Stel je een grote beveiligingsbeurs voor, eigenlijk welke dan ook. Neonlichten, slogans en lasershows. Het is groots opgezet, trendy en 'fris'. Op een of meerdere podia wordt weer een 'laag' gepresenteerd dat redding belooft tegen bekende en onbekende dreigingen. In de stands draaien grafieken met begrippen, buzzwords en nog veel meer dat je nauwelijks kunt uitspreken, laat staan begrijpen als buitenstaander. Daar, in het schemerlicht tussen keynotes, giveaways en koffiebekers, ontstaat die bekende mix van zorg en opluchting: 'Het lijkt gevaarlijk daarbuiten, maar iemand heeft in ieder geval een pakket, dienst of consultant daarvoor.' En juist hier begint het voor mij te wringen. Een aanzienlijk deel van de cyberbeveiligingsindustrie heeft geleerd meer te verdienen aan onzekerheid dan aan veiligheid. Dit is een feit. Maar het is niet uit kwaadaardigheid, maar omdat de economische wetten lange tijd de verkeerde kant op hebben gewerkt. Wanneer de kosten van tekortkomingen kunnen worden afgewenteld op anderen, investeren we te weinig in wat echt risico vermindert en te veel in zaken die er aan de oppervlakte mooi uitzien (Anderson, 2001; Bauer & van Eeten, 2009; Herley, 2009).
Het oude compliance-gedreven denken dat lange tijd de markt heeft beheerst en veel dienstverleners en adviesbureaus succesvol heeft gemaakt. Checklist in, certificaat uit, mappen groeien en auditsporen glanzen. Maar onder de oppervlakte ontstaat een kostenpiraal van modules, licenties en consultatierondes die niet per se het risico verlagen. Het maakt het alleen maar meer beheersbaar. We zijn wereldkampioen geworden in het tonen van beloften over veiligheid, maar minder goed in het aantonen van resultaten. En als de realiteit toeslaat, een inbreuk, een verstoring bij een leverancier, een personeelsprobleem, dan maakt het niet uit hoeveel dashboards we hebben als we het probleem niet sneller vinden, sluiten, begrijpen wat er misging en ervan leren, en sneller herstellen. Grote studies wijzen bovendien in dezelfde richting: meer tools en meer fragmentatie correleren zelden (of in veel gevallen helemaal niet) met betere resultaten. Wat helpt is integratie en echte dagelijkse bekwaamheid (Cisco, 2024; WEF, 2024).
Terwijl wij het oude pad volgden, hebben de bedreigingen zich in groepen bewogen. Het zijn nog steeds mensen en de ketens om ons heen die deuren openen via social engineering, verkeerd beheerde identiteiten en onverwerkte afhankelijkheden in de leveranciersketen. Dit is niet alleen mijn persoonlijke mening, het is een terugkerend gegeven in Europese en wereldwijde dreigingsbeelden (ENISA, 2023; IBM, 2024; Mandiant, 2024). Met andere woorden: als je probeert een lekke boot te vullen met meer emmers in plaats van het schip te repareren, krijg je wel een prachtige stapel emmers, maar blijven je voeten nat.
Moderne zekerheid en veiligheid in digitale ecosystemen is dus niet alleen een technische kwestie zoals vroeger, maar een incentivevraagstuk. Bedrijven, leveranciers, consultants en opleiders hebben allemaal rationeel gehandeld binnen een logica die lange tijd de meetbare schijnveiligheid beloont. Dit wordt versterkt door nieuwe kaders met hetzelfde thema, nieuwe tools, meer consultants en meer administratie. Dit alles is makkelijker te verkopen dan rustige verbeteringen die tijd kosten om zichtbaar te worden. Het is begrijpelijk dat de sector zo is beland, maar helaas duur. En het wordt het duurst voor organisaties die moeten functioneren als het stormt, waar elke onnodige complexiteit, elke trage herstelactie en elk gebrek aan dagelijkse bekwaamheid de veiligheid en concurrentiekracht tegelijkertijd ondermijnt. Organisaties lijden terwijl dienstverleners en adviesbureaus floreren.
Ik zie ook hoe de politiek, misschien wat tegen zijn zin, tot dezelfde conclusie is gekomen. Wanneer Amerikaanse en Europese autoriteiten aandringen op secure by design/default, gaat het erom de last naar upstream te verplaatsen en veiligheid als een geleverde eigenschap te maken, niet als een optionele extra (CISA, 2023). Wanneer de EU productvereisten oplegt voor software en hardware via de Cyber Resilience Act, is dat omdat vrijwillige beloften onvoldoende waren om de markt de juiste signalen te geven (Europese Commissie, 2024). En wanneer Europese regelgeving voor kritieke processen overstapt van handboekesthetiek naar functioneren in turbulentie, is het hetzelfde beeld: resultaat telt meer dan belofte (Europese Unie, 2022). Dit is echt risicogedreven, niet compliance-gedreven. Niet omdat iemand van het woord risico houdt, maar omdat iemand moet kunnen blijven staan als het schudt.
