English version: scroll down

Afgelopen week liep ik rond op verschillende cybersec-events: de drukbezochte Jaarbeurs in Utrecht, een inhoudelijke ronde tafel en de Immerse-bijeenkomst van Cloudflare. Wat mij opviel was niet alleen de massale belangstelling, maar ook de toon. Waar cybersecurity vroeger vaak werd gezien als een technische aangelegenheid voor specialisten, zie je nu dat de discussies steeds nadrukkelijker strategisch worden. En dat is terecht: AI geeft zowel aanvallers als verdedigers een enorme nieuwe slagkracht. En daarmee is de digitale strijd definitief geëscaleerd.

Van commerciële luchtvaart naar militair toestel

Vroeger konden we onze datacenters vergelijken met de commerciële luchtvaart. De buitenwereld was relatief veilig en het doel was vooral klanten zo veilig en comfortabel mogelijk hun “digitale reis” te laten maken. Natuurlijk waren er risico’s, maar die konden grotendeels met techniek en procedures worden ondervangen.

Vandaag is dat beeld achterhaald. In een digitale oorlog moeten diezelfde datacenters opereren als militaire vliegtuigen. Ze moeten hun eigen veiligheid borgen, maar ook voortdurend voorbereid zijn op actieve aanvallen uit een vijandige omgeving. Zoals elke generaal weet: je moet je niet voorbereiden op de vorige oorlog, maar op de volgende. Alleen: hoe ziet die eruit als ‘opeens’ AI overal wordt ingezet, zowel bij de aanval als de verdediging? Als je wordt aangevallen door honderden AI-agents die elke mogelijke zwakheid proberen te vinden. 

Wat als de dijk echt breekt?

Alles is in beweging geraakt. AI versterkt niet alleen onze verdedigingslinies, maar geeft aanvallers net zo goed nieuwe wapens. In dit spel van aanval en verdediging is het naïef te denken dat er toch geen doorbraken of ongelukken zullen gebeuren. De vraag is dus niet óf, maar wannéér je als organisatie wordt getroffen. Wat gebeurt er als het ineens ‘alles zwart’ wordt en je datacenter, je internet en communicatie dagen of weken stilvalt? Hoe ga je om met gijzeling en losgeld, of met wekenlange onderbreking van kritieke processen? Voor sommige bedrijven kan dat letterlijk het einde betekenen als fabrieken opeens wekenlang niets meer kunnen produceren. Zoals afgelopen weken gebeurde bij Jaguar Land Rover in de UK. 

De verantwoordelijkheid ligt in de boardroom

Daarmee komt de verantwoordelijkheid nadrukkelijk in de boardroom te liggen. Risicomanagement gaat niet meer alleen over verzekeringen en brandveiligheid, maar over digitale continuïteit en overleven. Het is niet genoeg om “een pondje extra” bij je cloudleverancier af te nemen. Bestuurders moeten weten welke processen en data echt cruciaal zijn en welke mate van bescherming en soevereiniteit daarbij noodzakelijk is. Kun je al je eieren in één cloudmandje blijven leggen? Hoeveel mandjes moet je hebben om uitwijk van systeem of leverancier hebben? En moeten die mandjes misschien dichter bij huis staan, binnen de eigen wet- en regelgeving? Ondersteund door binnenlandse leveranciers of channelpartners die eindverantwoordelijkheid over die soevereiniteit nemen?

Wie zit er in de cockpit?

De luchtvaartanalogie blijft leerzaam. Een militair toestel is voorbereid op vijandige aanvallen, heeft mogelijkheden om die ‘af te schudden’ en heeft zelfs een schietstoel om de piloot te redden. In een commercieel toestel kan dat niet, daar moet je bij een storing alles doen om veilig en gecontroleerd te landen. Stel dezelfde vragen eens voor je digitale diensten en data. Wie zit er in de cockpit? Wie beslist wanneer een noodlanding nodig is, ook al is dat op een ongewenste plek? En altijd op een ongewenst moment. En wat betekent dat voor de continuïteit van je organisatie? Zelfs als er geen slachtoffers vallen, kan de economische schade catastrofaal zijn. Heb je de noodscenario’s klaarliggen en zijn de mensen getraind? 

