LUISTEREN
Cyberhelden
AFLEVERINGEN
← Alle afleveringen
EP 67 · 47 minuten

Cyberhelden 67 - De lettersoep is compleet — en nu?

Cyberhelden 67 - De lettersoep is compleet — en nu? by Ronald Prins
Afbeelding voor Cyberhelden 67 - De lettersoep is compleet — en nu?
SoundCloudApple Podcasts

TRANSCRIPTIE

whisper

CYBERHELDEN Welkom bij alweer een nieuwe aflevering van Cyberhelden. De podcast waarin ik in gesprek ga met mensen die zich bezighouden met de digitale dreiging. Mijn naam is Ronald Prins en vandaag zit ik weer eens aan tafel met Marco.

Hey, hallo. En Jelle is weer terug. Goedemorgen. Vorige week hadden we Mathijs van Amelsvoort aan tafel, de grote baas van het NCSC. Dat was een goed gesprek. Nou ja, we hebben ook al wat reacties erop gekregen. Die vonden het wat minder goed. Maar we hebben het gehad over de fusie met het DTC en de schaalvergroting naar 10.000 organisaties. En dingen als House of Cyber. Er gebeurt ontzettend veel. Maar wat opvallend was, we hebben na die aflevering meer reacties gekregen dan ooit. Blijkbaar hebben de mensen de kritie naar geluisteren.

We kregen allemaal mails en linked inberichten en appjes. En ja, dat zat allemaal een beetje, er zat een rode draad in. Mensen die zeiden van, leuk dat jullie die directeur van het NCSC aan tafel hadden. Maar wat is nou het grotere verhaal? We hebben misschien ook al vooral gehoord wat het NCSC niet doet. Maar hoe ziet nou het totale plaatje van Nederland eruit? Dus we hebben gedacht, daar gaan we het over hebben. Dus dat pakken we nu op. Dat wordt het grote verhaal van deze podcast. En we gaan het niet doen om mensen af te branden. Want er wordt echt wel keihard gewerkt door hele goede mensen.

Maar omdat jullie de luisteraars duidelijk maakten dat dit gesprek gewoon gevoerd moet worden. Zijn we erin gaan duiken. En Jelle, onze academicus, die vond de twee prachtige papers. Die heel goed richting geven aan hoe je dit zou kunnen doen. En hoe je dit zou kunnen doen was een paper van Robert Hennigan. De oud directeur van GCSEQ. Dus de inlichtingenclub in Engeland. En die had precies dezelfde uitdaging. En beschrijft hoe ze daar dan uitkwamen. En ook van Nederlandse bodem, van Leiden. Een mooi onderzoek.

Wat helemaal gaat over de fragmentatie van het Nederlandse stelsel. En dat gaan we dus vandaag helemaal uitwerken. Maar voordat we dat gaan doen, eerst weer even de standaarddingetjes. Zoals, hoe gaat het allemaal? En dan beginnen we met Marco. Ja, gaat goed. Mijn zoontje is echt helemaal fan van Pokémon nu. En toen dacht ik, van goh, met AI kun je zo mooie dingen bouwen. Dus ik dacht, ik ga even met cloud in overleg. Ik had een idee voor een werkende Poké Ball. Niet een echte werkende natuurlijk, maar eentje die kan bewegen. Lampjes en geluidseffecten.

Dus een beetje sparren. Daarmee verder is er een design uitgekomen. En heb ik lekker alle spulletjes besteld. Dus een vibratiemotortje en een servootje. Om het Poké Balletje open en dicht te laten gaan. Wat leuk! Een kleine ASP32. En ik hoop dat ze van de week of volgende week allemaal binnenkomen. En dan, dat idee printer die is al losgegaan. Maar gaat het helemaal meekijken hoe je dat allemaal in elkaar zet? Het is wel het idee om het natuurlijk wel een beetje zoveel mogelijk samen te doen. Maar er zijn, hij heeft niet altijd evenveel aandacht. Maar ik ga wel proberen zoveel mogelijk met hem te doen. Ja, zeker.

Ik ben heel benieuwd of dat gaat lukken. Maar kun je hem ook gooien? Is dat het idee? Of is het dan dat je je servo... Ja, heb ik over en nagedacht. Want dan moet ik ook met ander plastic gaan printen. Van wat harder, wat je hebt, petg is dat. Die kan iets meer schokken aan. Of een ander soort plastic nog. Maar eerst ga ik even kijken of het überhaupt werkt. Voordat ik dan ook nog de materialen rabbit hole induik. En jij, jij lep je nog een beetje zitten nerden? Nou, ik heb eerst jouw ontzettend lange WhatsApp berichten zitten te lezen.

Omdat je nu die nieuwe setup hebt zeg maar. Waardoor je echt tekst produceert als een gek. Dus dat is fantastisch. Lekker aan het whisperen. Ja, zeker. En vandaag levert ik een artikel in over hoe je psychologisch kunt dealen met die permanente stukheid van het internet. Dus hoe je daarmee om gaat is het artikelen schrijven, wordt er een beetje bij. En vorige week ook speeddates gedaan met Nato Diana. Dat is een start-up incubator, heet dat volgens mij een hippe terme. Van NAVO op de TU Eindhoven.

Was gewoon tof. Heel veel start-ups, allemaal met Genetiv AI bezig. Ook van die gasten. En dan heb je ook een gesprek van ja, we hebben ongeveer 10 vulnerabilities. We denken zero days in de Linux kernel gevonden. Ja, dus die hebben we gemeld. Die hebben we gemeld. Ik zei gemeld, wist je. Wist je dat hier ook een markt bestaat voor dit soort kwetsbrede vulnerabilities en zo. En dat ze echt gewoon zaten van nee, nee, dat wisten we niet.

Echt niet? Nee, echt gewoon oprecht niet. Heerlijk, naïef nog. Maar jij mag dus beoordelen of ze een goede idee hebben. En dan krijgen ze geld van Nato om het verder uit te werken of zo. Het is meer die mentoring of spar, zei ze, want ze was voor de eerste dat ik erbij was. Want die gasten weten niet zo heel veel van de krijgsmacht over NAVO, hoe werkt dat. Als je een beetje aan het sparren bent, van hoe mark je dit product op de handigste manieren. En dus ook vertellen dat er ook een offensieve tak bestaat binnen Defensie. Niet alleen maar software veilig houden.

Dus dat is een... Hey, en bij jou? Ja, ik ook. Nou, ik heb bij Dilsit een nerde. En mijn vrouw is er niet, die zit nu even in Nederland. Dus ik ben echt helemaal... Ik heb een nacht van drie uur, ik kom niet gewoon weg bij haar. Mijn Mac Mini en cloud en co-working code. Het is zo fantastisch allemaal. En mijn dispatch heb ik nu opgezet. Dus ik kan vanuit de auto ook gewoon nog alles doen. En hele lange apps naar jou sturen. Nou, dat komt natuurlijk toch al. Maar goed. Ik vind het echt zo fantastisch. Ik ben blij dat ik nu even lekker de tijd voor mezelf had.

