Skip to main content
19 september 2022
Samenvatting
Rian van Rijbroek windt haar slachtoffers om haar vingers door oplichterij, maar ze heeft ons informatiebeveiligers ook wat te leren.
Volg qeep

Succes met ondoorgrondelijke security

Over hoe je met moeilijke woorden een heel eind komt
19 september 2022

Als zelf respecterende informatiebeveiliger zegt de naam Rian van Rijbroek je waarschijnlijk wel iets. Of tenminste dan de bedrijfsnaam Centric met aan het roer multimiljonair Gerard Sanderink. Wat kunnen we leren van een oplichter? Meer dan je denkt.

In de ban van Rian

Een korte podcastserie van Tubantia en het AD

Onlangs werd ik getipt op de korte postcastserie ‘In de ban van Rian‘. Daarin doet onderzoeksjournalist Angelique Kunst op basis van jarenlang onderzoek uit de doeken hoe Rian van Rijbroek een onvervalste oplichter blijkt te zijn. Nu zou je verwachten dat zij na de beruchte Nieuwsuur uitzending van 29 januari 2018 geheel en al passé zou zijn – tenminste op het gebied van IT/security. Maar dat blijkt wonder boven wonder niet het geval. Ze weet Centric eindbaas Gerard Sanderink aan de haak te slaan wat bij mij verschillende vragen oproept. Natuurlijk zijn alle vragen hierover al gesteld (en beantwoord?) maar geef me niettemin een kans mijn punt te maken. Wat heeft Rian ons te leren?

O ja, na het beluisteren van de podcast bestelde ik direct het boek van Angelique Kunst: ‘Er is er hier maar één de baas

“Wees altijd voorbereid op een potje paniekvoetbal! Zorg dat je vliegensvlug de actualiteit kan verbinden aan je eigen doelstellingen en agenda.”

Even inkomen?

Mocht deze soap aan je zijn voorbij gegaan, dan hierbij eerst een compliment! Maar smeuïg is ‘ie wel dus wanneer je besluit mijn blog verder te lezen; check dan ook enkele van onderstaande fragmenten op Youtube.

Rian van Rijbroek over de DDoS aanvallen – 29 januari 2018. Nieuwsuur

Dit is de Dag over de DDoS aanvallen – 30 januari 2018, Radio 1

Wat klopt er van ‘cyberexpert’ Van Rijbroeks nieuwe boek? – 24 januari 2019, #kloptditwel Volkskrant

Rian van Rijbroek & Gerard Sanderink – 15 maart 2020,  Zondag met Lubach

‘De ontspoorde macht van Gerard Sanderink’ vastgelegd in boek door journaliste Angelique Kunst – 29 april 2022, 1Twente Enschede

Wie is toch die mysterieuze Rian van Rijbroek die nog steeds haar gang gaat? – 29 juli 2022, Op1

(Dit is trouwens hoe het écht zat met die DDoS aanval) – 6 februari 2018, Tweakers

Totaal gebrek aan kennis

Mensen aan de top van een bedrijf hebben vaak geen flauw benul

Voor mij legt deze hele soap first & foremost bloot dat er immense (IT!) bedrijven bestaan die geleid worden door mensen die lijden aan een totaal gebrek aan kennis van informatiebeveiliging. Die lezen, oh nee: horen over een boek en menen in alle urgentie de klok noodlottig te horen luiden. Dat zo’n bedrijf meestal een afdeling heeft die ook de klepel kent doet daarbij niet ter zake. Nu is het menens; het is een chefsache geworden. Daarbij stel ik mij voor dat een directeur niet graag laat merken dat hij/zij eigenlijk weinig kennis van zaken heeft en daar wist én weet een Rian dankbaar gebruik van te maken.

