Securing Tomorrow, Now: in gesprek met Jen Easterly over cyberweerbaarheid, vertrouwen en leiderschap in een digitale wereld

• Lees hier meer details over wie Jen Easterly is of schrijf u meteen in voor haar keynote op 4 juni

Cultuur, leiderschap en vertrouwen

Welke lessen over veerkracht en paraatheid die je leerde bij o.a. het leger en de inlichtingendienst, zijn ook rechtstreeks van toepassing op bedrijfsleiders in de privésector?
Jen Easterly: Een van de belangrijkste lessen die ik heb meegenomen uit mijn tijd bij het leger en de inlichtingengemeenschap is dat veerkracht niet alleen te maken heeft met terugveren, maar ook met 'vooruit veren’. Het gaat erom schokken beter op te vangen, je onder druk aan te passen en er uiteindelijk sterker uit te komen.

Om dat te bereiken is meer nodig dan alleen voorbereiding; het vergt cultuur, leiderschap, vertrouwen en duidelijke communicatie, vooral tijdens een crisis. Daartoe moet je een team samenstellen dat samen traint voordat het mis gaat en dat begrijpt wat ze moeten doen wanneer dat toch gebeurt. Dat zijn niet alleen militaire lessen.  Het zijn leiderschapsvereisten voor elke organisatie die opereert in een wereld van constante onzekerheid. Het is in de eerste plaats een mentaliteit. We moeten erkennen dat we in een erg complexe, sterk geconnecteerde en uiterst kwetsbare wereld leven. Ontwrichtingen zijn onvermijdelijk. Het is niet langer realistisch om te geloven dat we alle negatieve dingen kunnen voorkomen.

Veerkracht betekent aanvaarden dat ontwrichtingen onvermijdelijk zijn en je er doelbewust op voorbereiden. Dat doe je door reacties te oefenen, veerkrachtige systemen op te bouwen en mensen op te leiden om schokken te doorstaan. Als we daarin slagen, kunnen we zelfs bij tegenslagen snel reageren, doeltreffend herstellen, onze bedrijven draaiende houden en onze klanten blijven bedienen.

Afbeelding Veiligheid staat meer dan ooit hoog op de agenda. Van geopolitieke spanningen en cyberdreigingen tot de bescherming van kritieke infrastructuur: ook uw bedrijf voelt de impact. En daarom is veiligheid op woensdag 4 juni het hoofdthema van Securing Tomorrow. Now., het jaarevent van Agoria en Sirris.  Laat u tijdens de plenaire sessie, vanaf 18.00 uur, inspireren door toonaangevende stemmen zoals Jen Easterly (CISA, tot voor kort), Theo Francken (minister van Defensie), Catherine De Bolle (Europol), Benoît Deper (Aerospacelab) en Inge Schildermans (Bekaert). Of dompel u al vanaf 15.30 uur onder in onze interactieve Security Playground met powertalks, demo’s en slimme security-oplossingen recht uit het bedrijfsleven. Bekijk hier het volledige programma en schrijf u in!

Hoe ziet u de inspanningen van Europa om zich voor te bereiden op en om te gaan met beveiligingsproblemen in de huidige chaotische wereld? 
Jen Easterly: Toen ik directeur was van het Amerikaanse Cyber Defense Agency, CISA, werkten we nauw samen met meer dan 150 landen, waaronder alle Europese landen. Ik heb veel tijd in Europa doorgebracht om samen te werken met onze cyberdefensiepartners, en één ding is heel duidelijk: in cyberspace zijn er echt geen grenzen.

In mijn tijd bij CISA heb ik gezien dat Europa belangrijke stappen heeft gezet, vooral op het vlak van privacyregelgeving – een gebied waar Amerika nog heel wat werk heeft – en bij het harmoniseren van het cyberbeleid in de verschillende lidstaten.

Dat gezegd zijnde, mogen we niet vergeten dat we moeten opboksen tegen steeds meer geavanceerde dreigingsactoren en dat het dreigingslandschap veel sneller verandert dan de verdedigingen, beleidsregels of bureaucratieën kunnen bijhouden. Wat we nu nodig hebben, is snelheid, durf en nauwe samenwerking, zowel tussen regeringen als in de privésector. Veel grote bedrijven zijn actief in verscheidene landen, waardoor internationale partnerschappen tussen overheid en privé essentieel zijn. Aangezien de dreigingen wereldwijd zijn, moet onze reactie net zo geïntegreerd en gecoördineerd zijn.