Maar ik ben ook bezig geweest met voor de Search and Rescue jongens een repeaternetwerk op te zetten. Dus bergen waar die dingen op staan. En dan achterlangs via het internet opzetten. Ja, echt fantastisch. En als dat dan een keer werkt en je kan praten met mensen die een paar honderd kilometer verder zitten. Ja, dat klinkt voor heel veel mensen misschien normaal. Dat kan je via je telefoon ook. Maar de bedoeling is dat tijdens rampen dit soort dingen ook allemaal werken. Ja, vet. Ik ben ook een beetje denken aan de Loosterings met de vuurstapel. Die dan zo van bergtop naar bergtop wordt aangestoven. Nou ja. The beacons are lit. Gondor is calling for help.

Ja, zeker. Hey, maar Ronald, ik ben wel benieuwd hoe je er dan aan kijkt. Want je bent al een hele tijd aan het nerden, zeg maar. Hoe je dan die nieuwe technologie nu allemaal bij elkaar ziet. Ik denk dat dit een grotere revolutie is dan de uitvaring van het internet zelf uiteindelijk. Ik heb ook het gevoel met de mensen om me heen. En misschien komt dat wel door de... Nou ja, ik zit heel veel met Afrikaners hier. Ik ben helemaal nog niet zo met die nieuwe wereld bezig. Als je nou niet op die trein springt en zorgt dat je heel AI-vaardig wordt, dan ga je de boot missen.

We hebben het vooral eerder ook over gehad. En ik zit mijn kinderen ook alleen maar te pushen. Gebruik het lekker alsjeblieft. Zou je er hier goed mee kunnen omgaan, die overleven. En de rest hobbelt er achteraan of zo. Dat is wel heel extreem gezegd, maar... Ik ben het helemaal je eens. Dat denk ik. Dat denk ik ook. Ik merkte ook, dat was dus ook in het interview dat we met Matthijs hadden. En wat doen jullie met AI? Ja, het helpt wel om al die meldingen misschien een beetje door te pluizen en daar wat ordeling in te brengen. Ik dacht, daar begint het mee.

We zijn toch al stukken verder ondertussen. Dus oproepen in iedereen, stoppen naar echt tijd in. En waar we ook over gehad hebben, ik merk dat mensen die nu gewoon een baan hebben, dat die eigenlijk te druk zijn om hier even tijd in te stoppen. Je moet allemaal even je partner de deur uitsturen en zo. Dat je de lachten door kan halen. En lekker met de cloud kan gaan spelen. En dan, na die week, dan ga je gewoon je werk anders doen. Maar je moet even de tijd verneemden om erin te duiken. En ik denk bij gewone bedrijven, die zijn te druk om het te doen.

Dus alle gepensioneerden zoals ik, die gaan het straks overnemen want die zitten nu allemaal lekker. Fuck, hier komen allemaal terug. Dat is de vibecode. Oké, we gaan even door onze nieuwtjes heen. En wie trapt hem af? Ja, ik trapt hem wel af. Ik kwam een leuk en interessant artikel tegen. Er is een infostealer, oftewel malware, die informatie van je systeem probeert te halen, zoals je wacht hoorde. Die heeft een heel nifty, hoe noem je dat? Een vernuftigde wijze ingebouwd om vanuit je Google Chrome je geheime sleutel te halen.

Even wat context daarover. Google Chrome heeft een nieuwe... In 2024 hebben ze een feature gelanceerd, dat noemen ze Application Bound Encryption. En dat komt er eigenlijk om neer dat de versleutelde data die Google op je schijf neerzet, waar jouw wachthoorde inzitten, die kan eigenlijk geen enkel proces uitlezen, behalve als dat dan een goedgekeurd proces is. Dat is een beetje een soort policy check op je applicatie. En de theorie is natuurlijk dat alleen Google Chrome dan die blob kan uitlezen. Alleen, ja, je voorkomt niet dat dan zo'n wachthoortje tijdelijk leesbaar in het geheugen staat van Google Chrome zelf.

En die infostealer, dat is dus voor de eerst keer waargenomen in de praktijk, die hoeft dus geen code meer te injecteren in het proces van Chrome, wat echt heel erg noisy is en heel erg vervelend is. Dat is wel wat makkelijker te detecteren. Dus wat ze doen is dat ze eigenlijk gewoon alle debugging features gebruiken van Windows. Dus wat eigenlijk bedoeld is om te kijken waarom crasht iets of hoe werkt iets. Dat gebruiken ze om dan die sleutel uit te lezen. En wat ik daar wel interessant aan vond is dat we natuurlijk twee afleveringen geleden hebben gehad over hoe hou je zelf veilig. En het is weer zo'n soort reality check

waarbij je moet bedenken waar zet ik mijn secrets neer en welke applicatie je zelf moet gebruiken. En dat is eigenlijk een soort van waar zet ik mijn secrets neer en welke applicatie store ik dat. Let wel, andere applicaties zijn hier ook niet 100% resistent tegen. Maar daarom ook weer die tweede factor buiten je password manager. Het blijkt toch gewoon weer hoe belangrijk het is. Zeker als je dan een keer gefronteerd wordt. Het beste is nog om niet op een linkje te klikken. Je moet gewoon verzorgen dat wachtwoorden niet zo relevant meer zijn. Precies dat, we hebben dat toewerken.

Ja, daarover gesproken over relevante of niet relevante wachtwoorden. We gaan het toch even over Odido hebben. Het is daar even stil over geweest voor we gaan dat verhaal weer naar boven houden. Wij hebben ons ook even stilgehouden. Dat was best wel lastig. Want we hadden wat dingen online gevonden rondom die Odido-hek. Iemand had ons ook ingevluisterd dat er misschien wel wat te vinden. We hebben contact gezocht met de politie en die waren er ook hard mee bezig. En die wilden we niet in de weg lopen

dus we hebben even ons in mond gehouden. Maar ondertussen schijnt het dat we dit verhaal wel kunnen vertellen. Misschien hebben we al meer mensen ontdekt maar het blijkt dus als je een beetje handig bent met zoeken op internet en met euroscan en even slim nadenkt hoe zou zo'n fishingpagina eruitzien. Dan vind je gewoon uiteindelijk die server die gebruikt is om te fishing. Waar dus uiteindelijk, dus even terug naar de setup. Dus die hackers van de Shiny Hunters

die hadden gebeld naar een helpdesk en bij de helpdesk die mensen werden verleid om uiteindelijk in te loggen op een andere computer. En die andere computer, die hebben we gevonden. En met een heel klein beetje zachtjes durmen tegen die computer. Kopjes thee drinken noemen we dat vroeger met een computer. Toen gaf die opeens wat geheime prijs en toen hadden we ook gezien welke mensen hun daar ingetrapt waren en in feite daar van meerdere providers

maar ook die van Odido die staat er ook tussen. En die computer stond er maar. En dat is natuurlijk wel interessant, want op zich zijn er niet heel veel sporen verder die naar die Shiny Hunter jongens wijzen. En dit soort computers is eigenlijk de eerste stap, want die hebben zij ingericht, daar betaalden ze misschien zelfs voor of zijn gehackt en overgenomen. Maar allicht zitten er ook sporen op die wijzen naar die hackers. Dus dat hebben we ook maar, we hebben het met rust gelaten veel te prettig met die machine en dat zijn ze aan het doen.

