Cybercriminaliteit is een veelkoppig verschijnsel, wat maakt dat cybersecurity tegenwoordig een absolute noodzaak is. Ideeën- en kennisuitwisseling zijn in dat kader dan ook cruciaal. Vandaar dat het Leaders in Finance Cyber Security Event op 23 mei, voor alweer de tweede keer, verschillende leiders uit de financiële sector en diverse experts op cybergebied bijeen heeft gebracht.
Cybersecurity is in korte tijd een ‘hot topic’ geworden, zoals onder andere valt op te maken uit de vele berichtgeving erover in diverse mediakanalen. Of het nu gaat om cyberaanvallen door Russische hackers, de ongelooflijk snelle ontwikkeling van AI, of ‘deep fakes’, we kunnen tegenwoordig bijna dagelijks over dit soort zaken lezen.
Dat was ook meteen de boodschap van ING-CEO Steven van Rijswijk, die in een videoboodschap aan het begin van het programma het publiek duidelijk maakte dat er “steeds meer cyber attacks” waren en dat er op het gebied van cyberveiligheid nog veel te doen is.
Stay ahead
Onder de vlotte en luchtige hosting van dagvoorzitter Irene Rompa vervolgde het programma met de keynote van Beate Zwijnenberg (Global CISO bij ING Group), waarin ook zij steeds meer cyberaanvallen signaleerde door onder meer de snelle opkomst van AI. Volgens Zwijnenberg is het dan ook een hele uitdaging om voor te blijven in de digitale race, of zoals ze zelf zei: “How to stay ahead.”
Nieuwe regelgeving zoals DORA en NIS2 zorgt er volgens haar voor dat de “lat hoger wordt gelegd”, waardoor de algehele ‘IT-resilience’ verbetert. Ondanks de bedreigingen die AI voortbrengt, waardoor deep fakes voor fraude en afpersing makkelijker worden, ziet zij ook positieve kansen, zoals het gebruik van Generative AI dat sneller en beter “malicious messages” kan detecteren. Ze is echter ook realistisch als ze zegt: “We weten wat we weten, maar we weten niet hoe het over 5 jaar is.”
Hierop aansluitend volgde het CISO-panel (naast Beate Zwijnenberg bestaande uit Floor van Eijk (CISO NN), Johan Sturm (CISO Robeco), Corence Klop (CISO Rabobank) onder leiding van Rudrani Djwalapersad (Partner EY). Zij waren het er unaniem over eens dat AI moet worden “omarmd”, maar dat het wel een balanceeract is tussen bedreigingen en kansen. Ook zagen ze duidelijk het belang van het delen van ervaringen. “Share experience with peers.”
Verontrustende snelheid
Na een koffiepauze was er een speech door Marco Zannoni (Director bij de Nationaal Coördinator Terrorismebestrijding en Veiligheid), die het vooral had over verschillende (digitale) bedreigingen en de verontrustende snelheid waarmee alles gebeurt. “De snelheid waarmee ontwikkelingen gaan is groter dan de snelheid van security.”
In de Q&A die daarop volgde, vroeg Marco Doeland (CISO NVB) wat het ergste zou kunnen zijn wat we kunnen verwachten. Het antwoord van Zannoni was ondubbelzinnig: “Dat is een complexe aanval met voor lange tijd ontwrichting op grote schaal.”
Nog voor de lunch was het de beurt aan Leonie Boskeljon (Kolonel bij de Luchtmacht) die op geheel eigen wijze – zonder microfoon - een interessant verhaal hield over de menselijke factoren in cybersecurity en het nut van regels of het teveel eraan, dat volgens haar ook contraproductief kan zijn. “Te veel regels ontmoedigen mensen om actie te ondernemen.” Soms moet je volgens haar afwijken van regels en dat komt de creativiteit ten goede of zoals zij het zei: “Local ingenuity can get the job done.”
Ethische aspecten
Na de lunch sprak het tweede panel onder meer over AI, DORA/NIS2 en Legacy Systems. Vooral het gebruik van AI en de ethische aspecten die daarbij om de hoek komen kijken. Volgens het panel moet je AI niet gebruiken op mensen, maar puur voor zakelijke doeleinden. Het panel constateerde wel dat ook bij DORA gebruik wordt gemaakt van AI, dus ook hier klonk het inmiddels bekende “so it can be used for good and bad.”
Vervolgens stonden de rondetafelgesprekken op het programma, waarbij er levendig en enthousiast werd gediscussieerd over de implicaties van DORA en NIS2, het voortdurend introduceren van nieuwe technologieën terwijl de oude er nog zijn, en de samenwerking tussen de overheid en de private sector.
Na wederom een korte koffiepauze hield Corence Klop (CISO bij Rabobank) een presentatie over AI, Innovatie en Security. Ook zij benadrukte de snelheid waarmee technologie groeit en noemde het treffend “mind boggling”. In dit verband kreeg AI van haar de kwalificatie “een tweesnijdend zwaard” met aan de ene kant ‘threat’ en aan de ander kant ‘opportunity’. Bewustwording is volgens haar daarbij van cruciaal belang. “Want de menselijke laag is de eerste verdedigingslijn.”
Unfalsifiable
Martijn Dekker (CISO bij ABN AMRO) had de eer om het programma te sluiten met zijn keynote onder de veelzeggende noemer ‘Garbage collection and imperfect security decisions’. Hij doelt hiermee op de gevolgen van het fundamenteel imperfect zijn van beslissingen over cyberveiligheid en dat claims daardoor niet te verifiëren zijn, of zoals Dekker het met een mooi woord noemt: “Unfalsifiable”.
Daardoor ontstaat er volgens hem een eindeloze stroom afval in ‘control frameworks’, en dan missen we een functie die dergelijk afval verzamelt. Dekker zou graag zien dat daar iets aan gedaan wordt. “Start thinking about how such a function can be implemented”, was zijn oproep.
Hij wist het geïnteresseerde publiek goed bij de les te houden met zijn verhaal, ook door het vernieuwend taalgebruik zoals het intrigerende woord ‘senescence’ wat hij perfect aanschouwelijk maakte door de octopus te gebruiken als metafoor voor versneld uiteenvallen. Of in de woorden van Dekker: “Without a garbage function we will end up with ‘cyber senescense’ instead of ‘cyber resilience’.”
De Q&A ten slotte door Irfaan Santoe (oprichter QWASP) liet zien dat er een duidelijke rode draad door het programma liep, toen hij aan het eind van het gesprek met Dekker concludeerde dat “AI is a threat, but treat it as an opportunity.”
Na afloop was er voldoende gelegenheid om tijdens de borrel te netwerken en peer-to-peer gesprekken te voeren.
Het moge duidelijk zijn dat er nog veel op ons afkomt en dat bijeenkomsten zoals deze zeer nuttig, inspirerend en verbindend kunnen zijn zoals ook uit verschillende gesprekken kon worden vernomen.
Dat is ook de algehele indruk van Ernst Beskers, een van de organisatoren van het event, zoals hij laat weten in een reactie op het event: “Voor mij is een belangrijke maatstaf voor het succes van een evenement, de mate waarin vakgenoten, in dit geval CISO’s en cybersecurity professionals, nieuwe connecties maken en kennis en ervaringen uitwisselen."
"Met dat in gedachten kan ik als organisator zeggen dat dit evenement meer dan geslaagd was. We kijken dan ook met veel enthousiasme uit naar ons evenement in 2025."
Het Leaders in Finance evenement werd mede mogelijk gemaakt door EY, Rubrik, Fortinet, ServiceNow en de Nederlandse Vereniging van Banken.