De verborgen gevaren waarop leiders moeten anticiperen

Zijn er – geopolitieke, technologische of systemische – dreigingsscenario's die volgens u nog steeds worden onderschat door politieke of industriële leiders, vooral in Europa?
Jen Easterly: Een belangrijk aspect dat nog steeds wordt onderschat, is de omvang en hardnekkigheid van dreigingen door natiestaten.

Daarnaast denk ik dat iedereen goed moet opletten met artificiële intelligentie. AI is een ongelooflijk hulpmiddel, maar ook een enorme risicofactor, niet alleen voor het versterken van cyberaanvallen, maar ook voor de verspreiding van desinformatie en deepfake-technologieën. Deze risico's zijn niet theoretisch. Ze vormen reële, onmiddellijke gevaren die dringende en aanhoudende actie vereisen.

Tijdens uw periode bij CISA, het Amerikaanse cyberdefensieagentschap, leidde u een grote transformatie. Hoe hebt u deze traditionele overheidsinstelling omgevormd tot een moderne, flexibele organisatie voor cyberdefensie? En wat was het moeilijkste aspect van dat traject?
Jen Easterly: Toen ik in 2021 de leiding nam over CISA, was het het jongste agentschap van de federale overheid, een start-up eigenlijk. Toch had het al grote uitdagingen doorstaan: een grote reorganisatie, de COVID-19-pandemie en een omstreden Amerikaanse verkiezing. Op dat moment kampten we met een enorm tekort aan werknemers: er waren zo’n 1.000 vacatures, vooral voor erg technische cyberdefensiefuncties.

CISA coördineert de nationale inspanningen voor het begrijpen, beheren en beperken van de risico's voor de online en fysieke infrastructuur waar de Amerikanen op vertrouwen: water, elektriciteit, financiën, transport, gezondheidszorg en communicatie. We waren geen wetgevings-, handhavings- of inlichtingenbureau. We waren een technocratisch agentschap, opgebouwd rond expertise en samenwerking en opgezet om vertrouwen te katalyseren, vooral met de privésector. Dat partnerschap is van cruciaal belang in onze erg complexe en gevaarlijke wereld.

Toen ik bij CISA aan de slag ging, was de uitdaging duidelijk: we moesten zowel vermogen als capaciteit opbouwen om onze missie te kunnen uitvoeren. Dat betekende concreet dat we het veel te bureaucratische en complexe aanwervingssysteem moesten stroomlijnen. Maar nog belangrijker was dat we een cultuur moesten creëren die technisch toptalent kon aantrekken. Een cultuur van samenwerking, innovatie, empowerment en eigenaarschap. Een cultuur waarbij mensen sterk in de missie geloven, hun collega's en leiders vertrouwen en gemotiveerd zijn om vertrouwen op te bouwen met partners binnen de Amerikaanse overheid, de privésector, staatsinstanties, lokale agentschappen en internationale bondgenoten. CISA moest in feite een partnerschapsbureau zijn – en dat vereiste een basiscultuur van vertrouwen.

Kunt u één concrete maatregel noemen die u nam om toptalent aan te trekken en te behouden?
Jen Easterly: Er waren veel maatregelen, maar het duidelijkste teken van succes is dat we in mijn periode bij CISA meer dan 2.200 mensen konden aannemen. Dat waren niet alleen technische experts, maar mensen die zowel erg technisch als erg coöperatief waren.

Met erg technische mensen die niet wilden samenwerken waren we niet veel. Wij hadden beide nodig. Onze focus lag op het creëren van een missiegedreven, mensgerichte cultuur. Een cultuur waar individuen het gevoel hadden dat ze een impact hadden en deel uitmaakten van iets groters. Dat maakte CISA tot een aantrekkelijke plek om te werken. En dat maakt het verschil in een concurrentiële markt.

Internationale samenwerking tegen grenzeloze bedreigingen

Welke realisaties van CISA – zoals de oprichting van het Joint Cyber Defense Collaborative – zouden de publiek-private inspanningen voor cyberweerbaarheid in België of in heel Europa kunnen versterken?
Jen Easterly: Toen ik bij CISA kwam, was er een duidelijke behoefte om meer samenhang te creëren in de manier waarop overheidsinstanties samenwerkten met de privésector op het vlak van cyberdefensie. Het Amerikaanse Congres erkende dezelfde behoefte. Verschillende delen van de overheid – inlichtingendiensten, wetshandhaving, civiele cyberdefensie – werkten allemaal als onafhankelijke silo’s. Voor de privésector was dat erg verwarrend: wie moeten we bellen voor hulp? Waarom krijgen we verschillende boodschappen?

