Tussen de bureaustoel en het beeldscherm zit ik

“Het grootste gevaar zit tussen de bureaustoel en het scherm”, klinkt het naast mij. Wij rijden terug op een lege Franse snelweg na een weekend hardlopen en ik bespreek met hardloopvriend Evert-Jan wat ik vorige week allemaal geleerd heb tijdens een paneldiscussie over cybersecurity.

Waar ik meestal zelf gevraagd word om bij te dragen aan zo’n discussie, moest ik in een voor mij geheel nieuwe rol van dagvoorzitter de experts bevragen. Knap ingewikkeld, als je het aan mij vraagt. Hoe vul je die rol nuttig in zonder dat je vervalt in een Leontien-achtig optreden (de bordjes omdraaien bij het Rad van Fortuin)?

Ik moest in totaal vier discussies leiden en heb met elke groep van tevoren een uitvoerig gesprek gehad om de vragen en mogelijke antwoorden door te nemen. Vervolgens heb ik de boel uitgewerkt en aan de sprekers gestuurd. “Het lijkt wel een filmscript met dialogen”, mailde iemand mij terug. Enige aandacht voor detail is mij niet vreemd in mijn werk dus dat kan wel kloppen.

Een van de sessies zou gaan over cybersecurity, een onderwerp waar ik geen kaas van heb gegeten en altijd keurig omheen gelezen heb. Het mooie van alle energiecongressen is dat ze bijna altijd opgebouwd zijn uit deelsessies en dat je hiermee vakkundig je dag kan organiseren om de onderwerpen heen die je toch niet boeien. Zo belanden wij toch vaak allemaal bij de sessies waar wij zelf alles van weten om ons heerlijk te kunnen ergeren aan de oppervlakkigheid van de discussie of aan de twijfelachtige deskundigheid van wie op het podium staat.

Cybersecurity is voor mij iets voor school dropouts met oversized zwarte hoodies die op een zolderkamer bitcoins verdienen aan ransomware-acties op de lokale gemeente. Niet iets voor mij. Sterker nog: ik ben allergisch voor wachtwoorden. Niets mis met Welkom2025! of mijn geboortedatum en de naam van mijn eerste kat als bescherming van mijn data. Ik krijg weleens meldingen van mijn telefoon dat er tig trackers zijn verhinderd een profiel van mij op te bouwen. Ik heb me vaak afgevraagd wie er nou interesse heeft om te weten dat ik een recept voor een glutenvrije frambozentaart heb opgezocht, maat 40+1/3 heb voor mijn trailschoenen of dat ik al mijn ‘de en het’-dilemmas toevertrouw aan welklidwoord.nl?

Blissfully unaware begon ik dus aan mijn call met de cyberexperts. Er ging een wereld voor mij open: bijvoorbeeld over de aanvallen die rond 2022 afwisselend op Enercon, Nordex en Vestas hebben plaatsgevonden. Als ik de Klimaat- en Energieverkenning van het PBL moet geloven, bouwen wij aan een elektriciteitssysteem dat in 2030 voor circa 80% uit wind en zon bestaat. Dan zijn de gevolgen van een tijdelijk verlies van de controle over de productie van bijvoorbeeld je parken op zee van ongekende proporties.

Ook wist ik niet dat negen van de tien omvormers die wij in Nederland gebruiken uit China komen, en de tiende uit Israël. In het licht van de recente geopolitieke ontwikkelingen voelt dit toch niet helemaal vertrouwd. En klinkt onze status als wereldkampioen geïnstalleerde zonnecapaciteit per capita als extra kwetsbaarheid.

Het energiesysteem is een gevaarlijke mix van conventionele assets met een IT-legacy van heb je mij daar, gedecentraliseerde opwek waarvan een deel geïnstalleerd bij cyberzero’s zoals ik en veel kritische infrastructuur op zee en op land. Op mijn vraag of de energiesector nu meer gevoelig was voor cyberdreigingen was het antwoord van de beide heren dat dit niet per se het geval was. Maar energie zit wel aan de voorkant van veel andere zaken waar onze maatschappij op draait.

Wij bespraken ook de oplossingen: wetgeving, zoals de recente Europese cyberrichtlijn, is nodig, maar ook hopeloos traag, wat het lastig maakt de recente ontwikkelingen bij te benen. Waar wij het vooral in moeten zoeken is bewustwording, vertelden ze mij. Dat bedrijven hun waardeketen grondig in beeld brengen, eisen stellen aan hun leveranciers en ook het nakomen van deze eisen auditen.

Na de call ging ik nog wat meer over het onderwerp lezen. Het jaarverslag 2024 van de AIVD beschrijft een wereld die heel ver afstaat van mijn tot dusverre nogal geromantiseerde beeld van de werkelijkheid. Zoals ik dus zojuist in de auto vertelde, heb ik veel van dit gesprek opgestoken. Dat ik me toch vaker naar subzalen moet slepen waar het gaat over iets waar ik geen verstand van heb. En dat ik toch de tweestapsverificatie, eenmalige codes en ‘sterk wachtwoord’-opties moet omarmen in mijn digitale leven. Want zoals mijn vriend het zei: “Het gevaar zit echt tussen de bureaustoel en het beeldscherm”.