Bij cybersecurity-zwaargewicht Inge Bryan loopt het gevecht tegen het kwaad als een rode draad door haar carrière. Dat vergt van tijd tot tijd haar tol. In haar nieuwe baan als 'mama van Fox-IT' wil ze de overheid helpen meer structuur aan te brengen in de aanpak van cybercrime. Maar ze blijft kritisch: ze verwacht weinig goed voor de komende kabinetsperiode. ‘Er komen geen Kamerleden die het licht gaan brengen.’
Inge Bryan nam tijdens de podcast Cyberhelden, wekelijks verzorgt door Ronald Prins, geen blad voor de mond. Tegenover beveiligingsexpert, die onlangs met Hunt & Hackett een eigen securitybedrijf begon, uitte ze haar ongenoegen over het securitybeleid, de versplintering bij de overheid en de beperkte aanpak van kinderporno. Fox-IT kan helpen de structuren bij de overheid op orde te brengen, zegt Bryan die haar nieuwe rol omschrijft als ‘mama van Fox-IT’. Ze moet intern bij Nederlands grootste securitybedrijf na een roerige tijd de rust terugbrengen.
‘Ik begin met een schone lei, we gaan een nieuwe fase in,’ vertelde Bryan, die geen verleden heeft binnen het bedrijf, afgelopen november aan Computable. Sinds ze in 2016 bij Deloitte begon, is er veel veranderd binnen de cybersecurity. Het onderwerp staat nu bij elk bedrijf op de agenda. De markt is volwassen geworden. Naast hele grote generieke spelers ontstaan ook veel niche-aanbieders die een specifiek, meer afgebakend deel van de markt bestrijken. ‘Ik vind het mooi om Fox-IT in die situatie te leiden.’
Extern wil ze de nodige ‘reuring’ gaan brengen. Wat ze zeker voortzet, is het bijpraten van besluitvormers bij de overheid. In februari 2018 zei Bryan in een ander Computable-interview hier zeker 1,5 dag per week aan te besteden. Ook in haar nieuwe functie blijft ze aandringen op een actievere rol van de overheid. Veiligheid is haar passie. ‘Ik ben gewoon een veiligheidsmevrouw.’ zei ze tegen Ronald Prins in de podcast.
Nationale Politie
Tijdens haar tienjarige werk voor de Binnenlandse Veiligheidsdienst (BVD) moest ze er altijd het zwijgen toe doen. Ook als plaatsvervangend hoofd landelijke recherche bij de Nationale Politie kon Bryan niet alles zeggen. Dat beviel haar matig. Maar in haar nieuwe rol heeft ze vrijheid. Dat begon al bij Deloitte waar ze als director cybersecurity haar strijd tegen de cybercriminaliteit voortzette en regelmatig van zich liet spreken als het om veiligheid ging.
Historica Bryan, die zich tijdens haar studie specialiseerde in polemologie (oorlogswetenschap) en tien jaar reisleidster was, heeft uitgesproken meningen. Ze is kritisch over de nieuwe generatie parlementariërs die na de verkiezingen op 17 maart aantreedt. Bryan ziet geen Kamerleden aantreden die het licht gaan brengen. Bekend is dat het handjevol Kamerleden met kennis van ict na de verkiezingen niet meer terugkeert in de Tweede Kamer. De nieuwe kandidaten missen vrijwel zonder uitzondering een ict-achtergrond.
Stiefmoederlijk
Ook de verkiezingsprogramma’s geven Bryan die tot voor kort de afdeling Cyber Risk van Deloitte leidde, weinig hoop. In de podcast van Ronald Prins zegt ze daarover: ‘Daar staat bitter weinig in. Veel politici spreken met experts. Je kunt in de programma’s precies terugzien met wie ze hebben gesproken. Een eigen visie ontbreekt volledig.’ Met name de cybersecurity komt er stiefmoederlijk bedeeld van af. ‘De politiek heeft geen goed beeld van de huidige staat van dreiging. Nodig is een visie op de pijlers waarop de samenleving qua veiligheid moet gaan leunen en hoe we de dreiging gaan pareren.’
In Bryans woorden klinkt kritiek door op de huidige ministers. Volgens haar is het niet erg dat bewindslieden zelf geen kennis van cybersecurity hebben en leunen op andermans expertise. Maar de meesten houden zich afzijdig, is haar ervaring. ‘Ze schuiven taken voor zich uit of schuiven die door naar collega-ministers. Ze nemen zelf geen verantwoordelijkheid.’ Volgens Bryan is het van levensbelang dat ministers ook beslissingen durven te nemen op gebieden waar ze zelf geen verstand van hebben. Dat kan als ze de juiste kennisbronnen aanboren.
