“Is het voldoende?” Die vraag blijft hangen als je met Jaimy Thepass praat. Niet omdat ze graag onrust zaait, maar omdat ze het dreigingsbeeld van dichtbij heeft zien kantelen. Van snelle ransomware voor geld naar langdurige, stealthy aanvallen met een ander doel: ontwrichten, bespioneren, grip krijgen op vitale processen.
Jaimy is Business Development Manager bij Sentyron en maakte bewust de stap terug richting defensie en vitale infrastructuur. “Na vier jaar was het ook mooi geweest. Ik wilde eigenlijk weer wat dichter naar Defensie toe. Zeker ook met de geopolitieke situatie.”
Jaimy werkte vijftien jaar bij Defensie, bij de landmacht, in de wereld van verbindingen en IT-middelen. Later verschoof haar focus naar Electronic Warfare en daarna naar het Defensie Cyber Commando. “Daar is ook een beetje mijn voorliefde voor cyber gesparkt.” Dat Defensie-denken hoor je terug in hoe ze naar digitale dreiging kijkt: niet als iets dat je met een checklist wegregelt, maar als iets waar je je op voorbereidt alsof het echt gebeurt. Want dat gebeurt ook.
Wat zag ze de afgelopen jaren het hardst veranderen? “Het is gegaan van ransomware, snel geld verdienen , systemen versleutelen, naar meer geavanceerde langdurige stealthy aanvallen van advanced persistent threats. Ze richten zich ook steeds meer op energie, telecom, havens, water, defensie.” Niet omdat daar de snelste payout zit, maar omdat daar maatschappelijke druk zit. Omdat daar leverage zit. De geopolitiek duwt het dreigingslandschap mee. “Je merkt dat die geopolitieke veranderingen wel daadwerkelijke impact hebben op hoe deze actoren zich nu gedragen.”
De afgelopen jaren is cyber eindelijk hoger op de agenda gekomen. Jaimy zegt het bijna met opluchting: “We hebben er met z’n allen voor gekozen om cybersecurity ten eerste eindelijk te gaan accepteren.” Veel organisaties hebben inmiddels monitoring, pentests, red teaming en incident response ingericht. Teams staan standby. Processen bestaan. Maar dan komt haar kernvraag weer terug: “Het betekent niet dat je dan ook veilig bent. Want als je uitgaat van ‘het gaat een keer gebeuren’ en je hebt je plannen klaar, heb je dan ook echt grip? Kunnen we met droge ogen zeggen: nou, ik denk dat het nu wel écht veilig is?”
Bij energie en OT gaat het niet alleen om bedrijfscontinuïteit, maar om maatschappijcontinuïteit. “Onze maatschappij moet draaien op energie, water en dergelijke. Als een energienet uitvalt, of de balans raakt weg, of communicatie naar kritieke infrastructuur faalt, heeft iedereen last. Dus het is daadwerkelijk van groot belang, letterlijk, om ervoor te zorgen dat dat beschermd blijft.”
En ja, er is vooruitgang. “Energiesystemen en OT-omgevingen zijn daadwerkelijk wel anders ingericht.” Minder ‘even een update pushen achter een deurtje’. Maar ik zie ook dat veel wordt gedreven door compliance. Er zijn maar weinig techneuten die zeggen: ik ben wel echt van mening dat dit echt niet kan en dat ik er nu wat aan ga doen. En zelfs als ze dat zeggen, moet er nog steeds een board overtuigd worden.”
De aanvalspaden zitten namelijk allang niet meer alleen in het datacenter. “Het oppervlak wordt zoveel groter, van edge devices tot aan misschien wel het simpele kastje wat jij hebt hangen om je zonnepanelen aan te sturen. En daar zit iets ongemakkelijks in: vitale ketens beginnen vaak bij heel gewone componenten, heel gewone leveranciers, heel gewone omgevingen. Van de simpele burger tot aan de grote energiebedrijven, die toch moeten nadenken: what if?”
Inmiddels zitten veel organisaties op het niveau van cyberhygiëne, oefenen en reageren. Jaimy schetst het als een volwassen basis die er moet zijn. “We hebben blue teaming, red teaming, incident response, we oefenen.” Maar in vitale infrastructuur schuurt dat. Want als het misgaat, gaat het niet om een ransomware-bedrag. “Dan gaat het niet over geld, maar over het ontwrichten van een daadwerkelijk onderdeel van de maatschappij.”
In OT-omgevingen is beschikbaarheid vaak de absolute prioriteit. Logisch, want processen moeten door. Maar Jaimy wil schuren aan die vanzelfsprekendheid. “De vraag is of die beschikbaarheid ervoor zorgt dat we ook een beetje blind worden.” Ze ziet risico op schijnveiligheid: vinkjes zetten en denken dat je ‘het zeker weet’. “Dan is dat in mijn ogen schijnveiligheid.” Daarom daagt ze uit om anders te denken: wat als we niet alleen sturen op beschikbaarheid, maar óók op integriteit van de informatie? “Als de informatie die binnenkomt de verkeerde informatie is, dan gaat het dus niet meer over simpelweg dat er iets wordt ontwricht, dan gaat het over mensenlevens.”
Ze maakt het concreet met industriële voorbeelden: data uit een raffinaderij, meetwaarden, procesinformatie. Als de data gemanipuleerd kunnen worden, kan de uitkomst fysiek gevaarlijk worden. Explosies. Onveiligheid. Een systeem dat ‘online’ is, maar onbetrouwbaar. “Bij Defensie noemen we dat de what-if scenario’s. Je hebt most likely scenario’s, maar ook most dangerous scenario’s. Die most dangerous scenario’s moeten we met elkaar gaan bespreken. Want enkele breinen kunnen niet beslissen over het lot van de wereld.
Aan beslissers heeft ze een opvallend praktisch advies: “Ga soms heel even terug naar waar je allemaal begon, welk scenario gaf voor jou de doorslag? En stel jezelf dan opnieuw dezelfde vraag, maar met het dreigingsbeeld van nu. We kunnen nu niet zeggen dat hetgeen wat we eerder hebben gedaan voldoende is.”
Ze sluit af met een zin die in elke bestuurskamer op de muur mag, juist omdat hij simpel is: “Als je doet wat je deed, dan krijg je wat je kreeg.” En precies daarom blijft die ene vraag boven de markt hangen.
“Is het voldoende?”
Jaimy Thepass spreekt hierover tijdens het Congres Bescherming Energie Systemen. Jaimy Thepass laat samen met Godfried Boshuizen zien waarom monitoring en software-only beveiliging tekortschieten. En wat het betekent als communicatie-integriteit fysiek en cryptografisch wordt afgedwongen.
Meer informatie en aanmelden via https://www.euroforum.nl/klimaatenergie/nationaal-congres-bescherming-energiesystemen.
Altijd op de hoogte blijven?
Ontvang exclusieve tips en trends direct in je inbox.
