InterviewInge Bryan

‘Waarom hackt de politie ransomwarebendes niet helemaal de tering?’

Inge Bryan: ‘Mijn hele leven al. Zoals iedere vrouw – en sommige mannen trouwens ook – ben ik gedrild in sociaal wenselijk gedrag. Daar ben ik klaar mee.’ Beeld Foto Jiri Büller, bewerking JeRoen Murré
Inge Bryan: ‘Mijn hele leven al. Zoals iedere vrouw – en sommige mannen trouwens ook – ben ik gedrild in sociaal wenselijk gedrag. Daar ben ik klaar mee.’Beeld Foto Jiri Büller, bewerking JeRoen Murré

Inge Bryan heeft als hoofd van beveiligingsbedrijf Fox-IT één doel: de samenleving beschermen tegen digitaal gevaar. Naar de buitenwereld toe heeft ze daarom geduld en vriendelijkheid op een lager pitje gezet – uit publiek belang.

Huib Modderkolk

Na een turbulent eerste jaar aan het hoofd van beveiligingsbedrijf Fox-IT nam Inge Bryan een besluit. ‘Ik ga minder vriendelijk zijn.’ De vrouw die bij Fox-IT waakt over Nederlandse staatsgeheimen, samenwerkt met politie en inlichtingendiensten, en de Navo als klant heeft, wil de samenleving beveiligen tegen de ‘enorme dreiging die op ons afkomt’ en daar past geen geduld of vriendelijkheid meer bij. Iedereen die dat in de weg zit, zal het horen. ‘Ik ben veel te lief geweest.’

Waarin bent u te lief geweest?

‘Ik ga niet naar mijn werk om vrienden te maken, maar om mijn werk te doen. Om Nederland veiliger te maken. O man, hoe lang het heeft geduurd om het delen van een beetje dreigingsinformatie in Nederland mogelijk te maken. Daar wil ik nog minder geduldig in zijn. Ik heb voor alles en iedereen respect maar ga er niet meer een lief verhaaltje van maken.’

Moest u zich aanpassen?

‘Mijn hele leven al. Zoals iedere vrouw – en sommige mannen trouwens ook – ben ik gedrild in sociaal wenselijk gedrag. Daar ben ik klaar mee. Toen ik eind jaren negentig promotie kreeg bij de AIVD, stond ik na afloop met drie mannen in een ruimte. Een van hen zei: ‘En, heb je de jurk bewaard?’ In die periode speelde de affaire-Lewinsky. Ik was flabbergasted, reageerde met een flauwe lach. Ik had niet de assertiviteit z’n neus te breken.

‘Er zijn heel wat mensen die een hekel aan mij hebben bij de dienst omdat ze vinden dat ik hun carrière heb gedwarsboomd. Als je niet competent bent en je werkt met mij, dan wordt dat zichtbaar. Als ik ergens binnenkom, ga ik voor de slagader. Ik wil daar niet meer omheen kletsen.’

Ja, ze kan een drammer zijn, zegt ze met een glimlach aan het Spaarne in Haarlem. ‘Dat is niet leuk voor anderen – en trouwens ook niet altijd voor mezelf.’ Maar ze kan niet anders, vindt ze. Want het gaat haar om de veiligheid van Nederland en met de aanzwellende golf van digitale aanvallen is de urgentie groot.

Een leven lang zet Inge Bryan (52) zich al in voor die veiligheid. Eerst bij inlichtingendienst AIVD, waar ze zich twintig jaar geleden hard maakte voor meer digitale expertise. Op haar voorspraak haalde de dienst hackers van buiten naar binnen. Later als plaatsvervangend hoofd van de Dienst Landelijke Recherche, waar ze de invoering van de hackwet voorbereidde, die het mogelijk maakt om computers en telefoons te hacken. Daarna als directeur cybersecurity bij accountantskantoor Deloitte en sinds een jaar als eindverantwoordelijke bij Fox-IT. Ze is tevens voorzitter van het samenwerkingsverband Anti-Abuse Netwerk (AAN) en adviseert de politie over de hervorming van de Landelijke Eenheid.