Eigen houtje
‘Security moet vooraf in nieuwe technologie zijn ingebakken.’ Maar Bryan mist ook een antwoord op de vraag in welke technologische gebieden Nederland straks een rol kan spelen. ‘Definieer eerst eens goed wat voor Nederland belangrijk is.’ Ze begrijpt dat Nederland niet veel op eigen houtje kan doen. Om die reden moet binnen Europa naar vaste partners worden gezocht. Voorbeeld van een weinig gelukkig technologiebeleid is volgens Bryan de telecomsector. In de podcast pleit ze ervoor dat Nederland net zoals bij de stroomvoorziening één groot netwerk voor telecommunicatie krijgt. In plaats van dat elke provider een eigen 5G-netwerk opzet, kunnen KPN, Vodafone en T-Mobile beter samen een netwerk delen. Met buitenlandse moeders zoals Vodafone en T-Mobile die hebben, is dit weliswaar lastig maar zeker niet onmogelijk.
De drie grote providers kunnen het geld dat met samenwerking wordt bespaard in veiligheid en hoge kwaliteit steken. Volgens Bryan is dat uit oogpunt van algemeen belang beter dan een concurrentieslag op kleine marges waar niemand beter van wordt. 5G belooft straks bepaald geen vetpot te zijn. De bandbreedte-veiling kost de telecomproviders veel geld. Dat beperkt de mogelijkheden om een state-of-the-art-netwerk te bouwen met het hoogste niveau van veiligheid. Hoewel dit een kwestie van particuliere bedrijven is, kan de overheid hier een rol spelen. Op de aanleg van de 5G-infrastructuur kan het Rijk invloed uitoefenen. ‘Dit betekent dat je elkaar een schop onder de kont moet geven’, aldus Bryan die ook haar afschuw uitsprak over de stammenoorlogen tussen de ministeries. Ze noemt de ’turf wars’ tussen Economische Zaken en Justitie en Veiligheid ‘om te janken’.
CV
2021- NCC Group Europe (Fox-IT, Fort Consult)
2016-2020 Directeur van de afdeling Cyber Risk bij Deloitte
2012-2016 Plaatsvervangend hoofd van de Landelijke Recherche.(Verantwoordelijk voor specialistische opsporing, waaronder hightechcrime en de invoering van CCIII (nieuwe wet computercriminaliteit).
2011-2012 Programmaleider voor de vorming van de nationale politie (KLPD)
2007-2010 Ambassaderaad Veiligheid en Justitie in Frankrijk (Parijs)
1997-2011 AIVD
Opleidingen:
Bryan behaalde in 1999 een master Algemene Geschiedenis aan de Universiteit Leiden. Ze volgde een post doctorale opleiding Veiligheidsstudies aan het Institut National des Hautes Etudes de la Sécurité (diploma in 2010) en beschikt over een Certified Information Systems Security Professional (CISSP)-certificaat.
Cyber Security Raad
China
Ook de bestrijding van digitale bedrijfsspionage vereist een actieve aanpak. De overheid zou verder moeten gaan dan het tijdig onderkennen van dreigingen vanuit landen als China en Rusland. In overleg met de Nederlandse bedrijven die worden bespioneerd, zouden Nederlandse inlichtingendiensten ook moeten kunnen ingrijpen. Uiteraard kan bijvoorbeeld de AIVD zich niet vrij bewegen in bedrijfsnetwerken die privéterrein zijn. Maar als de eigenaar daarmee instemt, moet actie mogelijk zijn.
Dat is zeker zinvol wanneer bedrijven niet in staat zijn zelf de spionage te beëindigen, meent Bryan. Het inzetten van inlichtingendiensten voor economische doeleinden is wereldwijd vrij geaccepteerd. Ze vindt het vreemd dat dit onderwerp in Nederland onbespreekbaar is, terwijl dit in het buitenland normaal is.
Ze is met hart en ziel betrokken bij het securitybeleid en de uitvoering daarvan. Bryan was nog maar net bij de politie toen ze een inbreker uit zijn auto trok. Overal waar ze werkzaam was, wilde ze de praktijk leren kennen. Ze deed mee aan huiszoekingen. ‘Zo’n zoekploeg ziet alles. Je ruikt al heel gauw de sfeer. Je krijgt een oog voor sporen van huiselijk geweld of drugsgebruik. Daar kan je dan je voordeel mee doen. Voortgezette bevoegdheden geven allerlei mogelijkheden’, aldus Bryan in de podcast.
Geheel anders moeten politiehackers te werk gaan. Die zijn aan strenge regels gebonden. ‘Geen middel dat de politie inzet, is zo precies omschreven als het hacken. Bij digitale zoekoperaties moet de politie heel gericht te werk gaan. Anders dan bij fysieke invallen mis je de context en sfeer. Achteraf moet ook zeer nauwkeurig worden vastgelegd wat de opsporing heeft waargenomen.’