En dat komt nu naar buiten blijkbaar. Dus hopelijk zijn ze wat stapjes verder. En hopelijk hebben die hackers een foutje gemaakt, waardoor er iets opstaat wat uiteindelijk naar voren gaat komen. En die daders weten ondertussen ook wat hun machine onderkend is. Dus we kunnen dat duurlijk rustig zeggen. En ja, toen dit bij ons speelde toen heb ik ook een maand geleden of zo een posting op LinkedIn gezet over dilemma van journalisten.

Ik weet niet dat je ons nou persi-journalist moet noemen, maar ze zaten wel een beetje in die rol van je zit opeens op informatie die in een onderzoek gebruikt kan worden door de politie. En wat doe je dan dan mee? Maar het is ook nieuwswaardig. Mensen zouden dat allicht wel interessant vinden om te weten dat die computer gewoon ergens staat en wie zijn er nou precies gehackt en zo. En hoe zijn ze er ingetuind en hoe is dat allemaal gegaan? Nou ja, wij hebben ervoor gekozen om te zeggen, nou wij gaan het gewoon nog niet bekend maken. En dat is waarom we het niet laten de politie met hun werk doen. Maar ik zag ook echt wel reacties van journalisten die daar heel stellig ingingen. En die zeggen,

nee hoor, ik ga nu zo nooit iets afspreken met de politie. We zouden het gewoon gaan publiceren. Nou, ik vind dat duidelijk niet. Dus als mensen nog meer over willen zeggen, kun je die LinkedIn-post terugzoeken. En je reacties te onderzetten. Wij wensen de speurneuzen van de politie heel veel succes hier verder mee. En hopelijk leidt dit spoor uiteindelijk dan naar de daders. Ja, maar toch die timings zijn wel, ik weet niet, ik heb dus niet heel met politie onderzoeken. Of ik heb zelf nog bij de politie gewerkt. Of bij Hardtack Crime. Maar ik vind wel een eye-opener, zeg maar. En het lijkt me zo ontzettend frustrerend

voor de politie collega's ook, dat je een maand moet wachten. Terwijl je weet hoe groot het is, het hele incident loopt voordat je een keer een image krijgt van een server. Terwijl je met wat slim speurwerk en wat dat je binnen een uurtje al een resultaat kunt hebben. En kun je zien wie de gehackt is en wat de initiële factor was van het binnendringen. Ik vond het gewoon, ik snap alle overweging, maar ik vond het ook gewoon wat ik dacht van, ja, oké, het is wel echt jammer dat het zo lang duurt. Ja, nee, dat is het zeker. En ik weet ook niet precies hoe dat werkt en of

het tussen sommige landen sneller gaat dan in anderen. Ik zou zeggen dat dit land gewoon een land waar we goed mee kunnen samenwerken. Dus ik was ook een beetje verbaasd dat het zo lang moest duren. Nou, Jelle, en jij? Ja, kort nieuwtje, want het moet ook een beetje door voor de rest van de item, zeg maar. Maar dat is vaak met de dingen. Er is wel een interessante campagne in Estland. Dus daar heb je het regio Narwa, dus het grensgebied met Rusland, met de brug van Narwa, de vriendschapsbrug tussen Rusland en Estland. En Narwa is gewoon onderdeel van Estland, toch?

Niet een apart staartje, wat ik nog niet kan... Nee, exact, het is echt een onderdeel van Estland. En je ziet nu dat de propaganda-checkers en de aantal nieuwsmedia rapporteren dat daar allerlei accounts en informatie campagnes opgezet is om de separatistische republiek Narwa te promoten met eigen logo's, eigen branding, eigen insignes, om maar die... want er is een grote Russische minderheid in Narwa, een relatief grotere minderheid. Herkenbaar dit, hè? Ja, dit is exact playbook, Oekraïne

met de separatistische regio, de Donbas en dat allemaal. En het is natuurlijk... Opzicht betekent dit niks, maar opzicht kan dit ook wel iets betekenen, namelijk dat de pivot aan de gang is, want dat was iedereen. Als Oekraïne een beetje af tijd, dan zal Rusland wat gaan porren in de Baltische Staten. Dit soort informatie campagnes kunnen een early warning of indicator zijn dat er iets staat te gebeuren. Dus op zichzelf betekent het niks, maar ik vond het wel eentje om te te markeren, zeg maar. Nou, en linkjes te laartoe zetten we in de

show notes, hè? Ja. En wat is dan als je... Dat triggert dan bij mij toch te vragen, stel, daar gaat dan iets gebeuren. Estland zit wel gewoon bij NAVO. Ja, exact. Dit is het unieke aan deze situatie ten opzicht van Oekraïne, waardoor de situaties niet volledig vergelijkbaar zijn, is dat Estland gewoon een voorwaardig lid van NATO en EU is, een heel stabiel lid is, zeg maar. Dus het is wel een heel interessante casus, hoe we dit gaan doen als NATO, want wat de Russen hiermee doen is eigenlijk gewoon ons allerlei

problemen voorschotelen, van hoe ga je op reageren? Want elke reactie van NATO zal gevreemd worden als buitenlandse inmenging in Estland en in de Russische minderheden regio's. Dus ja, het is een interessant spel wat nu gaat starten. Oké, en dan nu waar we het echt vandaag over willen hebben, want zoals ik in de intro zei, het gesprek met Matthijs kreeg we toch wel heel veel reacties. En we hebben zelf toen nog maar een keer teruggeluisterd, ons achter de oor gekrapt. Jelle, jij hebt het even helemaal losgegaan.

Jij had er als eerste wat mooie antwoorden op. Ja. Als je dus over hebt wat we zeiden, het is een tof gesprek, het is een vet profiel, Matthijs, sterk operationele achtergrond. En er gebeurt gewoon meer dan in tijden is gebeurd bij het Nationaal Cyber Security Center. Dit is hamburger, hè? Ja, dit is hamburger. Ja, maar als je dan wel terug luistert, en jullie hadden het gesprek gedaan en ik bij het terug luisteren, maar als je dan even uitzoomt, dan is het wel echt moeilijk om samen te vatten wat nu de strategische richting is. Waar willen we dat

Nederland over een paar jaar staat en wat is het grote ambitieuze doel dat we met z'n allen hebben? Je hoort wel veel organisatorische stappen, dus die visie met DTC en CSERT afgerond, een portal gelanceerd, mine ncse.nl, agile werken en meer budget. Dit is allemaal hartstikke nodig, maar het triggerde wel de vraag van wat is nu die stip, zeg maar. Dat is wel problematisch voor een van de meest belangrijke cyber security richtinggevende instanties in Nederland, denk ik.