Smart blockchain

Ze knoopt en verbindt vanalles aan elkaar en gebruikt daarbij steevast woorden die op zichzelf wel betekenis hebben, maar in hun onderlinge samenhang tot totale onzin verworden. Ik kan nog steeds lachen om die smart blockchain. Enfin, als directie laat je je voorlichten door iemand met een reputatie ‘van horen zeggen’ en ik stel mij voor dat een snelle check bij de CISO achterwege wordt gelaten. Rian schreef immers boeken, was op TV en werkte voor internationale inlichtingendiensten. En voor het gemak zien ze haar Nieuwsuur optreden als een ‘incident’ waarvan niet helemaal duidelijk is hoe het precies zit. Brutale mensen hebben de halve wereld.

Onverschilligheid

Ruim vijf jaar geleden schreef ik een tweeluik over de onverschilligheid rondom het vakgebied informatieveiligheid (informatiebeveiliging + privacy). Of misschien had ik moeten schrijven over naïviteit. Hoe dan ook, het is toch ergerlijk dat zo’n praatjesmaker als Rian wél de aandacht in één keer weet te trekken terwijl de interne medewerkers steeds weer stuiten op de voornoemde naïviteit en onverschilligheid (of erger). Er wordt gerelativeerd, gebagatelliseerd en uitgesteld maar Rian mag (terug)komen bij Centric. Misschien ken jij ook wel een Rian. Dat hoeft helemaal geen oplichter te zijn, maar iemand waar je met enige jaloezie naar kijkt omdat het hem of haar wel lukt aan de bestuurstafel te komen. Ga voorbij aan het gemakkelijke ‘vreemde ogen dwingen’ antwoord en probeer die vraag eens echt te beantwoorden.

“Waarom doen we niet zoals Rian doet – maar dan zonder het faken en oplichten? Waarom dringen wij ons niet aanhoudend op aan het management, college en raad om context en duiding te geven bij actuele, substantiële dreigingen?”

Waarom niet doen zoals Rian?

(Maar dan zonder oplichterij)

In het uitoefenen van mijn werk als adviseur ben ik er stellig van overtuigd dat de informatiebeveiliger in het taalgebruik en tempo dient aan te sluiten bij het management, en niet andersom. Escalaties daargelaten. Dit is een lange, stroeve weg waarbij je kleine successen gauw moet vieren in de hoop dat personele wisselingen nog even uitblijven. Waarom doen we niet zoals Rian doet – maar dan zonder het faken en oplichten? Waarom dringen wij ons niet aanhoudend op aan het management, college en raad om context en duiding te geven bij actuele, substantiële dreigingen? Zetten we uiteen waar we al wél maatregelen tegen (kunnen) nemen en waar nog niet – veelal door een gebrek aan middelen. Gebruiken we lastige woorden omdat we er daar nu eenmaal toch genoeg van hebben – in de hoop daarmee gezag uit te stralen. En met gezag verdienen we gaandeweg ook het vertrouwen. En met vertrouwen komen na verloop van tijd ook middelen? Let wel, het moet binnen vier jaar lukken hè..

Paniekvoetbal

Zelf ben ik geen voetbalfan en al helemaal geen paniekvoetbalfan. En toch heb ik gezien dat de grootste/belangrijkste beslissingen genomen worden in een split second op basis van (te) weinig informatie. Beslissingen die de informatiebeveiligingsorganisatie op de koninklijke route vermoedelijk nu nog niet voor elkaar had gekregen. Mijn punt is dus: wees altijd voorbereid op een potje paniekvoetbal! Zorg dat je vliegensvlug de actualiteit kan verbinden aan je eigen doelstellingen/agenda zodat je overtuigend en direct het punt kan maken dat er [ vul maar in ]. En indien de paniekvoetbal uitblijft? Ben je dan bereid zelf een potje te starten? En gebruik te maken van je kennisvoorsprong? De dunne lijn te bewandelen tussen nét niet teveel afkortingen en nét vaag genoeg? Toegeven, het is gedurfd. Maar brutale mensen hebben de halve wereld.


Senior Adviseur Security & Privacy bij qeep IT safe.
r.schoemaker@qeep.nl