. Als je als NCC ook geen normen stelt. En je houdt geen toezicht. En je bent ook geen brandweer. Hoe voorkom je dan dat die zorgplicht een papierenverplichting wordt. Waarbij bedrijven formeel compliance zijn. Maar eigenlijk helemaal niet veilig. Ik denk dat het blijft herhalen. Waarom het zo belangrijk is om wel te zorgen dat je die 5 baseprincipes op orde hebt.

En dat begint inderdaad. Bring de risico's in kaart. En weet dus wat je te beschermen belangen zijn. Dat herhalen zal moeten blijven gebeuren. Maar ik denk wel dat het met de NIC-system NIS 2 is gekomen. Dus is er ook nog bleken dat NIS 1 te krap was. En nog te weinig stok achter de deur was. Dus dat gaat echt wel veranderen hiermee. En ik denk ook dat het juist goed is dat wij ook weer niet de toezichthouder zijn. Maar dat wij juist zo open mogelijk zijn om ook die meldingen te doen.

Want uiteindelijk heb je ook daar basis van vertrouwen voor nodig. Dus ook die vrijwillige meldingen dat we die ook blijven ontvangen. En daarbij blijft het onze taak om natuurlijk te blijven waarschuwen. En ook dus over nieuwe kwetsmereheden waarvan wij kennis hebben. Om die zo goed mogelijk te delen. En daarbij gaat onze dienstverlening ook wel verder. Dus we werken ook met Ivanti samen. En kijken of we een check-script kunnen maken. Dus wij krijgen nieuwe IOC's binnen. Dan weten we van oké, hier moet je op letten. Dat is informatie die wij hebben. Die ze niet per se hebben bij zo'n partij die dan kwetsbaar blijkt.

Nee, daar zit echt wel waarde. En we hebben dan eigenlijk vier rollen. Want we zijn ook het nationale C-shirt. Dus wij koppelen ook op Europees niveau wat wij zien in Nederland. Zodat we dat ook zoveel mogelijk in Europa delen. Maar ook daarbuiten natuurlijk met partners over de hele wereld. Dus dat is ons nationale C-shirt taak. Dan hebben we dus inderdaad de sectoralen vanuit het nieuwe wet. Daarnaast zijn we kennis- en adviescentrum. Dus we leveren heel veel producten online. Ook om begrijpbaar en ook precies te weten wat je moet doen. En dat is niet one size fits all. Maar echt van een kleine organisatie tot aan een multinational.

Dus dat we ook gericht op wat voor soort organisatie je bent. Dat we die informatie dus ook leveren. En ook uitvoeringscoördinaten op het cybersecurity-stelsel. Dus we zorgen er ook voor dat in een crisis dat we daar ook zijn. Om juist te zorgen dat er goede dingen gebeuren. En dat we met onze kennis aan tafel zitten. Om daar onze verantwoordelijkheid ook te nemen. Ja, met kennis en niet dat je dingen kan afdwingen. En dat kunnen toezichthouders wel. En hebben we voor allerlei sectoren bestaande toezichthouders. Die hebben daar hun eigen rol in. En die zijn misschien wel normerend.

En delen uiteindelijk ook de boetes uit als dingen niet goed zijn. Klopt. Zijn er vooral die 10.000 organisaties straks vallen. Die allemaal onder hun toezicht houden ook. Dus dat is voor elke sector geregeld? Ja, iedere sector heeft in principe ook een eigen toezichthouder. Soms zijn ze ook breder. En de RDI is de coördinerend toezichthouder. Dus ook daar vindt natuurlijk wel afstemming plaats. Alleen wat nu ook nog steeds plaatsvindt. Dus kijken naar drempelwaardes. Dus waar moet je nou gaan melden?

Kan je voorstellen dat het in de zorg weer heel andere waardes zijn. Dan als het gaat over energie. Dus zo moet je ook goed kijken dat je wel een soort gelijke balans hebt. Ja, oké. Dus als ik dan zo kijk van hoe jullie daar in zitten in dat hele samenhang. In het samenstelsel van allerlei organisaties. Je zegt, wij zijn niet de brandweer. Maar heb je dan niet daarmee ook wel de verantwoordelijkheid om te waken over de kwaliteit van degene die er wel dan die branden blussen?