Ja, en als je dan doorvraagt over strategie, dan zegt Matthijs, ja, een cyber security raad, dat is de raad. En toezicht, daar hebben toezichthouders voor. En als je vraagt, hoe weet wat de goede partijen zijn? Ja, certificering, dat is voor EZK dan of zo. En hij heeft gelijk, dat is gewoon nou niet zijn taak, maar de grote vraag is van wie is taak is het dan wel? En wat is dan de samenhang nog erin? Als je vraagt naar samenhang, dan kijk ik vaak van, oké, wat voor strategie, visie, beleidstuk ligt eronder? Dat is vaak het meest

onsamenhangende wat we hebben, natuurlijk, maar ik hoop dan dat daar de overheid in zegt van, hey, dit willen we. Die is er dus wel, de Nederlandse cyber security strategie, afgekort als NLCS, waarin de visie uitgedragen wordt, digitale veiligheid voor iedereen, een vanzelfsprekendheid. Lekker soft, hè? Mooi. Ja, zeker. Heel mooi. Ik ken hem ook nog niet. Kennen jullie het zinnetje naar Sers getatoeëerd staan, dit of zo? Nee, niet. Nee. Nee, dus dit is gewoon geen verhaal wat leest volgens mij.

Maar daar bouw je wel, dat house of cyber, met die schillen en toegangsniveaus en de publicering, compartmentering. Terwijl ik denk, ja, bij dit soort issues zou dan heb je ook het op doorgevraagd, openheid is gewoon het ding wat je met z'n allen wil. En ik denk ook, wat er ook in zit, dat je zoiets van zegt, oké, bedrijven zijn van harte welkom. Als er ruimte is, dan ben je welkom. En dan vervolgens op de vraag van, hey, krijg je dan ook inside information, komt het een beetje van, ja, ligt eraan in welke compartmentering schil is het. En dit is volgens mij niet iets waar je trots op zou moeten zijn, dat je compartmenteert met het bedrijfsleven

op een locatie die in het teken staat van samenwerking met het bedrijfsleven. Het is een beetje discriminerend samenwerken. Ja, precies. En dan denk ik nog steeds, van wat is dan het incentive? Waarom zou je als bedrijf dan daar gaan zitten? Anders dan dat je hoopt dat er toch mensen over de koffie misschien niet zeggen. Maar dit zou juist iets moeten zijn dat je gaat delen, denk ik. En dit is wat we missen in Nederland, denk ik. Die plek waar we met z'n allen samenkomen. Dat en dan het statement van, wij zijn niet de digitale brandweer. Ik begrijp die nuance, maar

als je dan onderdeel bent van die 10.000 organisaties die erin en je wordt dan ge-owned, ge-hacked. Wie helpt je dan wel? En als dat dan de markt is, wie borgt dan de kwaliteit van de markt? Dus wat je eerder zei, dat AZK dan zo'n labeltje moet geven, of ja, welke partij moet je nou inschakelen? Ik heb geen idee. Ja, en dat is dus exact een van die papers die we dan gevonden hebben, is dat Mark Carney, dus governor van de Bank of England, die op een gegeven moment toen, nou, die Engeland zat echt in de fase waar...

Suclaas Knolz, zeg maar. Ja, zeker. Maar die ging naar hun GCHQ, dus hun inlichtingendienst. Nou, in Nederland zou dit het Nationaal Cybersecurity Centre even zijn op Cybersecurity. En die zou zeggen of het misschien wel naar AIVD en MUVD gaan, zeg van, jo, er zijn op dit moment meer dan 20 organisaties bezig met Cybersecurity. Ik weet gewoon niet bij wie ik moet zijn. En dit zorgt voor te veel verwarring gewoon in de industrie voor al die CISOs die al overwerkt zijn. Volgens mij zitten we nu exact in die fase dat we dit hier

ook zien. Nou, je zou eigenlijk, we moeten even, nou, dan gaan we gewoon maar even doen dan, een hele lijst op een rijtje zetten. Dat is natuurlijk iedereen waarom het best wel onduidelijk nu is, want we hebben een NCSC en daarnaast hebben we de NCTV, de RDI van AZ. We hebben een AIVD en een MUVD. En ja, het is gewoon een enorme lettersoep. Ja, en die lettersoep is exact het moment dat de UK zei van ok, het moet anders zijn. En dan even om in Nederlandse context misschien denken mensen, joh, maar het is toch wel vrij

overzichtelijk. Ja, er is een heel vet paper van Leiden, het heette The F Word over fragmentatie in het Cybersecurity-landschap. Ja, die hebben totaal geteld 29 organisaties. Ja, wacht, wacht, het is wel een hele coole titel van het paper, he? Ja, zeker. Ja, dus ik heb die dame die het heeft uitgevoerd en de interviews heeft gedaan, is ook echt veel mensen gesproken en er zit een heel mooi visual er ook in over die organisaties. En ook een soort klustering daarover. Van

wat voor types organisaties heb je dan? Ja, het is de operationele organisaties die met name op Cybersecurity. Operationeel zijn NCSC met ook DTC, maar de advisory is de wasstraat, CSIRT, de ISACS, Cyclotron is publiek private datadeling, maar wat dan nu anders dan de ISACS is ook niet helemaal scherp. Dan heb je die coördinatie en dreigingsbeeld via NCTV, NCSC, het CSPN, de Cybersecurity- beeld Nederland. Allemaal op basis van inlichtingen. De motor daarachter is AFD en MIVD achter zo'n Cybersecurity-

beeld Nederland. En RID misschien? Ja, precies, en dan heb je dat hele toezicht en normering, dus de Rijksdienst voor infrastuur. Zoiets denk ik ja. Agentschap hele kop vroeger. Ja, precies. De coördinatie, toezichthouder, Cbw, dan heb je DNB, IG, IOT, sectorale toezichthouder, politie, TITC, OM. We hebben voorzien bijna het hele alfabet gehad, behalve de X en de Griekse. En ik heb hier nog een hele rij staan met nog meer, maar die ga ik natuurlijk niet noemen,

want dat wordt een soort rap, zeg maar. Je hebt ook het CSR, de Cybersecurity- raad, dan heb je het CGB, Cyber Governance Board, EZK met een normering- certificering-taak ook, DCC met Defensive Cyber Commander, dan ENISA, Agentschap DVD als non-governmentalist- stichting, Cyberveilig NL, de Belangenvereniging, dan de Hake Security Delta, waar wij in de Triple Helix samen werken met overheid privaat. Wat een mooie naam, hè? Ja, zeker. En dan heb je dus, ja, dit. En dan heb je er nog een behoorlijk aantal, je hebt ook de NAVO-

Potemissie nog, dat. Maar als je dus aan de gemiddelde CSO gewoon vraagt, van bij wie moet je nou zijn als het misgaat, die weten dat dus ook niet dan, hè? En melden weten ze misschien nu wel, je gaat naar mijnncsc.nl, ik zou eerder melden, nee, mijnncsc.nl, blijkbaar. Ja, moet je daar dan zijn? Want volgens mij zit je ook soms vast in je eigen domein, je eigen sector waar je dingen moet doen.