Bij Fox-IT haalde ze direct de banden aan met de politie en AIVD. Ze wil meer dreigingsinformatie delen – ‘in het publieke belang’. Bryan ziet dat de overheid en concurrerende bedrijven de kaarten tegen de borst houden, maar heeft daar weinig begrip voor.

Hoofdschuddend kijkt ze naar de competentiestrijd tussen haar oude werkgever, de AIVD, en het Nationaal Cyber Security Centrum (NCSC), dat verantwoordelijk is voor de digitale bescherming van overheid en bedrijfsleven. ‘De AIVD wil niet gecoördineerd worden, terwijl dat de opzet van het NCSC is. Allemaal egootjes.’ Of naar het pas aangetreden kabinet met daarin de eerste bewindspersoon voor Digitalisering. ‘Als je nu als politiek iets gaat doen met digitalisering, ben je vijftien jaar te laat. Er is allang gedigitaliseerd.’

Onlangs bleek dat anderen haar uitgesproken mening niet altijd kunnen waarderen. Bryan maakte zich kwaad over het trage delen van dreigingsinformatie met het bedrijfsleven. ‘Het NCSC onderschat volledig de urgentie en het tempo’, zei ze onder meer. Nu: ‘Dat vonden ze onaardig bij Justitie en Veiligheid.’ Nou, dan moet je niet bij haar zijn. ‘Dan had je goddomme je werk beter moeten doen. We werken ons het snot voor de ogen. Proberen allemaal dezelfde kant op te gaan. En dan zit iemand beledigd te zijn, omdat ik zeg dat je het niet goed doet. Je doet het ook niet goed en dat gaat ten koste van de veiligheid van ons allemaal. Een schop onder je kont!’

‘De AIVD is er ook om in te grijpen. Waarom zie ik dat niet?’ Beeld Jiri Büller
‘De AIVD is er ook om in te grijpen. Waarom zie ik dat niet?’Beeld Jiri Büller

Je zou denken: al die drukte over de overheid, uw verantwoordelijkheid ligt bij Fox-IT.

‘Nee, mijn eerste verantwoordelijkheid is het dienen van de samenleving.’

Ziet de Britse eigenaar van Fox, NCC Group, dat ook zo?

‘Daarom ben ik aangenomen. NCC wilde een Nederlander die het vertrouwen heeft van de overheid. Voor hen is dat een commerciële afweging, voor mij een principe. Ik vind veiligheid belangrijk en daarna komt er een hele tijd niets. Fox is een pilaar van onze nationale veiligheid.’

Toen Bryan een jaar geleden bij het bedrijf kwam, schrok ze. Het roemruchte beveiligingsbedrijf dat wordt ingeschakeld bij spionage door staten, stond er een stuk slechter voor dan ze had verwacht. ‘De mensen liepen op hun tandvlees. Er was geen koers uitgezet. Ik was blij dat ik aan de slag kon, maar vond het ook eng. Wie had hier de tent geleid?’

Wat trof u aan?

‘Er was te weinig energie gestoken in het naleven van wet- en regelgeving. Voor crypto, het beschermen van staatsgeheime informatie, betekent dat: afschermen, regeltjes, procedures, dikke deuren.’

Er was toch een aparte, goed beveiligde ruimte?

‘Ja, maar als je toetsbaar wilt zijn, moet je ook de werkprocedures beschrijven. Dat is heel saai en kost productiecapaciteit. We hebben dat moeten rechttrekken.’

Er moesten mensen weg.

‘Ik heb een team geërfd waaraan ik in eerste instantie niet wilde morrelen. En er was een fors deel externe contractanten. Daar heb ik het mes in gezet. Velen hebben een vast contract aangeboden gekregen. Ik vind het niet verstandig om voor cruciale bedrijfsprocessen afhankelijk te zijn van externe inhuur. Daarnaast zijn er mensen weggegaan die niet meer pasten in het grote professionele bedrijf dat we zijn geworden.’

De foto’s van oud-oprichter Ronald Prins gingen direct van de muur.

