Zet ‘de ramen open’: bind slimme, kritische cybersecurity onderzoekers

Investeren in kennisontwikkeling op cybersecurity is een must. Het nieuwe Rijks I-Doctoraatsprogramma van I-Partnerschap is een prachtige kans voor rijksorganisaties om dit te doen, vinden Aart Jochem (CISO Rijk), Inald Lagendijk (TU Delft), Laurens van Nes (IenW), Anka Mulder (Saxion Hogescholen) en Hans de Vries (NCSC). Tijdens de lancering van dit rijksbrede programma op het iBestuur Congres ontpoppen ze zich als warme pleitbezorgers. Hans de Vries, directeur van het Nationaal Cyber Security Center: ‘Ik zie in de praktijk dat je van onderzoekers al vanaf de eerste dag profijt hebt. De win-win is gigantisch.’

Het Rijks I-Doctoraatsprogramma cybersecurity van I-Partnerschap Rijk-Hoger Onderwijs helpt rijksorganisaties hooggeschoold cybersecuritytalent te werven en op te leiden met een doctoraatstraject op hbo- of universitair niveau. Door deze hoogwaardige kennis in eigen huis te halen groeit de digitale weerbaarheid van rijksorganisaties, is de gedachte. I-Partnerschap ontzorgt rijksorganisaties met praktische zaken als gestandaardiseerde contracten, en is de verbindende schakel tussen deze cyberonderzoekers, hun onderwerpen en rijksorganisaties. Een extra bonus is de rijksbrede community van cyberonderzoekers die over de grenzen van de eigen organisatie heen kennis en ervaringen deelt. I-Partnerschap voert dit programma samen uit met de researchafdeling van het nationale centrum voor digitale veiligheid NCSC en het rijksbrede CISO-netwerk.

CISO Rijk Aart Jochem meent dat rijksorganisaties de kans niet kunnen laten lopen om op dit nieuwe programma aan te haken. ‘Met de toenemende digitalisering is ook de beveiliging, het aanpakken van de kwetsbaarheid van digitalisering, heel belangrijk. De dreiging is heel alarmerend en urgent. Organisaties verliezen door niet mee te doen.’ Hij refereert aan alle onderzoeksrapporten die de Rijksoverheid waarschuwen. Het doctoraatsprogramma past volgens Jochem bovendien in de nieuw gepresenteerde I-Strategie. Hij wijst erop dat werken aan de kennis, kunde en vaardigheden van medewerkers een van de speerpunten is binnen het thema Digitale Veiligheid. ‘Dit doctoraatsprogramma biedt daarvoor bij uitstek de kans, met een goede kennisinfrastructuur en een community van slimme mensen.’

Hans de Vries: ‘Je bent niet vier jaar iemand kwijt. Je hebt vier jaar een hele club mensen erbij!’

Van die groep onderzoekers profiteer je meteen als rijksorganisatie, zeggen de verschillende tafelgasten tijdens de lancering op het iBestuur Congres. Het beeld van promovendi die vier jaar lang in een tunnel leven en daarna pas tevoorschijn komen, vinden zij volkomen onterecht. Inald Lagendijk: ‘Dat is allang niet meer zo.’ De Vries springt hier fel op in: ‘Je bent niet vier jaar iemand kwijt. Je hebt vier jaar een hele club mensen erbij. Als wij een koppeling leggen met het hoger onderwijs, spreekt mijn contact daar een pool van mensen voor de vraagstukken waarmee wij worstelen. Je krijgt er dus heel veel kennis voor terug.’ Het is de investering meer dan waard, concludeert de NCSC-voorman.

V.l.n.r.: Inald Lagendijk (TU Delft), Alexander Hielkema (gespreksleider en kwartiermaker Rijks I-Doctoraat), Anka Mulder (Saxion Hogescholen) en Laurens van Nes (IenW)

Rijksbrede aanpak

NCSC werkt al met onderzoekers die deels bij hen in dienst zijn en deels in dienst van een onderwijsinstelling. De Vries: ‘Dat zijn specialisten op hun vakgebied. Je ziet dat we zo een meerjarig onderzoeksprogramma kunnen opzetten, gericht op het onderzoek dat nodig is in Nederland. Ik geloof echt in dit doctoraatsprogramma, omdat ik zie wat het in de praktijk oplevert.’ De directeur van NCSC is wars van het allemaal alleen doen en pleit voor de rijksbrede aanpak. ‘Succes lies in numbers. Er loopt heel veel onderzoek en hoe eerder we op deze vlakken samenwerken met elkaar, hoe beter dat is voor ons allemaal. Zelf allemaal het wiel uitvinden, doen we al veel te veel.’