Ik weet het dus niet. Nee, nee. Je weet niet of Marco, Marco, weet jij het is? Ja. Nee. Nee. Nee, dus ik denk vanaf voor buitenstaandes is het buitenstaandes. Het is één grote bak. Eén grote lettersoep. En wij zitten, nee, ik zou het zelf een beetje zien als insiders binnen cybersecurity, en voor een buitenstaander, CSO die net ingevlogen is of een klein bedrijfje, wat een heel vet product heeft, maar cybersecurity nog niet de juiste mensen binnen heeft,

is het gewoon echt een heel onduidelijk verhaal aan het worden. Ja, en dus die onderzoeks van Leiden, die hebben er ook heel veel over. We hebben er ook een aantal organisaties verdeeld over zeven ministeries gevonden. En van die 29 zijn er 24 bezig met uitvoering, en drie zijn dan bezig met beleidschrijven en over beleid nadenken. Maar als het over 29 organisaties gaat, dan is het aantal wat beleid en nadenkt over brede cybersecurity in Nederland echt heel klein. Dus we zijn met z'n allen vooral

als je deze cijfers ziet, keihard aan het rennen om Nederland een klein beetje veiliger op groot plan eromheen. Ja, exact dat laat deze cijfers ook wel zien, want normaal is dit wel enigszins een evenwicht. Je wil geen waterhoofd, dat je alleen maar beleid maakt, geen uitvoering doet, maar dit is totaal tegenovergestelde. Dat je gewoon heel veel uitvoering hebt en niemand die nadenkt over wat je aan het doen met. Ja, de samenhang is echt een beetje zoek. En ja, dat verklaart dan misschien wel waarom Mathijs vaak zegt, dat is niet mijn taak. Want dat is ook niet zijn taak, maar het is er nog niet helemaal gelijk duidelijk,

winsttaak het wel is. Uiteindelijk, als je gaat kijken van waar zit nou het probleem? En dat is, er is geen single point of contact. En dat mijnNCSC.nl is een begin, dat is een portal, daar zit geen goede strategie, denk ik, uiteindelijk omheen. En dat heb ik gezien bij 2020, al een paar jaar geleden, bij de Citrix crisis. Dat is echt wel aan de overheidssijde best wel een problematie is iets geweest,

veel fragmentatie van verantwoordelijkheden en informatiedeling wat niet lekker liep. Mathijs riep zelf ook in onze podcast, ja, iedereen heeft zijn eigen stukje verantwoordelijkheid. Maar als je het allemaal bij elkaar optelt, is het geen geheel. Oké, we hebben dus een enorme stapel aan organisaties, maar geen overzicht. Maar er zit nog iets diepers onder, iets wat dwars zit als je er naar kijkt wat er van organisaties wordt gevraagd,

versus wat ze terugkrijgen. Ja, als je het hier echt helemaal uitzoomt, dan kom je bij Hops en weet ik veel uit over het sociaal contract. Dus we leven in een land in democratie, dus we leveren wat recht en vrijheid in. Dus veiligheid, de politie mag ons aanhouden, ons aanspreken op belastingdingen, dus dat is een sociaal contract. Wij leveren iets van onze vrijheden aan de overheid, zodat die voor ons veiligheid kan leveren. Ja, die hebben dus ook het monopolie daardoor. Dus ik mag zelf geen wapen dragen, want de politie

doet dat voor me. Zeker fixen we voor je die veiligheid. De brandweer, bijvoorbeeld door Ronald, jij bent de enige die het frame ooit gelanceerd heeft volgens mij, over is het nou de brandweer, cybersecurity of niet, zeg maar. Maar je merkt wel dat in de digitale wereld is dit wat scheef gegroeid, wat je ervoor terugkrijgt, voor het inleveren van een aantal verplichtingen, versus de veiligheid die het oplevert. Ja, overheid zegt het trouwens zelf ook, ik staat in de cybersecurity strategie, de laatste, die stopt in 2028, ook zo mooi.

Maar goed, er staat de eenzijdige nadruk op de verantwoordelijkheid van het individu, is een doodlopende weg. Dus de overheid die erkent het. Maar de vraag is dan wel, wat gaan we dan wel aan doen dan? Maar net zo goed als ik zelf geen wapen mag dragen, en de politie dat dus voor mij doet, heb je ook als organisatie heb je nu ook allemaal verplichtingen. We hebben die NIST 2 gekregen, je moet je registreren, je moet dingen melden, dat moet binnen zo'n

uur, je hebt een zorgplicht, je hebt een bestuurlijke aansprakelijkheid. En ja, de bestuurden worden persoonlijk aangesproken, je moet misschien zelf wel verplichte opleidingen doen. Dus je moet van alles inleveren. En net als ik mijn wapen heb ik moeten inleveren, zo zie ik dat maar steeds. Maar daar verwacht je wel wat voor terug. Wat je zegt, die bestuurlijke aansprakelijkheid, dat is echt geen klein ding. Wat je zegt als overheid tegen een CEO bijvoorbeeld, je bent persoonlijk verantwoordelijk. En als het dan misgaat, dan kan je aansprakelijk gesteld worden. Maar ja, wat je ervoor

terugkrijgt, een portal, advisories, vijf basisprincipes die in 2024 voor het eerst herschreven zijn. Ja, je hebt geen incident respons, je hebt geen normerend kader, je weet gewoon niet, er is geen kwaliteitsbehorging in de markt. En wat je wel allemaal zou verwachten. En als je kijkt naar informatiedeling, de overheid vraagt dus aan je, je moet is identumelden binnen 24 uur. Maar wat krijg je dan terug? Niet een sector specifiek dreigingsbeeld ofzo. Er is gewoon geen gelijkwaardige

uitwisseling. En wat je wel terug kan krijgen is een boete eventueel. Dat is een beetje alsof je een verzekering afsluit. Je betaalt premie in de vorm van compliance, maar de kleine letter staat dat ze niet uitkeren ofzo. En ik snap wel dat dat een beetje het vertrouwen in de overheid of dat het ongelijkwaardig voelt. Als je alleen maar moet inleveren en je moet melden, dat je dan op een gegeven moment zit, ja, ik moet melden, dus wordt een soort compliance-ding. Maar je zou graag willen dat bedrijven en organisaties denken van, hey, het is een fijne partner om mee samen te werken. Ik deel dit

uit om Nederland veiliger te houden. En het is niet dat we zo'n compliance-driven system willen in Nederland, denk ik. Ik denk dat we met z'n allen gewoon op een gelijkwaardige manier willen samenwerken. Dus dat we niet per se een compliance-circuit willen. Ja, en ik kijk altijd graag om me heen naar andere landen. Wat doen die nou? Hoe hebben die dat dan opgelost? Want we zitten natuurlijk niet alleen met dit probleem. En we weten hoe anderen dat doen. Wat jij noemde al die ene paper die je had gevonden van die man die dat Britse NCSC heeft opgericht.