En vooral niet voorbereiden op de vorige oorlog, maar op de volgende. Dat betekent: niet alleen repareren of toevoegen wat nog ontbrak, maar bedenken hoe een toekomstige aanval kan uitpakken. Niet alleen denken aan beschermen, maar ook aan wat er gebeurt als het toch een keer misgaat. Hoe overleef je? Hoe kun je achterhalen wat er fout ging? Hoe kun je geconditioneerd weer opstarten? Hoe communiceer je met klanten en shareholders, als je überhaupt nog communicatiemiddelen hebt? Heb je een overlevingspakket samengesteld voor het geval je datacenter en internet ineens wekenlang uitvallen? En is er een tijdelijke uitwijkoptie beschikbaar als een herstart langer – wellicht maanden – gaat duren? Heeft je leverancier of leveringspartner dit soort voorzieningen?

Wat te doen na de crash?

Ik heb eerder geschreven over het belang van forensische data om fouten en oorzaken te achterhalen, en daarmee de sector veiliger te maken – net zoals de luchtvaart dat met haar “luchtwaardigheid” heeft gedaan. Alleen door lessen te delen kan de digitale infrastructuur wereldwijd veiliger worden.

De digitale oorlog is realiteit

Boven alles geldt dat de verantwoordelijkheid niet langer bij de ingehuurde CIO of CISO kan worden neergelegd. Bestuurders en toezichthouders moeten zich uitspreken over hoe digitale risico’s worden beheerst en hoe de continuïteit wordt verzekerd. Met wereldwijd meer dan 20.000 geslaagde ransomware-aanvallen per jaar is de digitale oorlog geen toekomstscenario meer, maar een realiteit. En die realiteit raakt niet alleen bedrijven, maar ook nationale veiligheid en politieke stabiliteit.

Risicomanagement als Chefsache

De drukte op beurzen, de scherpe discussies bij rondetafels en de groeiende lijst van slachtoffers maken duidelijk dat digitale veiligheid geen operationele randvoorwaarde meer is, maar een strategisch vraagstuk. Het raakt direct aan de continuïteit van organisaties en zelfs aan nationale autonomie. De vraag welke digitale processen en data je zelf soeverein moet houden – binnen je eigen juridische en bestuurlijke kaders – en waar internationale leveranciers een rol kunnen spelen, moet in de boardroom worden beantwoord.

Bij mijn huidige activiteiten als ad interim CTO bij bedrijven zie ik dit onderwerp steeds vaker terugkomen. Digitale transformatie vraagt ‘Safety by design’  – intern, extern en als product of dienst – en dus adequaat risicomanagement. Steeds vaker wordt dit ook onderdeel van mijn begeleiding van organisaties. Het is niet de snelheid maar vooral de volledigheid die de uiteindelijke kwaliteit bepaalt. En om dit in eenvoudige bewoordingen aan board en toezichthouders uit te kunnen leggen, want bijna geen enkele bestuurder is werkelijk ervaren op dit gebied. Daarna  gaat het vooral om het vaststellen van de juiste vorm en inhoud, inclusief gecommitte slagkracht, noodzakelijke capaciteiten en natuurlijk de budgetten om dit binnen relatief korte tijd te implementeren.

Cybersecurity is niet langer “iets van IT”, maar een wezenlijk onderdeel van risicomanagement en governance. Of, zoals ik al vaker schreef op mijn blog: het is een discussie die gaat over vertrouwen, continuïteit en soevereiniteit. En het is een discussie die bestuurders niet langer kunnen uitstellen. Ik help hen hier – nog steeds – graag bij. 

Photo by Markus Winkler: https://www.pexels.com/photo/scrabble-tiles-spelling-cybersecurity-concepts-30901560/

——————————- Translated by ChatGPT  ——————————

Cybersecurity in a Digital War

Last week I walked around several cybersec events: the packed Jaarbeurs in Utrecht, a high-level roundtable and Cloudflare’s Immerse meeting. What struck me was not only the massive interest, but also the tone. Where cybersecurity used to be seen as a technical issue for specialists, today the discussions are unmistakably strategic. And rightly so: AI gives both attackers and defenders enormous new firepower. The digital struggle has definitively escalated.

From Commercial Aviation to Military Aircraft

In the past, we could compare our datacenters to commercial aviation. The outside world was relatively safe, and the main task was to ensure customers could complete their “digital journey” as safely and comfortably as possible. Of course, there were risks, but technology and procedures could largely mitigate them.