De vraag is dus: waarom houden we vast aan het oude? Het antwoord is deels menselijk. Checklist en certificaat geven een gevoel van controle. Ze zijn het zichtbare bewijs dat we 'iets hebben gedaan'. Maar de prijs voor dat gevoel is drievoudig. Ten eerste stijgen de totale kosten doordat tools en processen sneller worden toegevoegd dan afgeschaft. Het komt nog steeds vaak voor dat een organisatie te veel tools heeft die hetzelfde doen, totaal onnodig. Ten tweede ontstaat er een vals gevoel van veiligheid waar 'alles groen' was totdat dat niet meer zo was. Organisaties hebben tools die ze niet beheersen, niet begrijpen of niet optimaal gebruiken. Ten derde verliezen we focus: dreiging, risico, kwetsbaarheid en bekwaamheid verdwijnen naar de achtergrond. En in het huidige geopolitieke klimaat is verkeerde focus niet alleen slecht beheer, het is een strategisch obstakel voor de organisatie (ENISA, 2023; WEF, 2024).
De risicogedreven verschuiving is, in tegenstelling tot wat de droge term doet vermoeden, een bron van hoop. Wanneer de volgorde verandert van dreiging naar risico, naar kwetsbaarheid, naar bekwaamheid, gebeurt er iets praktisch. Integratie wint het van stapeling. Hersteltijd wordt een taal die iedereen begrijpt, van werkvloer tot bestuur. Incidentrapportage wordt geen zenuwslopend spel maar een getrainde routine. En langzaam beginnen de grafieken de goede kant op te wijzen: lagere kosten per gereduceerd risico, hogere daadwerkelijke veerkracht, minder verrassingen. Hier ontstaat ook concurrentiekracht. Klanten en partners vertrouwen meer op degenen die echte continuïteit in de praktijk kunnen aantonen dan op degenen die perfecte mappen tonen bij kalm weer (WEF, 2024; OESO, 2015/2022).
Je zou dit een utopische toon in de beveiligingssector kunnen noemen. In een vertrouwenseconomie verdienen iedereen meer als het risico daalt. Dienstverleners krijgen langdurige relaties als ze gemoedsrust leveren in plaats van alleen maar lagen in de stapel. Consultants worden onmisbaar wanneer ze vereenvoudigen, integreren en de werkelijkheid dienen. Kopers ontsnappen aan het eeuwige gevoel van gijzelaar te zijn bij de volgende licentieverlenging. En toezichthouders kunnen beginnen te meten wat de wetgeving echt wil bereiken: bekwaamheid en niet alleen vorm.
Een vleugje respectvolle humor onderweg kan geen kwaad. Als 'map-wereldkampioenschap' een olympische discipline was, zouden velen van ons op het podium staan met een gouden medaille in de hand. Het olympisch comité zou dolblij zijn geweest. Maar de wedstrijd die echt telt in 2026 wordt in tegenwind beslist: kunnen we opstijgen, landen en turbulentie aan zonder hoogte te verliezen? Dat vraagt om minder show en meer vakmanschap. Minder trofeeën en meer sporen van dagelijkse discipline. Minder onzekerheidseconomie, meer vertrouwen. En voor zover ik weet is die discipline niet te vinden in de digitale beveiligingsspelen.
Maar ik ben ervan overtuigd dat de toekomstige verdienste van onze sector juist ligt in wat ik in dit artikel probeer te benadrukken. Niet in het blijven verpakken van angst, maar in het leveren van echte stabiliteit. Niet in het verlengen van afhankelijkheden, maar in het bouwen van robuuste relaties. Niet in het winnen van de volgende beurs, maar in het overwinnen van de volgende storing. Dat is de richting die zowel onderzoek, branchegegevens als beleid al aangeven, als we ervoor kiezen die als meer dan voetnoten te lezen en onze business daarop bouwen (Anderson, 2001; Bauer & van Eeten, 2009; Herley, 2009; ENISA, 2023; IBM, 2024; Mandiant, 2024; CISA, 2023; Europese Commissie, 2024; Europese Unie, 2022; WEF, 2024; OESO, 2015/2022).
Het is ook de richting die onze klanten, onze samenlevingen en onze gezamenlijke digitale dagelijkse leven eert. Wanneer we de kompas van compliance naar risico daadwerkelijk veranderen en van onzekerheid naar vertrouwen, gebeurt er meer dan een technische upgrade. We herwinnen de betekenis van waarom cyberveiligheid bestaat: niet om papier te verzamelen, maar om de wereld bij elkaar te houden als die schudt.
Referenties
Anderson, R. (2001). Waarom informatiebeveiliging moeilijk is – een economische kijk.Proceedings van ACSAC.
Bauer, J. M., & van Eeten, M. J. G. (2009). Cybersecurity: Stakeholder incentives, externaliteiten en beleidsopties.Telecommunications Policy, 33(11).
CISA. (2023).Secure by Design, Secure by Default.Cybersecurity and Infrastructure Security Agency.
Cisco. (2024).Security Outcomes Report.Cisco Systems.
ENISA. (2023).ENISA Threat Landscape 2023.European Union Agency for Cybersecurity.
Europese Commissie. (2024).Regulation (EU) 2024/2847 – Cyber Resilience Act (CRA).
Europese Unie. (2022).Directive (EU) 2022/2555 (NIS2).Official Journal L 333.
Herley, C. (2009). Tot ziens en bedankt voor de externaliteiten: de rationele afwijzing van beveiligingsadvies door gebruikers.IEEE Security & Privacy.
IBM. (2024).Cost of a Data Breach Report 2024.IBM Security.
Mandiant. (2024).M-Trends 2024.Google Cloud.
OESO. (2015/2022).Aanbeveling over digitaal beveiligingsrisicomanagement.Organisation for Economic Co-operation and Development.
Wereld Economisch Forum. (2024).Global Cybersecurity Outlook 2024.