En ja, dat laat ook precies zien hoe zij er uitgekomen zijn. Jelle, jij leest altijd graag dit soort papers. Vertel ons. Ja, zeker. En het is ook een tof paper, want het is een iemand die eerst GCHQ-chief was, vervolgens gekozen is om binnen het nieuwe NCSC bij binnen die reorganisatie om daar de lead te pakken. En dat zij erkende, en dit is natuurlijk in Nederland misschien, dus kijk er anders naar. Maar zij erkende van, hey, de motor die er achter zit is inlichting. Wil je relevant zijn voor marktpartijen, dan gaat het over unieke inzichten die je kunt leveren. Dat

is een soort van USP, die Unix Selling Point naar de private sector. Dus vandaar dat hij de klus kreeg, bouw het nieuwe NCSC. Het probleem waar zij mee zaten is 15 plus overheidse organisaties die allemaal iets met cyber deden. Als je dit vergelijkt met de cijfers van Leiden, dan zitten wij bijna op het dubbele. Dus wij hebben minstens het probleem wat ze in de UK toen ook hadden. Ik merk het ook heel watjes tussendoor dan. Elke keer als wij een incident hebben, dan krijgen we allemaal Kamervragen, goed ingewuisterd

door allerlei experts en zo. En dan komt de minister altijd wel weer met een antwoord. En zo'n antwoord is heel vaak van, nou ja, dan oké, dan komt er wel weer een nieuw clubje. En dan zou er een DTC op een gegeven moment komen. En dat is vaker oplossing. En dan is de Kamer weer happy en dan kan iedereen weer verder. Ja, zeker. En dit is dus exact wat er in de UK ook gebeurt. Dus dat je steeds meer een probleem oploft met een fusion cell. Oké, er is een probleem met informatieuitwisseling tussen politie en de diensten. We richten het cyber, intel en informatie cell op. En dat je steeds meer fusion cellen krijgt die ook allemaal hun werk gaan doen. Die hebben

allemaal leidinggevende en afdelingshoven nodig. Die assertief wil zijn, dus die gaat ook steeds meer dingetjes erbij doen. Ja, want alleen dat ene incident manager heb je niet zo veel aan. Op een gegeven moment heb je dus een, dus kom je aan bijna dertig organisaties die dingen doen met cyber security. Ja, en dat zag je daar dus ook met de certake, hun intel, hun cabinet office. Dus een beetje BZK taak. Ja, en dat was het probleem daar. Er is gewoon geen eenduidig aansprekpunt voor bedrijven en burgers. En het was ook nog een keer dat defensief werd gezien als mindersectie vanuit de diensten.

Want offensief is tof, foreign intelligence, mooie buitenlandoperaties draaien en het homeland veilig houden, dat werd gezien als een nevenproduct van inlichtingen. Ook omdat het een minder toffe taak was, omdat er minder bevoegdheden zaten. Je kon ook minder, het was veel complexer samenwerken. Vandaar dat het minder sectie was op dat moment ook. En dus wat we toen hebben gedaan is gewoon alles samenvoegen in één NCSC. Dus beleid, uitvoering en toezicht. In de Nederlandse overheid staat bekend als het BUD-model. Ik snap dat in het Engelse model dit niet

werkte. Maar beleid, uitvoering en toezicht gewoon onder één organisatie hebben. Dus korte lijnen met inlichtingen, maar wel met het publieke gezicht. Want dat is het grote commentaar op de diensten. Het is een beetje een zwart gat. Weet je? Waarin je ziet die luin nou is dan, behalve op een onderzoek of bij een incident. Dus vandaar dat je het fijne gezicht naar buiten hebt van het NCSC, met daar binnen de motor die de inlichting produceert van diensten. En dus wat ze ook hebben gedaan, het eigenaarschap ervan bij een hoge,

bij een senior minister een grote ministerpost leggen. Dus in Nederland heb je een aantal grote ministerposten ook. BZ Defensie zijn grote. Er zijn ook kleinere. BZK ook. Dus dat het geen junior minister moet zijn, geen staatssecretaris of iets. Maar gewoon een formele post moet zijn. Het is natuurlijk fucking mooi in Nederland dat we nu Willemijn hebben die op Stas op digital... Titel nog steeds niet de helder. Wat is die ook weer? Ik weet hem ook niet. Er zit ook suffeganiteit in. Ja precies, iets met cyber, digitaal

en iets met soevereiniteit zeg maar. Maar wel dat er één iemand van is zeg maar, die hier door al die ministeries heen kan prikken. En wat ze ook hebben gezegd, we willen gewoon een paar cyber essentials. Niet moeilijke certificeringsprogramma's doen of zo. Hetzelfde als je zo'n keurmerk op je winkel kunt doen als je je hassep hebt gehaald. Dus je hebt je rubbers allemaal schoongemaakt en je bakjes allemaal goed gepoetst in de horeca zeg maar. Dat je dan ook voor digitaal een keurmerk hebt. Maar Engeland is natuurlijk wel anders ingericht

dan Nederland. GTSQ is natuurlijk van... als organisatie waren ze altijd al bezig met inlichtingen verwerven uit het buitenland. Daarom hing het daar ook onder buitenlandse zaken. En inlichtingen wordt daar sowieso in Engeland. Dat heeft veel meer in de melk te brokken en dat wordt ook veel beter als instrument denk ik gebruikt voor de politiek van Nederland als oud-wereldmacht. Historisch is het ook wel logisch

dat dit dan ook onder buitenlandse zaken valt. En heeft een eigen staatssecretaris gekregen. Allemaal hartstikke super. Alleen in Nederland hadden we het nooit voor elkaar gekregen om te zeggen, laat de inlichting diensten. Dus dat zou dan jullie ouwe jointsicking cyber unit zetten. We zetten daar nog een schilletje omheen die met de buitenwereld praat. Laat die het allemaal maar doen. Toen we dit allemaal aan het oprichten waren in Nederland was er een enorme discussie over de macht van de veiligheidsdiensten en de inlichting diensten. En heel veel angst in Nederland over

dat ze ook te veel over Nederlanders zelf zouden gaan verzamelen. En dat het tegen ons gebruikt zou worden. Heel raar is dat. In het buitenland zie je dat veel minder. Maar misschien is de tijd nu wel rijp om toch eens te heroverwegen of we het niet anders moeten doen en dat NCSC weg moet halen bij justitie en gewoon lekker bij de inlichting die ons neerzet. Ja, ik denk dat die tijd heel erg rijp zijn, dat er een gapend gat ligt. Iets wat niet ingevuld wordt op dit moment, namelijk die totale

