In deze rubriek laat it-mediator prof. dr. Hans Mulder zijn gedachten gaan over de vraag: wat maakt dat sommige organisaties in dit digitale tijdperk het (veel) beter doen dan andere? Wat zijn de unieke eigenschappen van deze ‘High Performers’? En welke rol speelt it hierin?
IT-mediator en -deskundige prof. dr. Hans Mulder in debat met ai-chatbots
Dijkbewaking: high performers weten wát ze moeten beschermen
Tekst: HANS MULDER Â Beeld: CHATGPT
Tijdens een interactieve overlegtafel met bestuurders presenteerden mijn collega’s Yuri Bobbert en Dion Kotteman een interessante metafoor voor cybersecurity: het Nederlandse polderlandschap. Het water is de aanval: groot, krachtig en altijd aanwezig. De dijk is de maatregel. Het dorp erachter is wat je écht wilt beschermen. Simpel beeld. En precies dat beeld maakt duidelijk waarom high performers anders denken dan de rest. Ze weten wat je écht wilt beschermen en zorgen dat daarom de maatregelen genomen worden.
Maar cybersecurity is toch gewoon een kwestie van goede tooling? Firewalls, sterke wachtwoorden, goede software. Als je dat op orde hebt, ben je er toch?
Dat is de denkfout die Yuri Bobbert treffend illustreerde. Kijk naar de Odido-hack: aanvallers kwamen niet binnen via een briljante technische aanval, maar via een basisvergissing. Hetzelfde patroon zagen we bij de Salesforce-hack: niet de meest complexe aanval wint, maar de eenvoudigste zwakke plek. High performers begrijpen dat cybersecurity begint bij de vraag: wat beschermen wij eigenlijk, en wie heeft daar toegang toe?
Toch is er ook goed nieuws. Het IBM Cost of a Data Breach Report 2025 laat zien dat de gemiddelde schade is gedaald naar 4,44 miljoen dollar. Dat klinkt als vooruitgang?
Vooruitgang, ja. Maar kijk dan naar de Benelux: met gemiddeld 6,24 miljoen dollar per incident is het de derde duurste regio ter wereld. En de tijd om een aanval te ontdekken en te stoppen bedraagt gemiddeld nog altijd 241 dagen. Bij ransomware duurt het nog 49 dagen langer, en herstel kost meer dan honderd dagen. High performers wachten die negen maanden niet af. Zij zorgen voor een Security Operations Center dat als vuurtorenwachter boven op de dijk staat, én een incident response team dat direct ingrijpt zodra het water toch doorbreekt.
Maar de werkelijke bedreiging is toch ai? Uit datzelfde onderzoek blijkt dat 97 procent van de organisaties die een ai-gerelateerd incident meemaakten, géén goede ai-toegangscontroles had. U organiseert een overlegtafel met mooie polderplaatjes, maar lost dat die ai-kloof in de praktijk op?
‘Leren zonder handelen is een illusie van vooruitgang’
Goede opmerking. Een metafoor lost inderdaad niets op, maar opent wel het gesprek met en tussen bestuurders over een onderwerp dat wij te lang vermeden hebben: de invloed van ai op cybersecurity. In onze interactieve sessie gebruikten we ter ondersteuning van de dialoog een groepsondersteunend systeem waarmee deelnemers vooraf én achteraf na het debat anoniem hun eigen kennisniveau konden inschatten. Dat geeft directe, eerlijke terugkoppeling. De scores van de bestuurders stegen van gemiddeld 5,7 voor naar 6,6 na de sessie.
Dat is geen toeval, want de deelnemers gingen tijdens de workshop zelf aan de slag met explain-ai.com met de opdracht: kies jouw favoriete ai-tool, beoordeel de transparantiescore, identificeer wie er achter de schermen de data verwerkt, en neem een standpunt in: gebruik ik dit wel, niet, of alleen onder voorwaarden? Dat was geen academische oefening. Dat is bestuurlijke zelfredzaamheid. Want de ai-risico’s zijn concreet: bedrijfsdata die via een chatbot weglekken naar externe servers, vergiftigde ai-modellen die verkeerde uitkomsten produceren, aanvallers die via slim geformuleerde prompts beveiligingsregels omzeilen. High performers herkennen die patronen.
Klopt, maar met één scherpe kanttekening: leren zonder handelen is een illusie van vooruitgang. Een score van 6,6 is beter dan 5,7, maar nog altijd te laag als je de risico’s en schades in ogenschouw neemt en bedenkt dat 32 procent van alle datalekken inmiddels tot boetes leidt, waarbij bestuurdersaansprakelijkheid geen juridische abstractie meer is. High performers gebruiken dat groeiende bewustzijn als startpunt. Nooit als eindpunt.
Precies. Een dijk bescherm je niet door ernaar te kijken, maar door te weten wie hem beheert, wie hem onderhoudt en wie beslist wanneer de sluisdeuren dichtgaan. In turbulente en disruptieve tijden is cybersecurity geen it-vraagstuk meer. Het is een bestuursvraagstuk. High performers weten dat. Ze zorgen dat de verantwoordelijkheid ligt waar ze hoort: niet bij de technologie, maar bij de mensen aan het roer met de bereidheid in actie te komen.