Het ministerie van Inspectie en Waterstaat (IenW) bereidt samen met I-Partnerschap twee promotieplekken voor, waaronder onderzoek naar de dreigingen bij toezicht op bijvoorbeeld bruggen en wegen. Laurens van Nes, CISO bij IenW ziet veel meer mogelijke onderzoeksonderwerpen: van zeer technisch tot meer praktisch. ‘Ik denk bijvoorbeeld aan onderzoek naar quantumcriptografie (redactie: een vorm van beveiliging voor elektronisch communicatie- of dataverkeer).’ Volgens Van Nes is de wetenschap uitermate geschikt om verder vooruit te kunnen kijken. ‘Ik ben bijvoorbeeld erg benieuwd naar de verbetering van het bewustzijn rond veilig werken. Ik heb daar geen data over. We doen ons best, maar ik wil dat graag onderbouwd hebben voor de langere termijn.’

Laurens van Nes: ‘Promovendus Kris Oosthoek is ‘the-man-to-go-to’ als het moeilijk wordt.’

Bij Rijkswaterstaat werkt op dit moment een promovendus op cybersecurity die onderzoek doet naar de gedragingen van aanvallers op het wereldwijde web. Van Nes: ‘Promovendus Kris Oosthoek (redactie: uit de film over Rijks I-Doctoraat, zie onderaan dit artikel) is inmiddels ‘the-man-to-go-to’ als het moeilijk wordt. Het is fijn voor collega’s om zo iemand in je team te hebben. Je haalt een slim, kritisch en onafhankelijk denkend iemand binnen. Die vooruit durft te kijken, die de buitenwereld mee kan nemen naar jouw organisatie.’ Lagendijk ziet die toegevoegde waarde ook voor de bestaande medewerkers. ‘Bied hen ook de kans om dit te doen. Het zorgt voor gelukkige werknemers en gelukkige werkgevers. Dus zet de ramen open, laat de wind er eens doorheen waaien.’

Aantrekkelijkheid vergroten

Lagendijk benadrukt dat cybersecuritytalent schaars is. ‘Ze zijn op zoek naar die plekken waar andere mensen rondlopen die ook slim zijn en uitdagende dingen doen.’ Volgens de hoogleraar heeft de overheid nog wel wat te winnen aan imago. Hij gelooft dat het doctoraatsprogramma enorm kan helpen om de aantrekkelijkheid van de overheid te vergroten. ‘Bovendien is het prettig voor de onderzoekers om te weten hoe een promotie of doctoraat werkt bij de overheid. Daarmee kun je hen echt helpen.’ I-Partnerschap denkt onder andere mee over waar een onderzoeksvraag thuishoort. Duidelijke afspraken over benodigde data of toegang tot specialisten, horen daarbij. Van Nes: ‘Je moet goede vragen hebben, er komt best wat kijken. Heel fijn om daarvoor dit programma te hebben.’

Anka Mulder: ‘Laten we stoppen met probleemdenken en het gewoon doen.’

Anka Mulder, voorzitter College van Bestuur Saxion Hogescholen, is een van de aanjagers van het nieuwe doctoraatstraject op hbo-niveau: ‘We hebben nu het programma om het praktische aspect te regelen. Als werkgever moet je over die horde van het korte-termijn-denken springen. Laten we stoppen met probleemdenken en het gewoon doen.’ De hbo’s gaan in 2022/2023 aan de slag met een doctoraatstraject voor hbo-afgestudeerden met een paar jaar werkervaring. Het Rijks I-Doctoraatsprogramma is er ook voor hen. ‘Langer onderzoek past bij het wetenschappelijk onderwijs, maar als je een complexe, meer praktijkgerichte vraag hebt, dan past die beter bij het hbo,’ meent Mulder. Ze verwacht een grote vraag naar deze doctoraten. ‘Ik hoef ze niet te verkopen. Het Rijk is nu wel de eerste die zich heeft georganiseerd. Dat geeft een mooie startpositie’.

Medeverantwoordelijk

Alle gasten aan tafel geven aan dat ze graag meewerken aan het programma. Jochem laat weten zich graag te verbinden, en te helpen om het bekend te maken binnen de Rijksoverheid. ‘Daar moeten we energie in stoppen en ook oog hebben voor eventuele bezwaren.’ De Vries voelt zich medeverantwoordelijk. ‘Nederland heeft gewoon inhoudelijke experts nodig en als we kunnen helpen om dat te organiseren, doe ik dat heel graag.’ Lagendijk belooft om samen met zijn collega’s voorlichting te geven over promotietrajecten en I-Partnerschap te helpen om te makelen en schakelen. ‘Dus als je met een interessant vraagstuk komt, dragen we samen met I-Partnerschap daarvoor de beste onderzoekers aan.’ Van Nes besluit: ‘Wij staan vooraan!’

Nieuwsgierig naar het hele gesprek over het Rijks I-Doctoraat tijdens het iBestuur Congres? Bekijk het op de website van het iBestuur Congres.