interface functie. Maar ja, dat gaan we zien. Ja, oh ja, nee, wat we in Groot-Brittannië nog meer doen, dat zie je ook op andere plekken wel, in Frankrijk ook, Denemarken ook, is eigenlijk ook gewoon een aantal tools aanbieden. Dat zie je NCSC ook doen, met mijn NCSC website en iets waar je bestanden kan checken volgens mij. Maar dit is ook een beetje een puntoplossing, zeg maar, voor een... Een eigen virus total. Ja, maar ik vind het zelf wel, want ik heb dat lijstje ook voor mijn neus staan natuurlijk met die mail check en web check. Ik denk, ja,

een DNS filter dienst, ook die porno filter volgens mij, die dingen of ze graag hebben erop zit. En je moet daar toch aangeven dat je boven de 18 bent en wel alles wil kunnen zien. Is dat nou precies waar we dan verwachten van onze overheid, dat dat soort dingen inregen? Want dat heeft de markt al wel voor elkaar. Ja, maar ik denk wel, de overheid heeft wel toegang op basis van bijzondere bevoegdheden, denk aan de toegang tot kabelinterceptie. En eigenlijk is de overheid, heeft in principe de infrastructuur in huis om een soort

nationale firewall in te richten. Ik wil niet zeggen dat we het Chinese model moeten doen en een great firewall moeten bouwen, maar dat is nou het stukje wat je lastig bij de markt kunt neerleggen en zeggen van yo, bouw jij even een firewall. Ik denk dus dat je de access die een overheid heeft, die je moet gebruiken met slimme samenwerking met de markt om daar Nederland veiliger mee te maken. Maar die mailcheck, gaat dat dan helpen bijvoorbeeld om, kijk, in licht in een setting snap ik het, dus als je ziet dat de gruw met een een of andere

phishingcampagne bezig is en onze alternaren proberen te pakken, die dat een kart heel snel regelen. Maar moeten we dat dan ook gaan inzetten om de phishingmails die bij de ODDO-medewerkers uitkomen tegen te gaan houden? En Groot-Brittannië is dus wel die evaluatie van PDNS, protective DNS, die wordt wel gezien als succesvol, want het is voor heel veel organisaties, het is een beetje de Quad 9 oplossing die we in onze, hoe heet dat, eerder aflevering hebben besproken, maar dus dat al je verkeer via een PDNS, bij een beheer van de overheid,

gerouteerd wordt, is wel een interessante manier om snel heel veel organisaties een beetje veilig te houden. Is de 100% oplossing? Nee. Maar dat doen ze in de UK ook explosief aangeven, joh, het is allemaal een druppel of meerdere druppels op een gloeiende plaat wel. Maar je hebt een aantal dingen die je slim kunt doen, waaronder dat PDNS. En het aansluitprogramma is ook wel, er zit ook gewoon een net proces achter over wat kun je er dan mee, hoe werkt het? En er zijn echt al duizenden organisaties bij aangesloten, omdat er ook wel meer waarde in zit voor mensen die geen securitybudget hebben.

Ja, wat ik uiteindelijk, ik zie het hier nou niet staan, maar wat ik zo waardevol vind van die Engelse is dat zij heel actief bezig zijn om de lat hoog te leggen voor de marktpartijen ook. Dus zowel op het gebied van de penetratietesten en monitoring en instant response. Keuren zij bedrijven goed? Of hebben we in ieder geval een schema omheen gemaakt? En dat ligt echt bij de overheid, wat ik denk ook, want daar past. En als je daar dus gerekt wordt en je valt ergens in een vakje dat je in een bepaalde

manier vitaal bent, dan mag je maar ook alleen maar partijen inschakelen die daar onderdeel van zijn. En daarmee trek je van dezelfde lat omhoog. Hier in Nederland is het ontzettend moeilijk om het kaf van het korreltje te schrijden voor slachtoffers. Dat zijn ook de dingen waarvan ik denk dat zou zo mooi zijn, maar dat heb ik heel vaak ook voorgehouden, ook bij onze vorige. PM toen hij nog NCTV was, en dan krijg je altijd van, ja, maar dat moet de markt ook onderding maar zelf oprichten en oplossen en dan kom je bij de pratengroepjes van al die

cybersecuritybedrijven zelf terecht. En die gaan natuurlijk niet die lat zelf hoog leggen, want zij die daar lidvol zijn, sommigen zijn wel beter dan anderen, die gaan niet daar criteria neerleggen waardoor ze zelf opeens niet meer mee mogen doen in de grote mensenwereld. Dus dat is echt iets voor de overheid. En dit is ook exact wat in de UK wel gebeurd, en dat zit er niet in, want het is allemaal een vrij lange podcast natuurlijk, misschien weer, maar inderdaad een certificeringsprogramma van bedrijven,

maar ook de SOC, dus ook SOC investeerd, en ook incident response, ook SOCs, ook MSP's. Dus eigenlijk gewoon een heel certificeringsprogramma dat alle tools, mocht je het willen, en je zit in een bepaalde sector, het gewoon een aantal geferifiere partijen zijn waar je naartoe moet, die is ook gehandeld aan de standaarden die je als overheid wil. Een hele slimme manier van een soort security baseline neerzetten. Maar kunnen we ook zeggen dat het nu beter is in Engeland? Hebben ze daar minder incidenten? Geen idee, geen cijfers over gezien. Dat wordt dan de opdracht

om nieuwe papers te zoeken die... Meer studenten die dit gaan schrijven. Marco, je had nog naar die Fransen gekeken. Ja, want inderdaad iets dichter bij huis. Frankrijk heeft het ANSI, ik ga mijn best doen, Agence nationale de la sécurité des systèmes d'information. Ofwel het Nationale... Het Nationale Cyber Security Centre van Frankrijk, die is veel normatiever dan het NCSC. En zij zetten echt standaarden neer waar organisaties aan moeten voldoen. En zorgt Duitsland ook het BSI, het Biosamte voor Zicherheid in der Informationstechniek,

dat net de autoriteit heeft gekregen om kwetsbare apparaten van het internet af te halen. Dat zijn allemaal mandaten, dat hebben wij niet. Maar het is best wel kicken dat zij dat wel hebben. Ja, en dat kicken is allemaal dat er iemand was ergens binnen de overheid die op een moment toen ze zag van hey, shit is fucked. Zei van oké, dit gaan we anders inrichten. En niet met een kleine reorganisatie, maar nee, we gaan het fundamenteel doen, we gaan heel veel tokes bij elkaar zetten. Maar goed, dat is straks ons House of Cyber, toch? Dat kan het House of Cyber zijn, maar dan moeten we wel genoeg ruimte zijn

en iedereen moet aangesloten zijn. Want het House of Cyber schikst dan dat we een DTC en CISER DSP bij elkaar en dat is dat we totaal twee afkortingen zijn vanaf. Maar we hebben er nog 28 te gaan. Maar alleen maar een gebouw neerzetten met een sticker erop en zeggen kom hier zitten, dat is natuurlijk nog niet de automatische oplossing. Nou ja, oké, en dan nu al de handvraag wat we in Nederland moeten doen. En het papier hebben we al, we hebben gewoon een cyberstrategie. We hebben een actieplan in met tientallen acties en van alles samenvoegen. Dat is het House of Cyber dat in aanbouw is