Ja, dat is... En dan kom ik dus bij de cybersecuritypartijen uit in Nederland. En alle landen om ons heen waar jullie ook nou mee samenwerken. Dus het ZK, Frankrijk, Duitsland. Die hebben allemaal lijsten met partijen die zij gekeurd hebben van deze zijn goed genoeg voor ons. Die moet je inzetten als je wilt pen testen of als je instant respons wilt doen of als je wilt monitoren. En daar kan je als bedrijf die spannende dingen doet dan uitkiezen.

En ik heb zelf gevoel dat dat echt veel meer waarde biedt in die landen. En dat ook jouw tegenhangers in die landen daar heel blij mee zijn. Maar wij hebben het in Nederland niet. Ja, er is een keurmerk digitale basisveiligheid voor het MKB. En dat is eigenlijk dus ook niet echt een taak voor ons, maar meer voor economische zaken. Om dat soort certificeringen ook te doen. En natuurlijk is dat allemaal nouwe samenwerken met elkaar. Dus dat is ook wel kijken van wat heb je dan nodig om een bepaalde threshold te hebben. Maar het is eigenlijk weer meer iets voor economische zaken om daar een certificering op te doen.

Oké, ik spreek binnenkort ook Willemijn Aerts. Ga ik haar vragen of zij de hardware bezig is dan? Ja, we bespraken in de vorige aflevering van Cyber Helden en ook eerder het AIVD-MVD-report tussen Vrede en Oorlog. Over de Russische chat-infiltratie, bij Nederlandse overheidsmedewerkers en de hybride dreigingen die eigenlijk toenemen sinds 2023. En hoe zien jullie die dreigingen vanuit het NCSC-perspectief? Die zien wij ook toenemen. Daar kan ik kort over zijn. Juist al die geopolitieke ontwikkelingen, zogenaamde triggering events, dan zie je een toename van dit soort activiteiten.

We zagen natuurlijk rondom de navertop ook in Nederland. Er neemt een aantal DDoS-aanvallen toe. Die zagen we ook aankomend. Ze konden er echt wel goed op prepareren. Maar je ziet dat dat geopolitieke spanning ook meer cyberdreiging met zich meebrengt. Die gaan eigenlijk gewoon tegenwoordig hand in hand. Het conflict Midden-Oosten, op het moment dat Nederland daar een actieve rol in zou gaan spelen, dan zal ook de dreiging daarop toenemen. Dus dan zullen er ook activiteiten worden ondernomen tegen Nederland.

Je gaat weer eraan van de grond. Dan gaan we strategisch kijken. Dan gaan we ook de waarschuwingen de deur uit doen. Maar hoe ga je dan de bedrijven meenemen in die geopolitieke dreiging? Dat zal echt een spul op orde moeten krijgen. Want voor commerciele sectoren kost dat geld. Maar je ziet wel een geopolitiek spel waar zij misschien de slachtoffer van zijn, zoals bijvoorbeeld de telecom-industrie. Ja, dat klopt. En dat is ook echt alweer een samenspel tussen de inlichtingendiensten en het NCSC. Want we hebben allebei informatie. En dan kijken we ook wie heeft dan de beste papieren om wat te kunnen delen.

En dat kan soms zijn dat een dienst direct contact opneemt met een bedrijf. Het kan ook zijn dat wij de informatie al hebben dan wel krijgen of verrijken. En dat wij dan een waarschuwingsbericht uit kunnen sturen. En dat kan inderdaad een keer heel gericht zijn op de energie-sector. Omdat je dan zag, volgens mij hebben jullie ook Polen behandeld ondanks, dat daar een positie wordt gepakt. Dus dat je daar weer extra alert op kan zijn. Maar daar ook weer van elkaar kan leren. Dus van die incident in Duitsland leren wij natuurlijk ook het. Dat helpt ons om ook die dreigingsinschatting te kunnen doen en zo goed mogelijk informatie te delen.

In dat MIVD-rapport stond ook dat militaire escalatie met Rusland niet langer ondenkbaar is. En als jij dat dan leest dan neem ik aan dat je denkt wat dat betekent voor cybersecurity in Nederland. Hoe bereid je daarop voor op zo'n scenario? Als dat het scenario zou zijn dan krijg je natuurlijk een andere verhouding tussen Defensie en overige onderdelen in Nederland.