Lacht. ‘Klopt. Alle foto’s en posters gingen van de muur. Het was zo ongeveer een studentensociëteit. Even opstrakken.’

Is dat een afrekening met het verleden?

‘In zekere zin wel. Alles hing aan personen en dat werkt niet in een grote organisatie. Iedereen is vervangbaar, ik ook. Ik wil ook geen foto van mijzelf aan de muur.’ Bryan schrapte bestuursvergaderingen en het aantal beslissingen dat ze moest nemen. ‘De wijze waarop beslissingen werden genomen, was buitengewoon onprofessioneel. Alle lijntjes liepen naar boven. Ik geloof in de distributie van macht en invloed. In dit bedrijf zit zo veel talent, ik wil dat talent meer ruimte geven.’

Kun u zich voorstellen dat de kritiek door sommigen als een schop na wordt gezien?

‘Ja, en terecht. Hadden ze hun werk beter moeten doen. Er was geen volwaardige hr-functie. Drie hr-medewerkers in een bedrijf van inmiddels 520 man. Er werd niet geïnvesteerd in kwaliteit en basisprocessen. Ik hoor vaak dat Fox nu commercieel moet gaan werken. Donder op, we worden nu een nette firma die een consistente kwaliteit aflevert.’

Een ‘hobbyproject’ was Fox, maar wel met een ‘heel goede vibe’ en goede mensen. Als Bryan erover praat, glimt ze. Want in hackonderzoeken, monitoring van bedrijfsnetwerken en inlichtingen verzamelen (‘threat intelligence’) behoort het bedrijf nog steeds tot de beste ter wereld, zegt ze. En daarmee is Fox-IT een doelwit – ook voor Britse diensten.

Welke informatie delen jullie niet met de Britse eigenaar?

‘We kijken naar het Duitse, Deense en Nederlandse belang. We zitten in die drie landen. Alles wat een strategisch voordeel kan geven buiten die landen, delen we niet met anderen, ook niet met Britten.’

Is Fox-IT daarmee een geopolitieke speler?

‘Ja, en daardoor lopen we risico.’

Welk risico?

‘In de tweede week dat ik begon, werden diverse mensen bestookt door de Noord-Koreaanse hackersgroep Lazarus. Via mail, via LinkedIn, vrij agressief.’

Wat wilden ze?

‘Contact, ze zochten inlichtingen bij ons. Ze richtten zich op de offensieve veiligheidsmensen. Het contact is afgekapt. We zijn een doelwit. Toen de Log4J-kwetsbaarheid afgelopen najaar bekend werd, waren er direct zeventig pogingen om bij Fox-IT binnen te dringen.’

Hoe zorg je dat de Britse geheime dienst buiten de deur blijft?

‘Door heel scherp te zijn op wat we delen en de eigen ict autonoom te houden.’

Britse hackers zijn de beste ter wereld.

‘Ik schat ons sterk genoeg in om controle te houden over onze eigen ict.’

AIVD-hoofd Erik Akerboom zegt: ‘Inge is een van de AIVD’ers die heel zichtbaar zijn in de ‘cyber community’. Zij heeft ook in haar huidige functie een hart voor de publieke zaak, en dat is hard nodig voor een digitaal veiliger Nederland.’

‘O, vindt-ie dat? Leuk.’ Dan: ‘Ik heb hem al een tijdje niet gesproken, hoewel het contact altijd goed is geweest.’

Kan de AIVD de strijd met de Russen en Chinezen aan?

‘Jazeker. Als het over digitale veiligheid gaat, heeft de AIVD uitstekende troeven.’

De pas afgetreden minister van Defensie Henk Kamp bestrijdt dat. Volgens hem kunnen de AIVD en MIVD zich niet goed verdedigen tegen aanvallen uit Rusland en China.

‘We kunnen heel veel. Dat is ook wel gebleken de laatste jaren.’

Kamp zei in NRC: ‘De handen zijn ons op de rug gebonden.’ Een tijdelijke aanpassing van de inlichtingenwet moet de diensten meer slagkracht geven.