Grof geschut
Ook de schaal waarop de politie kan hacken, kent sterke beperkingen. ‘Veel te veel,’ zegt Bryan geërgerd. Dat geldt zowel voor het proces als de capaciteit. Voor de opsporing van kinderporno zou aanzienlijk meer moeten worden gehackt. Want geen middel is zo effectief. Tegenover de politie staan de pornoboeren die de meest geavanceerde technieken inzetten om buiten schot te blijven.
Om die anonimiteit te doorbreken en porno-netwerken uit de lucht te halen, is wat Bryan betreft ‘grof geschut’ nodig. Te lang is dit probleem onderbelicht gebleven. En dat terwijl 3,5 procent van de volwassen mannen regelmatig kinderporno downloadt, weet Bryan. In Nederland maakt een kleine 300.000 man zich hier schuldig aan. ‘Ook in de vaderlandse hostingsector komen uiterst kwalijke praktijken voor. Een aantal ‘bullit proof hosting’-partijen faciliteert aanbieders van kinderporno en andere zware criminaliteit.’
Tijdens haar openhartige podcastgesprek met Prins vertelde ze over het Anti-Abuse Netwerk, de brede Nederlandse coalitie die internet veiliger moet maken. Bryan: ‘Er zijn nog heel veel knelpunten waardoor ‘alle shit op internet’ onvoldoende wordt aangepakt. Een van de problemen is dat veel informatie over misbruik niet aankomt bij de personen die er iets tegen kunnen doen.’
Ptss
Het onderwerp kinderporno gaat Bryan na aan het hart. De confrontatie met dergelijke beelden tijdens haar politiewerk leidde tot een posttraumatische stress-stoornis (ptss). Vier jaar geleden na haar vertrek bij de Nationale Politie moest ze psychiatrische hulp zoeken. Tijdens het boodschappen doen zag ze opeens beelden van terroristen. Onderweg naar het werk werd ze herinnerd aan oorlogsmisdaden. Als ze haar kinderen ’s avonds naar bed bracht, zag ze beelden van kindermisbruik.
Onlangs nog tijdens een TEDx Talk voor de Universiteit van Amsterdam schoot ze vol. Huilend bekende ze haar eigen mentale ‘security’ al die jaren te hebben verwaarloosd. Daarbovenop kwam nog een scheiding. Aangedaan vertelde ze de studenten dat ze ’s avonds een leeg huis binnenstapt. De strijd tegen het kwaad die als een rode draad door Bryans carrière loopt, eiste kennelijk zijn tol.
Bij de BVD kreeg ze het moeilijk om normale relaties met anderen op te bouwen. Rond een straal van anderhalve kilometer rond de vestiging in Leidschendam gold een samenscholingsverbod. Medewerkers mochten na het werk niet met elkaar oplopen op weg naar huis. Nog in de jaren negentig werden salarissen cash uitbetaald. Een bankrekening kon geheimen prijsgeven. Uit angst voor vergiftiging mochten Bryan en haar collega’s alleen eten bestellen uit een speciale keuken van het Rijk. Een pizzakoerier bellen was uit den boze, herinnert Bryan zich.
Gedecimeerd
Door haar werk voor de BVD, later Algemene Inlichtingen- en Veiligheidsdienst (AIVD), politie en Deloitte heeft ze de securitywereld van alle kanten leren kennen. Bij de Britse NCC Group gaat ze de aparte divisie leiden voor het vasteland van Europa. Fox-IT uit Delft en het Deense Fortconsult vallen onder haar verantwoordelijkheid. Bryan moet die Europese divisie flink uitbouwen. Ze treft bij Fox-IT een organisatie aan waarvan de top vorig jaar bijna geheel werd gedecimeerd. Na een couppoging moesten afgelopen juni drie Nederlandse directieleden van Fox-IT vertrekken. Ook het vertrek van Frank Groenewegen die Fox-IT ruim vijftien jaar diende, was een aderlating. De hoofd-beveiligingsexpert overigens neemt bij Deloitte de stoel van Bryan in.
Gevraagd naar haar motivatie voor deze opmerkelijke switch zegt Bryan graag weer voor een organisatie te werken die honderd procent is toegewijd aan cybersecurity. ‘Ik ga wat dat betreft mijn eigen rabbit hole in. Als Europese organisatie kan NCC Europe met Fox-IT als basis, problemen oplossen en signaleren alsmede de lokale politiek helpen de publieke structuren op orde te brengen.’ Een andere belangrijke reden voor de overstap is dat ze weer integraal kan leiden. ‘Net zoals ik bij de politie deed. Ik vind het fijn om ‘mama’ te zijn van die hele club.’