Daarom hebben we het Joint Cyber Defense Collaborative (JCDC) opgericht als een enkel platform om het federale cyberecosysteem samen te brengen. Zo verenigden we CISA, de FBI, de NSA en andere sectorrelevante agentschappen zoals de Treasury (voor financiën) en het Ministerie van Energie (voor kritieke infrastructuur). De idee was om rechtstreeks samen te werken met de privésector en cyberdefensieplannen tegen de ernstigste dreigingen op te stellen, te operationaliseren en te implementeren.

Die gezamenlijke aanpak bleek van vitaal belang. Slechts enkele maanden na de lancering in 2021 kregen we te maken met de Log4j-kwetsbaarheid, en later met de Russische invasie in Oekraïne. In beide crisissituaties hielp realtime samenwerking met de privésector en internationale partners ons om dreigingen te begrijpen en risico's proactief – en niet alleen reactief – te verminderen.

Dat was alleen mogelijk door de silo's te elimineren, vertrouwen op te bouwen en informatie transparant, snel en op grote schaal te delen, niet via trage kanalen zoals e-mail, maar via realtime platformen zoals Slack.

We zagen ook dat anderen het model overnamen. Zo heeft Canada het Canadian Cyber Defense Collaborative (CCDC) opgezet. Dit soort model zou naar mijn mening ook in Europa uiterst effectief kunnen zijn – niet alleen op nationaal niveau zoals in België, maar op pan-Europees niveau, om in te spelen op de grensoverschrijdende aard van cyberdreigingen.

Hoe ziet u de internationale samenwerking evolueren om deze grensoverschrijdende cyberdreigingen aan te pakken? Wat kan Europa leren van de Amerikaanse aanpak?
Jen Easterly: Cyberdreigingen zijn van nature transnationaal en wereldwijd. Ze respecteren geen grenzen, en dat betekent dat onze verdedigingsstrategieën dat ook niet kunnen. We moeten verder gaan dan allianties die alleen ‘op papier’ bestaan en inzetten op een realtime, operationele samenwerking tussen overheden, industrieën en grenzen.

In de VS hebben we vooruitgang geboekt door cyberbeveiliging op de hoogste regeringsniveaus te behandelen als een noodzaak voor de nationale veiligheid. Dat betekent een sterke focus op leiderschap, een ernstige financiering en een duidelijke strategische richting. Europa heeft veel van deze elementen ook, maar ik denk dat het verder zou kunnen gaan, vooral in het bevorderen van een meer gezamenlijke inzet van de nog steeds vrij gefragmenteerde nationale capaciteiten.

Uiteindelijk zal een meer geïntegreerde, EU-brede aanpak van cyberdefensie, met sterke, geïnstitutionaliseerde banden met de VS en andere gelijkgestemde democratieën, absoluut cruciaal zijn voor de toekomst. Er ontstaan in Europa al entiteiten die in deze richting gaan en die de behoefte aan gedeeld situationeel bewustzijn, informatie-uitwisseling en samenwerking met de privésector erkennen. We zullen echter nog meer van deze operationele partnerschappen nodig hebben om ons effectief te verdedigen tegen de alsmaar complexere en geavanceerdere dreigingen.

Secure by Design... maar ook Secure by Demand

Laten we het nog even hebben over cyberweerbaarheid. U bent altijd een uitgesproken voorstander van de 'Secure by Design'-beweging geweest. Wat moeten bedrijven die digitale software / producten maken vandaag anders doen om ervoor te zorgen dat cyberbeveiliging vanaf het begin is geïntegreerd, in plaats van later te worden toegevoegd?
Jen Easterly: Bij cyberbeveiliging hebben we soms de neiging om schurken te verheerlijken door ze namen als Volt Typhoon of Midnight Blizzard te geven, en om de verantwoordelijkheid voor aanvallen bij de slachtoffers te leggen omdat ze niet de juiste patches installeren of zwakke wachtwoorden gebruiken. Dat moet anders: we moeten technologieleveranciers verantwoordelijk stellen.