Die met die weerbaarheid bezig zijn. Nederland is dan voornamelijk een hoe en voor land. Dus richting het oosten. Dan ga je zoveel mogelijk met Defensie samen kijken wat ze daar dan specifiek op nodig zijn. En wat zijn dan die risico's? Dus eigenlijk val je dan toch ook weer hier terug op die basismaatregelen of de basisprincipes. Wat zijn dan precies die beschermen belangen en welke risico's loop je daar dan in? En dat is feitelijk wat we ook met de navertop gedaan hebben. Kijk dit is de locatie en wat zijn dan de risico's die je daarop hebt.

Maar dat was ook Schiphol en dat is ook de route daar naartoe. Dus hier zal je ook gericht moeten gaan kijken van wat is dan precies het risico dat we hier lopen en hoe ga je dat dan mitigeren? Ja, maar de AIVD en de MIVD die hebben dat in het rapport zo indrukkelijk geschreven. Dat zijn echt stevige uitspraken die ze gedaan hebben. We kunnen zo maar in een oorlog komen. Ik moet wel denken aan die Defcon Alerts. Zo een alertstate die je bij een militaire compound ziet. Beteekent het ook dat jullie dan nog een tandje bijzetten?

Of dat je wat sneller advies er de deur uit doet? Of wat extra gaat kijken? Of anders zit het allemaal wel goed? Het zal een nog hechterere samenwerking met Defensie betekenen voor het NCC. Nu werken we al echt heel veel met elkaar samen. Af en toe dan maken we ook gebruik van cyber reservisten in ons operationele proces. Als het echt heel erg druk wordt bijvoorbeeld met de navertop. Toen hebben we dus ook 24-7 een aantal dagen gedraaid. Dat kan ik niet met mijn huidige bezetting draaien.

Dan doen we ook een hulpverzoek. Dat helpt ook dat we elkaar kennen als organisaties. Cybersecurity is een hele civiele omgeving. Dat is het grote voordeel dat NCC wel een positie heeft binnen het stelsel. Die heb je echt nodig. Als je in die situatie komt dat we je opnieuw gaan uitvinden. Dan weer apart al die organisaties waarvan je denkt die zijn nodig voor onze taak op dit moment. Het is juist krachtig dat we straks zo dicht bij elkaar zitten.

En dan ook een snelle respons daarop kunnen hebben. Dus wij kunnen heel snel focussen en schakelen naar nieuwe situaties die er ontstaan. Ik wil, we kunnen niet omheen, AI en de rol die dat allemaal heeft voor cybersecurity. Maar misschien ook hoe jullie er gebruik van maken. Of juist niet misschien. Ik vind het heel bijzonder om te zien dat bij Anthropic, toen die met hun cloud code security uitkwamen,

dan zie je alle cybersecurity-aandelen als een gekkeldere. Want dat wordt als een bedreiging gezien. Wat cloud kan, dat is gewoon een bedreiging voor wat bedrijven nu zitten te doen met allemaal mannetjes. Dat laat dus ook wel zien hoe hackers AI kunnen gaan gebruiken. Maar misschien aan de enige kant net zo goed. Hoe springen jullie in op deze trend? Nou, ik denk, en dat geldt denk ik voor elke technologie. Het is een kans en een bedreiging. Dus ik ken ook heel weinig technologieën die niet ook crimineel of van een andere manier dan dat ze bedoeld zijn ingezet worden.

Dus ik zie AI ook voor het NCC als iets wat wij echt wel kunnen gebruiken. Ook om grote datasets te analyseren. En om te zorgen dat wij dus ook uit alle data die wij ontvangen goede beelden kunnen halen en dus ons werk goed kunnen doen. Dus dat helpt natuurlijk enorm. Ik denk dat dat ook geldt voor organisaties. Dus al je SOC-data en noem maar op, sneller en nieuwe mogelijkheden biedt. En tegelijkertijd zien we natuurlijk ook dat de tijd, als er een nieuwe kwetsbaarheid uitkomt,

en dat de eerste Proof of Concept verschijnt of de eerste uitnitting van die kwetsbaarheid, waar dat vroeger maanden was, is dat teruggegaan tot dagen en misschien zelfs wel uren. En ik denk echt wel dat dat ook te maken heeft met AI. Dus dat je die ook daar voor inzet. Dus ik weet niet of je in de situatie gaat komen dat AI AI aan het bevechten is op een groep moment. Dus wie heeft dan de beste? Maar je gaat toch wel een beetje die kant op. Maar je zegt het al van de AI gebruik in het analyseren van grote hoeveelheden data.

