Een ondernemer in de glastuinbouw. Een transportbedrijf dat internationaal levert. Een toeleverancier aan een grote speler in de regio. Wat hebben zij gemeen? Ze denken vrijwel allemaal dat ze te klein zijn om interessant te zijn voor kwaadwillenden. Statelijke actoren, criminele netwerken, spionage: dat is iets voor grote bedrijven, voor nationale infrastructuur, voor een andere wereld.
Ik sprak met Rosa Voulon, oprichter van Dutch Intel Group en voormalig medewerker van de Nederlandse inlichtingendiensten. Haar boodschap is helder en ongemakkelijk tegelijk: je weet niet of je interessant bent. En dat is nu juist het probleem.
Wie is Rosa Voulon?
Rosa Voulon werkte jarenlang binnen het inlichtingendomein van de Nederlandse overheid, waar ze onderzoek deed naar criminele en terroristische netwerken. Met Dutch Intel Group helpt ze nu organisaties, van overheid tot bedrijfsleven, om hun weerbaarheid te vergroten tegen dreigingen van binnenuit en buitenaf. Ze traint, adviseert en analyseert op het snijvlak van mens, proces en techniek. Geen theoretisch verhaal, maar een aanpak gebaseerd op wat ze in de praktijk heeft gezien.
Niet jij bent het doelwit. Jij bent de weg ernaar toe.
Het eerste wat Rosa ondernemers wil meegeven, is dat weerbaarheid geen bedrijfsaangelegenheid is maar een ketenvraagstuk. Jouw positie in de keten bepaalt hoe interessant je bent, niet jouw omvang of bekendheid. Een toeleverancier van een grote speler in de agrotechnologie, de logistiek of de voedingssector kan voor een kwaadwillende actor precies de zwakste schakel zijn die nodig is om ergens binnen te komen.
Rosa spreekt over het least effort principle: als de beveiliging van een groot bedrijf te goed is om direct aan te vallen, gaat een aanvaller op zoek naar de toeleveranciers die hun zaakjes minder goed op orde hebben. Via die route, digitaal en fysiek gecombineerd, komt men uiteindelijk waar men wil zijn. Jij merkt er misschien niets van. De schade is er wel.
Voor ondernemers in het Westland is dit bijzonder relevant. De regio is internationaal actief, met export, unieke kennis op het gebied van glastuinbouw en voedselproductie, en intensieve logistieke en arbeidsstromen. Wie voorop loopt in de wereld, is per definitie interessant. Dat geldt voor statelijke actoren die kennis willen kopiëren, maar ook voor criminele netwerken die op zoek zijn naar ingangen voor fraude, witwassen of arbeidsuitbuiting.
Cyberveiligheid is een begin, geen eindpunt
Veel ondernemers koppelen veiligheid aan IT: een goede firewall, antivirussoftware, bewustzijn rondom phishing. Rosa erkent het belang daarvan, maar wijst erop dat dreigingen altijd hybride zijn. Wie echt ergens binnen wil komen, combineert digitale aanvallen met informatie uit menselijke bronnen, open bronnen en soms fysieke aanwezigheid.
Social engineering is daarin een veelgebruikte methode. Het gaat mis op plekken die ondernemers zelden beveiligen: de medewerker aan de telefoon die te veel informatie geeft aan een vriendelijke beller, de salesperson op reis die gewend is contacten te leggen maar niet doorheeft dat zijn gesprekspartner een dubbele agenda heeft, de website waarop personeelsinformatie makkelijk te raadplegen is. Zelfs een IT-medewerker kan in twee minuten worden misleid via een telefoontje van een zogenaamde collega.
De kroonjuwelen van een bedrijf liggen ook niet altijd in de digitale kluis. Het kan kennis zijn die alleen in menselijke hoofden zit. Het kan de medewerker zijn die de hele operatie bij elkaar houdt. Het kan de fysieke toegang zijn tot een ruimte waar niemand bij na zou denken.
Medewerkers: risicofactor en eerste verdedigingslinie
De twee grootste drijfveren voor mensen om zich te laten gebruiken of omkopen zijn geld en wrok, stelt Rosa. Beide zijn te beïnvloeden door goed werkgeverschap. Wie zijn mensen kent, die weet wie financieel kwetsbaar is en kan helpen voordat een crimineel dat doet. Wie mensen zich gehoord laat voelen, bouwt loyaliteit op die weerbaarder is dan welk beleid ook.
Dat vraagt geen cultuur van wantrouwen, maar het tegenovergestelde. Rosa pleit voor informele vertrouwenspersonen in de organisatie: mensen die van nature empathisch zijn en een vinger aan de pols houden. Gecombineerd met een zorgvuldig screeningsproces bij indiensttreding en bij functiewijzigingen, ontstaat een gelaagde weerbaarheid die niet staat of valt met techniek.
De ondernemer of directeur zelf is daarin een bijzondere factor. Zichtbaarheid is noodzakelijk, maar maakt kwetsbaar. Salesmensen en bestuurders die internationaal opereren, zijn specifieke doelgroepen voor statelijke en criminele actoren. Ze worden niet in één gesprek benaderd. Een dubbele agenda openbaart zich pas na meerdere contactmomenten, wanneer de sfeer vertrouwelijk is geworden en de alcohol vloeit. Awareness op dit niveau vraagt om gerichte training, iets wat in de praktijk te weinig gebeurt.
Drie stappen die je morgen kunt zetten
Rosa is geen voorstander van bangmakerij. Zij geeft liever een concreet startpunt:
- Analyseer je positie in de keten. Wie zijn jouw klanten, leveranciers en partners? Welke informatie, kennis of toegang maak jij onderdeel van een bredere keten? Pas als je dat weet, kun je beoordelen waar jouw kwetsbaarheden liggen.
- Kijk verder dan IT. Stel jezelf de vraag: wie heeft er fysieke toegang tot mijn bedrijf? Wie geeft welke informatie weg aan de telefoon? Wie in mijn organisatie is kwetsbaar voor financiële druk of andere vormen van beïnvloeding? Die vragen zijn net zo belangrijk als de vraag of je firewall op orde is.
- Oefen, niet alleen op papier. Een clean desk policy die niemand naleeft, een protocol dat niet getraind is: dat zijn papieren weerbaarheid. Simuleer een social engineering-aanval. Train medewerkers op informatieverstrekking aan de telefoon. Maak afspraken concreet en toetsbaar.
Ga er maar van uit dat je interessant bent
Het gesprek met Rosa laat me achter met een conclusie die eenvoudig klinkt maar moeilijk te internaliseren is: de aanname dat je niet interessant bent, is de meest gevaarlijke aanname die een ondernemer kan maken. Wie zegt: “ik ben niet interessant”, kan dat niet weten. Wie zegt: “ik wil weten of ik interessant ben”, heeft al een voorsprong.
Dit is geen bangmakerij. Het is het besef dat de wereld complexer is dan de meeste ondernemers dagelijks ervaren, en dat er mensen zijn met de ervaring en de kennis om je daarin te begeleiden. Rosa is er een van.
Wil je meer weten over Rosa Voulon en Dutch Intel Group? Beluister ook de podcast die ik eerder met haar opnam, samen met wethouders Anko Goudswaard en Peter Valstar, over weerbaarheid en veiligheid voor ondernemers in het Westland. En bezoek haar website op www.dutchintelgroup.nl.
Patrick Jordens is bestuurslid Digitalisering, Innovatie en Digitale Veiligheid bij MKB Westland.