Bedrijven die soft- en hardware maken, moeten hun producten ontwerpen, testen, ontwikkelen en leveren met beveiliging als topprioriteit, niet als een doekje voor het bloeden. Beveiliging moet vanaf de allereerste ontwerpbesprekingen door CEO's, directies en productleiders worden behandeld als een kernfunctie.

Doen bedrijven vandaag genoeg? Eerlijk gezegd, nee. Vooral in de VS ligt de nadruk van oudsher op een snelle marktlancering, flitsende functies en kostenbesparingen, niet op een sterke beveiliging. Vaak ontbreekt het aan regelgevende kaders, waardoor producten met grote kwetsbaarheden toch de markt kunnen overspoelen.

Om deze cultuur te helpen veranderen, hebben we een ‘Secure by Design’-belofte gelanceerd. Die beschrijft zeven kerngebieden waarop verkopers tastbare verbeteringen kunnen doorvoeren. Tot nu toe hebben meer dan 300 bedrijven uit de hele wereld deze belofte ondertekend. Bovendien hebben we ze opgebouwd in samenwerking met Europa, Azië en anderen, in het besef dat veilige software een wereldwijde – en geen louter Amerikaanse – behoefte is.

Europa getuigt op dit gebied zelfs van echt leiderschap. Initiatieven zoals de Cyber Resilience Act en de NIS2-richtlijn laten zien dat Europa de principes van ‘Secure by Design’ agressiever in de regelgeving verankert. In veel opzichten zou Europa wel eens sneller dan de VS een hogere standaard voor softwarebeveiliging kunnen eisen. En dat is een erg positieve ontwikkeling.

Hoe zit het met maakbedrijven? Hoe kunnen zij een beter evenwicht vinden tussen het streven naar innovatie en de behoefte aan cyberbeveiliging, vooral nu ze opkomende technologieën zoals AI, IoT en slimme productiesystemen gaan gebruiken?
Jen Easterly: Als ik het over ‘Secure by Design’ heb, benadruk ik altijd dat we ook ‘Secure by Demand’ nodig hebben. Iedereen die software koopt of gebruikt – particulieren, bedrijven en overheden – moet veel hogere eisen stellen aan de technologie men koopt en de leveranciers met wie men samenwerkt.

Dat geldt in het bijzonder voor maakbedrijven: alles begint met een degelijk inzicht in je kroonjuwelen: de systemen, gegevens en bedrijfsmiddelen die absoluut kritiek zijn. Vervolgens moet je daar gelaagde verdedigingen omheen bouwen, uw operationele technologienetwerken segmenteren en investeren in mogelijkheden om anomalieën snel te detecteren.

Innovatie is natuurlijk essentieel, en opkomende technologieën zoals AI en IoT bieden ongelooflijke mogelijkheden. Ze introduceren echter ook nieuwe risico's. Als deze innovaties van bij het begin worden ontwikkeld met een geïntegreerde beveiliging en als bedrijven nauw samenwerken met hun leveranciers om hogere beveiligings- en kwaliteitsnormen te eisen, dan kunnen we deze nieuwe mogelijkheden veilig gebruiken.

Het is ook een kwestie van mentaliteit. Bedrijven geven hun geld al te vaak uit aan productiviteitsverbeteringen of snellere leveringen, terwijl cyberbeveiliging meer wordt gezien als een verzekeringspolis: iets waarvan ze hopen dat ze het nooit nodig zullen hebben. Die redenering moet veranderen. 

Technologiebedrijven zullen je altijd vertellen dat hun systemen veilig zijn, terwijl ze pronken met alle coole functies die ze bieden. Maar inkopers, vooral in kritieke sectoren zoals de productiesector, moeten de moeilijke vragen stellen over hoe de beveiliging echt is geïmplementeerd. Productiebedrijven moeten hun koopkracht aanwenden om een betere beveiliging te eisen, en cyberbeveiliging tot een niet-onderhandelbare vereiste te maken, naast productiviteit en innovatie.