Today that picture is outdated. In a digital war, datacenters must operate like military aircraft. They need to secure themselves while being constantly prepared for active attacks from a hostile environment. As every general knows: you should not prepare for the previous war, but for the next one. The question is: what does that look like in a world where AI is suddenly deployed everywhere, in both attack and defense? What happens when you are targeted by hundreds of AI agents probing for every possible weakness?

What If the Dike Really Breaks?

Everything has shifted. AI strengthens our defensive lines, but equally provides attackers with new weapons. In this game of attack and defense, it is naïve to think there will never be breakthroughs or accidents. The question is not if but whenyour organization will be hit.

What happens when everything suddenly goes dark and your datacenter, internet and communications are down for days or weeks? How do you handle extortion and ransom demands? How do you manage weeks-long interruptions to critical processes? For some companies, that could literally mean the end — as we saw recently with Jaguar Land Rover in the UK, where production was disrupted for weeks.

The Responsibility Lies in the Boardroom

That is why responsibility now lies squarely in the boardroom. Risk management is no longer just about insurance or fire safety, but about digital continuity and survival. It is not enough to buy “a little extra” from the cheapest cloud provider. Boards must understand which processes and data are truly critical, and what level of protection and sovereignty they require.

Can you still put all your eggs in one cloud basket? How many baskets do you need to have a real fallback? And should some of those baskets perhaps be closer to home — within your own jurisdiction and legal framework, supported by domestic suppliers or channel partners that can guarantee sovereignty?

Who Is Sitting in the Cockpit?

The aviation analogy remains instructive. A military aircraft is prepared for hostile fire, equipped with countermeasures and even ejection seats to save the pilot. A commercial airliner has no such option: when something goes wrong, the only priority is to land safely and in a controlled way.

Ask the same questions about your digital services and data. Who is in the cockpit? Who decides when an emergency landing is necessary, even if it means landing somewhere undesirable? And what does that mean for the continuity of your organization? Even without casualties, the economic damage can be catastrophic.

Preparing for the next war means not only repairing what was missing last time, but anticipating how future attacks might unfold. It means not only thinking about protection, but also survival. How do you investigate what went wrong? How do you restart in a controlled way? How do you communicate with customers and shareholders — if you still have communications at all? Do you have a survival kit ready for the scenario where your datacenter and internet are offline for weeks? Is there a temporary fallback available if recovery takes months? And does your supplier or delivery partner provide such measures?

What to Do After the Crash?

I have previously written about the importance of forensic data to reconstruct errors and root causes, so that the entire sector can become safer — just as aviation has done with its “airworthiness” standards. Only by sharing lessons can we make digital infrastructure safer for everyone.

The Digital War Is a Reality

Above all, responsibility can no longer be left solely to the CIO or CISO. Boards and supervisory bodies must take ownership of how digital risks are managed and how continuity is secured. With more than 20,000 successful ransomware attacks worldwide each year, the digital war is not a future scenario — it is our current reality. And this reality impacts not only businesses, but also national security and political stability.

Risk Management as Chefsache

The crowded conferences, sharp debates at roundtables and growing list of victims show clearly that digital security is no longer just an operational concern, but a strategic one. It directly affects the continuity of organizations and even national autonomy. The question of which digital processes and data must remain sovereign — within your own jurisdiction and governance — and where international providers can play a role, must be answered in the boardroom.

In my current work as an interim CTO, I see this issue arise more and more frequently. During digital transformations, business development and go-to-market projects, security — internally, externally and as part of the product or service — demands proper risk management. More and more, this is becoming part of my support to organizations.

It doesn’t require a forty-hour-per-week commitment, but it does require one or two focused days per week over several months with the right people to define the risk profile. What matters is not speed but completeness, and above all the ability to explain risks in simple terms to boards and supervisory bodies — since no director is truly an expert in this field. From there it is about establishing the right form and content, with committed resources, necessary capabilities and of course the budgets to implement measures within a relatively short timeframe.

Cybersecurity is no longer “just IT.” It is an essential part of risk management and governance. Or, as I have written before on my blog: it is a debate about trust, continuity and sovereignty. And it is a debate that boards can no longer postpone. I am still glad to support them in this journey.

#CyberSecurity, #Boardroom, #RiskManagement, #DigitalSovereignty, #AI, #CyberResilience, #Governance, #CyberAttack, #Continuity, #Ransomware, #Cloud, #Trust, #DigitalTransformation, #Leadership