Doen jullie dat dan al of zijn jullie het aan het verkennen? Nee, we doen het al. Ook om onze advice-griven bijvoorbeeld te doen, is eigenlijk alles wat je nu nog allemaal handmatig doet, dat veel knippenplakwerk bij elkaar halen van bronnen en die analyseren, dat kan je perfect door AI laten doen. Maar het is natuurlijk wel de menselijke handeling die je altijd moet doen. Check of dat het allemaal klopt. Dus je gaat wel echt wel terug naar oké, dit was die bron. Dus we maken ook gebruik van betrouwbare bronnen. Anders krijg je inderdaad garbage in, garbage out.

Dus we moeten ook echt zorgen dat we vertrouwbare informatie leveren als NCSC. Dus dat doen we. Maar dat proces hebben we dus ook door AI terug kunnen brengen. Van waarnemaal dat je een week als mens bezig bent om informatie te verzamelen. Dan kan je dat dus ook in uren tot in minuten doen. Dus je kan veel sneller je waarschuwingen opstellen en uitsturen. Maar ook bijvoorbeeld op ons klantproces. Al onze interne informatie die we hebben over de nieuwe wetgeving, maar ook over bredere dingen, daar wordt natuurlijk heel veel over gebeld.

En daar kunnen we zelf al via AI, op onze eigen informatie, ook sneller een antwoord formuleren. Dus dat helpt ook in zo'n proces. En dat kan je dus later weer gaan inzetten door op je website aan te bieden als chatrobot of wat dan ook. Maar dat zijn natuurlijk allerlei voordelen van AI die je al direct kan gaan inzetten. Tof. Oké. En ik las ook iets over een wasstraat waarin organisaties verdachte bestanden kunnen uploaden. Dat klinkt ook een beetje als AI op de achtergrond?

Dat is wel een van de voorbeelden die je dus via ons portal al hebt. Zo registreerd die je zit erop. Daar kan je inderdaad stukjes samples uploaden. En die worden dan volledig automatisch geanalyseerd en je krijgt ook meteen het rapport terug. Tof. Maar dan moet ik het eraf vragen. Kijk, zelf als je zelf een marktpartij zijnde. Dat kan toch ook gewoon bij Virus Totals. Je buigt je abonnementje af en dan kan dat ook. Dus dan zit je nu op de stoel van de markt. Nou, dat is natuurlijk nooit de bedoeling van de overheid om de markt tegen te trekken of te verdringen.

Dat hoor ik ook altijd. Nee, precies. Maar wij weten in ieder geval wel voor de informatie die wij hebben. Dus welke bronnen wij kunnen gebruiken om die analyse te doen. En misschien is het ook wel slim om het met allebei te doen. Dus dat een het andere niet hoeft uit te sluiten. Oké. Ja. Hey, Mathijs. Wat houdt jou wakker? Nou, namelijk de hond als die gaat blaffen. Ik denk dat er heel veel dreigingen zijn.

Er gebeurt heel veel in de wereld. Maar het stelt mij als directeur rust om te weten dat het NCC er is en zoals we er nu staan. En wat we allemaal kunnen. Dus daar hoef ik absoluut niet wakker van te liggen. Het is natuurlijk wel dat de dreigingen toenemen. En dat er allerlei dingen gebeuren in de wereld die ons zorgen waren. Maar nogmaals, ik ben blij en trots op het NCC. Zoals dat wij er nu staan. En ook waar we mee bezig zijn. Onze informatiepositie die enorm toenemt. Onze toegevoegde waarde. Dus dat maakt me eigenlijk alleen maar meer trots. Tof.

Bedankt voor je openheid. En voor het tijd maken voor dit interview. Het is echt heel interessant om te zien hoe het NCC zichzelf ontwikkeld heeft. Sinds 2021. Dus ik ga je heel veel succes wensen met het NCC 2.0 en de House of Cyber. Ja, dank je wel. Elke week kan je naar een nieuwe aflevering van Cyberhelden luisteren. Onze gesprekken met Cyberhelden kan je terug luisteren via onze website. Cyberhelden.nl of Spotify of je eigen favoriete podcast app. Vergeet ook niet te subscriben want dan krijg je vanzelf weer een notificatie. Als er een nieuwe aflevering klaarstaat.

Veel dank voor het luisteren en graag tot de volgende keer. Tot de volgende keer. ***