Ook kleine bedrijven volop in het vizier

Wat zijn de drie prioriteiten op het gebied van cyberbeveiliging voor kleinere ondernemingen die niet over de middelen van grote bedrijven beschikken?
Jen Easterly: Alles komt neer op elementaire cyberhygiëne, het cyberbeveiligingsequivalent van fysieke hygiëne. Net zoals je de meeste ziekten kunt voorkomen door je handen gedurende 25 seconden te wassen met zeep, kan je tot 98 procent van de cyberaanvallen vermijden met een goede cyberhygiëne. Dit zijn de topprioriteiten voor kleine bedrijven:

1. Installeer software-updates.
   Werk je software, besturingssystemen en apps altijd bij. Veel aanvallen maken gebruik van bekende kwetsbaarheden die met een eenvoudige update verholpen hadden kunnen worden.
2. Kies sterkere wachtwoorden en gebruik een wachtwoordmanager.
   Sterke, unieke wachtwoorden zijn essentieel. En met een gerenommeerde wachtwoordmanager kan je ze veilig onderhouden zonder dat je alles uit het hoofd hoeft te leren.
3. Denk na voordat je klikt.
   Leid werknemers op om uiterst sceptisch te zijn over e-mails, sms'jes en zelfs telefoontjes, vooral als er iets niet klopt. Nu deepfakes en phishing steeds overtuigender worden, is dit bewustzijn van cruciaal belang om social engineering-aanvallen te stoppen.

Eveneens essentieel: schakel multifactorauthenticatie (MFA) in. Zo voeg je een extra beveiligingslaag toe, die verder gaat dan alleen een wachtwoord. Het is een van de meest effectieve verdedigingen die je kan instellen.

Je hoeft geen groot bedrijf te zijn om deze dingen te doen. Het zijn elementaire blokkeer- en tackletechnieken die de risico’s aanzienlijk terugdringen. Cybercriminelen zoeken meestal gemakkelijke doelwitten met duidelijke kwetsbaarheden. Als jij het ze net iets moeilijker maakt door een goede cyberhygiëne aan te houden, zullen ze vaak op zoek gaan naar een gemakkelijkere prooi.

Welke concrete stappen kunnen leiders zetten om cyberbeveiliging in hun organisatie te verankeren?
Jen Easterly: In de eerste plaats moeten leiders het persoonlijk maken. Mensen moeten duidelijk begrijpen welke invloed hun individuele acties hebben op het succes van de missie en de risico's voor de organisatie. De beste manier om dat te doen is niet door middel van technisch jargon, maar door verhalen te vertellen. Gebruik voorbeelden uit de echte wereld: een verhaal over een inbraak en de gevolgen ervan, een verhaal over de tactieken die criminelen gebruiken, of een ‘close call’ die benadrukt wat er op het spel staat. Steun echter niet te veel op angst: als mensen bang worden, sluiten ze zich af. Het doel is om te informeren en daadkracht te geven, niet om te verlammen.

Ten tweede moeten deze acties worden geleid door de top van het bedrijf. Als de CEO, de raad van bestuur en de directie cyberbeveiliging niet behandelen als een leiderschapsverantwoordelijkheid in plaats van een IT-kwestie, dan zal niemand anders dat doen. Cyberrisico's zijn vandaag de dag bedrijfsrisico's en de top van het bedrijf moet deze risico's beheersen, net zoals ze dat zouden doen bij financiële, operationele of reputatiegerelateerde risico's. Een sterke CIO of CISO aannemen helpt, maar de uiteindelijke verantwoordelijkheid kan niet worden gedelegeerd.

Ten derde, vier de beveiliging. Erken en beloon teams en individuen die prioriteit geven aan beveiliging. Vier ontwikkelaars die veilige code schrijven. Neem cyberbeveiliging op in de waarden van uw bedrijf, niet alleen in compliance-opleidingen. Integreer cyberbeveiliging in het DNA van je organisatie, zodat alle werknemers begrijpen dat het bedrijf beschermen deel uitmaakt van hun werk, dag na dag. Er moet een cultuurwijziging komen en die begint bij leiders die niet alleen hun mond opentrekken, maar ook de daad bij het woord voegen.

Waarom moeten Belgische bedrijfsleiders ‘Securing Tomorrow. Now.’ bijwonen en op 4 juni naar jouw keynote komen luisteren?
Jen Easterly: Omdat de toekomst vandaag wordt geschreven, en omdat ze toebehoort aan mensen die dapper genoeg zijn om ze vorm te geven. We staan op een scharniermoment voor de beveiliging van onze digitale wereld. De dreigingen zijn reëel. De dreigingen zijn urgent. Maar dat geldt ook voor de kansen om samen te komen en samen te bouwen aan een veiligere, sterkere en veerkrachtigere toekomst.