In de rubriek Next Generation staat NGinfraMagazine stil bij de talenten van de toekomst. De nieuwe generatie die gaat waken over en zorgen voor de infrastructuur van morgen. Met dit keer aandacht voor de wereld van cybersecurity. Barry Pouwels, manager van het Cyber Resilience Center van Alliander, werkt aan een (cyber)veilige wereld voor zijn kinderen.
Pouwels is al van jongs af aan bezig met security, vertelt hij. “Als jochie van acht jaar oud probeerde ik infraroodsensoren te ontwijken in winkels. Ik zocht naar manieren hoe ik over of onder die sensoren kon komen. Waarschijnlijk haalde ik mijn inspiratie uit de televisieserie Star Trek. Daar was alles hypermodern.” De interesse verplaatste zich in de pubertijd naar het internet. “Ik ging op zoek naar beveiligingsfouten, met als doel dat netjes te melden bij de bedrijven. Want als ik het kon vinden, konden anderen dat ook. Met mogelijk alle vervelende gevolgen als resultaat. Als er misbruik van wordt gemaakt, kan het consequenties hebben voor bedrijven en voor de klanten van die bedrijven. Het is altijd mijn idee geweest om daar iets mee te doen.”
Kwetsbaarheden inzichtelijk maken
De nu 37-jarige Pouwels kwam in 2008 in dienst bij Alliander. Daar werkte hij eerst als IT Proces Manager, sinds 2017 als IT Privacy & Security Expert en sinds oktober 2019 als manager van het Cyber Resilience Center. “Zonder in detail te kunnen treden, probeer ik vanuit mijn functie inzichtelijk te maken wat eventueel onze kwetsbaarheden zijn en wat daar de risico’s van zijn voor de organisatie. Vervolgens leg ik uit wat de oplossingen zijn, met de eventuele risico’s die kleven aan het implementeren van de oplossing. Ook zorgen we ervoor dat we een eventuele aanval kunnen detecteren, om vervolgens in actie te komen en te reageren.”
Mocht Alliander getroffen worden door een complexe hackaanval, dan kunnen de gevolgen in theorie groot zijn. Pouwels: “Als een hacker weet in te breken bij een netbeheerder, dan is een van de mogelijke scenario’s dat de energievoorziening wordt beïnvloed. Dan zit dus een hele regio of groot deel van het land zonder stroom. Dit met alle gevolgen van dien. Dat heeft grote maatschappelijke gevolgen. Dat wil je te allen tijde voorkomen. In dit licht raad ik het boek Black Out van Marc Elsberg aan. Daarin wordt uitvoerig beschreven hoe een dergelijk scenario zich af kan spelen en wat daar de maatschappelijke gevolgen van zijn.”
Intrinsieke motivatie
Pouwels wil niet alleen Alliander beschermen tegen hackers. Hij trekt het breder. “Het is mijn intrinsieke motivatie om Nederland en de wereld elke dag een beetje veiliger te maken. Ik wil bedrijven informeren welke risico’s zij lopen als zij hun cybersecurity niet op orde hebben. Ook kinderen en studenten moeten zich bewust zijn van het veilig omgaan met ITmiddelen, je data en je persoonsgegevens. Wat zet je wel en niet op social media? Hoe ga je om met accounts? Deel je je wachtwoord wel of niet? Het is natuurlijk uit den boze om, nadat je net geslaagd bent, trots een foto van je rijbewijs online te zetten. Want als iemand dat netjes uitknipt, kan diegene daarmee een lening aanvragen. Op jouw naam! Of dat je bij een bestelling bij een webshop je geboortedatum invult voor een bestelling. Dat hoeft een verkoper helemaal niet te weten.”
“Er is te weinig aandacht voor die bewustwording en ik vind dat daar iets mee moet gebeuren. De wereld moet veiliger worden en ik zie het als mijn rol om daar een kleine bijdrage aan te leveren. Ik zoek nog naar een vorm hoe ik bijvoorbeeld op scholen iets kan creëren. Waardoor de medewerker van de toekomst of de klant van de toekomst, weet hoe hij of zij veilig en verstandig om moet gaan met persoonlijke informatie, bedrijfgerelateerde informatie en IT-middelen.”
Het begint aan de voorkant
Niet alleen de jonge generatie valt nog voldoende te leren. Pouwels: “Het begint wel aan de voorkant. Als je de jongere generatie het niet leert, heb je bij de mensen die nu vijftig zijn, veel ‘herstelwerkzaamheden’. Zie dat gedrag maar eens af te leren. Iemand die jarenlang zonder gordel heeft gereden, doet nog steeds zijn gordel niet om. Behalve als hij of zij een nieuwe auto heeft en het gaat piepen als je de gordel niet omdoet. Diegene moet erop worden geattendeerd dat wat hij of zij doet niet veilig is. Mensen die zich dus niet hebben verdiept in cybersecurity, die niet inzien wat er allemaal mis kan gaan en dat zelf nooit hebben gevoeld, gaan het belang er mogelijk nooit of slechts beperkt van inzien.”
Volgens Pouwels beseft de maatschappij nog niet welke gevaren schuilgaan achter cybercrime. “Ik ben bang dat we daarvoor nog een paar goede grote aanvallen moeten krijgen in de wereld of in Nederland. Waarbij de impact in de maatschappij meer voelbaar is. Hoe erger dat wordt gevoeld, hoe groter het besef wordt bij mensen.”
Wees voorbereid
Aanval of niet, organisaties in de infrastructuur moeten altijd rekening houden met het feit dat ze een prooi zijn. “Je moet dus ook proberen de voordeur zo goed mogelijk dicht te houden. Maar maak ook een plan als men wel door de voordeur komt. Als je geen voorbereidingen treft, kom je van de koude kermis thuis als je wel bent getroffen. Ik geloof er namelijk niet in dat je voor honderd procent beschermd kunt zijn. Ik geloof wel dat je je bescherming zo dicht mogelijk tegen de honderd procent aan kunt krijgen. Je moet je huiswerk goed doen, up-to-date blijven en de omgeving in de gaten houden. En denk daarnaast goed na wie je welke rechten geeft in een organisatie en houdt dat actief bij. Ik kan bijvoorbeeld ook niet het stroomnet afsluiten. Waarom niet? Omdat ik daar vanuit mijn functie niks te zoeken heb.”