Bekijk ook de onderstaande film waarin drie nieuwsgierige, slimme pioniers vertellen over hun cybersecurity-onderzoek bij Rijkswaterstaat, de Nationale Politie en het nationale centrum voor digitale veiligheid NCSC/Haagse Hogeschool.

Het nieuwe kennisprogramma cybersecurity van I-Partnerschap


Cyberdreigingen als ransomware en virusaanvallen worden steeds geavanceerder en talrijker.
De rijksoverheid is als grote verwerker van vertrouwelijke gegevens kwetsbaar.
De roep om professionals met kennis van digitale veiligheid wordt dan ook alleen maar luider.

Het doctoraatsprogramma cybersecurity van I-Partnerschap helpt bij het opleiden en werven van hooggeschoolde cybersecurity professionals zowel met een hbo- als met een wo-achtergrond. Zodat je jouw rijksorganisatie beter kunt beschermen.
Een aantal organisaties zet al stappen. Drie nieuwsgierige, slimme pioniers vertellen erover.

Mijn naam is Kris Oosthoek. Ik ben analist in het Security Operations Center van Rijkswaterstaat waar we ons dagelijks bezighouden met de cybersecurity van de
Nederlandse wegen, bruggen, tunnels, sluizen en infrastructuur.
In het SOC kijken we naar de gedragingen van aanvallers, hoe zij te werk gaan en hoe dat eventueel een impact kan hebben op RWS.En dat is ook wat ik doe binnen mijn PhD.
Daarin kijk ik heel diep naar de TTP’s.Dat is de modus operandi: de gedragingen van aanvallers op een bedrijfsnetwerk en daar probeer ik van te leren om de cybersecurity te verbeteren.
Als PhD’er kijk je op een hele kritische manier naar vraagstukken. En leer je eigenlijk kritisch denken en met
creatieve oplossingen voor problemen te komen.En zeker in het dagelijks werk van cybersecurity waarin
nog een hoop vragen ondoorgrond zijn is dat een hele nuttige skill.

Ik doe een PhD en ik doe onderzoek naar ransomware, phishing en DDoS.
Die drie misdaden worden heel vaak los onderzocht en ik kijk naar het verband tussen die drie.
Bij een PhD verdiep je je natuurlijk heel erg in één onderwerp en dat leek me heel erg gaaf.
En het is heel gaaf dat ik dat bij de politie kan doen, omdat ik dan echt kan zien hoe politieagenten zo’n ransomware aanval eigenlijk aanpakken. Hoe probeer je zo’n misdadiger te achterhalen?
En door daar heel dichtbij te zitten snap ik ook veel beter hoe die misdaden werken en hoe die criminelen vervolgens de politie weer te slim af proberen te zijn.
En dat helpt mijn onderzoek weer heel erg omdat als ik die strategieën en die verdedigingen goed snap,
ik ook weer beter snap hoe ze die misdaden plegen.

Ik ben Nicole van Deursen. Ik ben wetenschappelijk onderzoeker bij het Nationaal Cyber Security Centrum.
Ik doe hier bij De Haagse Hogeschool onderzoek naar het visualiseren van cybersecurity-informatie.
En wat het effect daarvan is op de cognitieve werklast van cybersecurityspecialisten.
Bij de Haagse Hogeschool heb ik hier aansluiting bij het Centre of Expertise Cyber Security, maar ook bij andere lectoraten die kennis kunnen inbrengen omdat het niet alleen over cybersecurity gaat, maar ook  over hoe mensen omgaan met informatie verwerken en met technologie.
Ik heb ook voor De Haagse Hogeschool gekozen omdat het een hbo-instelling is met praktijk gericht onderzoek.
Mijn onderzoek is ook heel praktijkgericht en ik hoop ook de resultaten meteen te kunnen toepassen in de organisatie.


Cybersecurity is een vakgebied waarin nog heel veel niet doorgrond is dus als je mensen in huis hebt die op een kritische manier naar de moeilijke vraagstukken kunnen kijken dan levert je dat als organisatie een enorme winst op.
Met cybersecurity staan we voor een enorme uitdaging waarbij we zoveel werk hebben en zo weinig mensen.
En de kennisontwikkeling te langzaam gaat om de ontwikkelingen aan de kant van de cybercriminaliteit bij te houden.Daarom is het ontzettend belangrijk dat we toegang krijgen
tot meer onderzoek zodat het bijdraagt aan de kennisopbouw want op dit moment gaat dat echt veel te langzaam.

De politie is heel erg bezig zijn kennispositie over cyber te vergroten.
En promovendi kunnen daar echt een flinke bijdrage aanleveren.
Ten eerste zijn ze heel ambitieus, ten tweede zijn ze heel leergierig en ze staan heel erg open voor die kennis uit de politiewereld en de academische wereld, dus ik denk dat promovendi een goede groep is
om in je organisatie te hebben.