en de cyclotron, dat loopt allemaal. Maar de voortgangsrapportage laat ook wel zien wat niet lukt. En bijvoorbeeld zie je dat de cyberbeveiligingswet die had in oktober 2024 moeten zijn en die is nog steeds niet. Dus de uitvoering loopt echt wel achter op de beloftes. En we hoeven ook niet echt met een schoon papier te beginnen, er staat al best wel wat. Maar de vraag is gewoon wie zorgt er voor dat het ook echt gedaan wordt. En dan kwam uiteindelijk op drie dingen. Dus we hebben een loket,

een merk en doe nou ook eens wat, lever wat. En dat mijnncsc.nl is een begin, maar het merk ncsc moet gewoon de 1.1.12 voor cyber worden. Iedereen weet wat het is en wanneer je het belt en dat er dan ook wat gaat gebeuren natuurlijk. En mijn loket is ook niet genoeg en dat je alleen maar advisories en dreigingsinformatie daar kan vinden. Dus je ziet dat het VK die is veel actiever in met hun tools en die protective DNS wat Jelle net uitlegde.

Dus gewoon concrete diensten die de baseline omlaag omhoog trekken. Ja en ik ben van mening dat zoals Nederland dat ook echt wel kunnen. We hebben echt zo'n slimme mensen alleen op een of andere manier komen we gewoon niet in actie. We hebben politiek leiderschap uiteindelijk. We hebben een publiek dreigingsbeeld dat gewoon wat begrijpelijk is in mensentaal. Dat is toch niet wat we nu met het CSBN hebben. Dat is toch wel een heel erg antelijke proza. Wij vinden dat misschien al wel te doorgronden maar voor heel veel mensen is dat heel moeilijk.

En dan waar we net ook al hadden dat normerend kader en dat is dat er niet iets zo standaard of de 75-10 naast een bio zomaar. Alleen echt hele praktische andere dingen die je echt moet organiseren. Ja gewoon een beetje dat velletje wat ze hadden uitgedeeld voor het bereidmaken voor je thuis om jezelf voor te bereiden. En gewoon het NCSC als een one stop cyber shop beleid, uitvoering en toezicht. Het maakt geen droel uit hoe het aan de achterkant verder loopt.

Het is wat in je netwerk NCSC bellen en aan de achterkant fik ze wel of dat een onderling bij de politie of de inlichtingdienst terecht komt of dat een marktpartij iets in het respons gaat doen. Niet alleen de voordeur maar ook de brandweerder achter. Dat is die wederkerigheid, dat sociale contract. Ja daar moeten we terug voor komen. En dat House of Cyber dat moet dan een werkplaats zijn en niet, je kan het ook zien als een verkapte compartimenteringsgril. Dus iedereen zit er wel maar met zijn eigen vakje en informatie

wat niet gedeeld kan worden. Maar naar buiten moet het NCSC als publiek gezicht zijn. Dat is dan de voordeur. En iedereen met drie of vier letters is ernaam en die zitten daarachter. En dan echt als onderdeel ervan en niet als aparte eilandjes in verschillende schillen. Dus geen skiffs. Geen superveilige werkplekken waar niks uit lekt maar juist samenwerking. En dat zie je ook waar de Engels hun NCSC hebben neergezet. Die zit echt in een open

gebouw waar bedrijven ook gewoon binnenlopen. En dan moet je ook zien te zorgen dat je de bedrijven op het terrein krijgt. Dus de Hunt en Hackens, Fox Artists, ICE, Watchmen natuurlijk Marco, Northwave we hebben er genoeg. Die aan tafel kunnen gaan zitten met iemand van het NCSC bij een incident. En of die NCSC persoon dan eigenlijk gewoon een AFU-DR is of politie of DTC dat moet er eigenlijk ook niet uitmaken. En Henneken beschrijft precies

dit. In de VK zaten allerlei verschillende afdelingen in een gebouw met verschillende culturen. En dat was niet echt een doorbraak. Het was geen een orgaan of gram. Het was gewoon een gedeeld gebouw. En afspraak, we delen alles zo snel mogelijk in gewone taal. Ja, dat is een belangrijk element. En het derde belangrijke element is uiteindelijk politieke eigenerschap. Ja, we hebben natuurlijk allemaal heel erg zich te kijken met het nieuwe kabinet. Wat voor soort bewindspersonen komen daar? Niet precies de persoon zelf, maar wat voor soort rollen

en wat voor dossiers? En wat zijn de verantwoordelijkheden dan? Ja, het is nog steeds wel een beetje zoeken van hoe dat nu georganiseerd is. We hebben nu staatssecretaris Willemijn Aerts bij EZK zitten. Maar ja, daar zit het hele NCSC natuurlijk weer niet. En ja, het kan zijn al wat, want we hebben zeven ministeriëren die hier mee bezig zijn. Heeft zij daar nou een doorzettingsmacht over dan? Ja, ik hoop het harder binnenkort te kunnen vragen als misschien wel aansluiten in de uitzending. Ja, dat zou toch zijn, want, kijk, Henneken heeft het heel expliciet. Een juniorminister met

het titel Cyber werkt gewoon niet. In de VK was het Hagen Osborn, twee van de zwaarste kabinetsfunctie. En vergelijk dat met de Delta Commissaris, één persoon, één mandaat en doorzettingsmachten. Dat heb ik al een paar jaar zitten duwen natuurlijk, maar het gebeurt mij niet. En als het niet werkt, dan wil ik toch beter begrijpen waarom we dat naar Nederland echt niet kunnen zijn. Maar het zou toch fantastisch zijn als Willemijn dat fundament kan leggen voor een ambitieus Nederland op cybersecurity vlak. Ja, tof. En dat is eigenlijk wel de kern, denk ik. Wie zegt nou go?

Wie trekt nou regie hierop naar zich toe en organiseert een mandaat? En wie formuleert dan ook de ambitie? In 2011 hebben we dus gezien, terwijl diegenoter, die heeft toen het NCSC mogelijk gemaakt. In 2017 was het volgens mij, hadden we Notbatija, dat heeft heel veel in de gang gezet en moeten we nou echt weer wachten op de volgende klap? Laten we hopen van niet. Nou, een hoop geraten van onze zijde. Maar we horen ook heel graag weer van jullie wat je nou van vinden.

Wat vinden jullie van de Nederlandse cybergovernance en natuurlijk, wat zouden we beter moeten gaan doen? Al je reacties kan je sturen naar vragenetcyberhelden.nl Elke week kan je naar een nieuwe aflevering van Cyberhelden luisteren. Onze gesprekken met de Cyberhelden kun je terug luisteren via Spotify of je eigen favoriete podcastapp. Ik zit nog steeds op Pocketcaster. Vergeet ook niet te subscriben, dan krijgen we zelf een notificatie als we met een nieuwe aflevering klaarstaan. Heel veel dank voor het luisteren en graag tot de volgende keer.

Echt tot de volgende keer. Doei!