‘Ik zie de noodzaak niet. Wat wel nodig is: ontschotting van de overheid en betere inzet van de beschikbare middelen. Het potentieel wordt niet gebruikt. Als de diensten beter samenwerken met defensie en het NCSC kunnen ze heel veel doen.

‘En vergeet de private sector niet, die wordt volledig onbenut gelaten, bijvoorbeeld bij het delen van dreigingsinformatie. Dat doen wij in het publieke belang en daarmee nemen we een commercieel risico. De overheid stimuleert het niet en ik hoor er niets van terug.’

Welk potentieel benut de AIVD niet?

‘Het is een fenomenaal apparaat dat enkel wordt ingezet voor het belang van de staat. Nogal arbitrair. Voor mij geldt het publieke belang, en dat is niet altijd hetzelfde als het staatsbelang.’

Waarin is dat terug te zien?

‘Ik verwacht dat als je zo’n legermacht hebt zitten als de AIVD, dat je een grotere betekenis hebt in de strijd tegen gijzelsoftware. De AIVD heeft dat samen met de MIVD en NCTV neergezet als bedreiging voor de nationale veiligheid. Nou, wat doe je dan? De AIVD is er ook om in te grijpen. Waarom zie ik dat niet?’

Ze hebben naar verluidt vorig jaar nog een Russische aanvalsserver kapotgemaakt.

‘Ja, als er een bank of ministerie wordt gehackt door een statelijke groep wordt er gehandeld. Anders niet hoor. Veiligheid zou een publieke taak moeten zijn, net zoals volksgezondheid. In Nederland worden preventief jodiumtabletten uitgedeeld vanwege de zeer kleine kans op een nucleaire ramp. In de voorbereiding op een digitale ramp gebeurt niets.’

Korpschef van de politie Henk van Essen zegt: ‘Inge kent de politie goed en zag in ons korps al vroeg de waarde in van het digitaal opsporen en cybercrimebestrijding. Ik zie haar als een belangrijke medestrijder als het gaat om cyberveiligheid in Nederland.’

‘Ah, fijn. Henk is ook een medestrijder. De eerste keer dat ik hem sprak over cyber, zei hij: ‘Inge, ik weet er geen donder van.’ Maar het tweede gesprek was hij helemaal bij. Indrukwekkend.’

Bryan verliet de politie in 2016. Ze was toen onder meer verantwoordelijk voor het Team High Tech Crime, de gespecialiseerde digitale eenheid. Ze noemt de politie een ‘fantastische’ organisatie met een ‘enorme uitvoeringsmacht’, die binnen een kwartier op de stoep staat of de minister aan de lijn heeft, maar het liep haar ‘over de schoenen’. Ze kon de politie niet langer mobiliseren tegen de digitale dreiging. ‘Toen ik wegging, ging 3,5 procent van de opsporingscapaciteit naar digitaal, dat is niet veel. Ik moest naar een andere versnelling.’

Waar laat de politie het liggen?

‘De onderbenutting van opsporingsmiddelen is mij een doorn in het oog. De politie heeft de bevoegdheid om de infrastructuur van ransomwarebendes helemaal kapot te hacken. Waarom gebruiken ze die niet? Waarom gaan er niet honderd hackers van de inlichtingendiensten naar de politie en hack je ze helemaal de tering. Kom op, jongens.’

Omdat je ook wilt weten wie het zijn en ze eventueel wilt oppakken?

‘De politie moet misdrijven voorkomen. Preventie. En dat gaat bij het THTC vóór het identificeren van de criminelen. Er ligt een fantastische hackwet. Als die nu vijftig keer per jaar wordt ingezet, is het veel. Dat is toch zonde? Ze zouden het minstens vijftig keer per week moeten doen.’

Hans de Vries van het NCSC zegt: ‘Inge is bevlogen met een sterke focus op samenwerking. Ik ben blij met haar te kunnen samenwerken. Ze heeft goede contacten en weet daardoor verschillende visies te verbinden. Dat maakt haar heel effectief. Daarnaast is ze ook tof, prettig in de omgang.’

‘Ik spar graag met Hans. Hij heeft zo’n moeilijk rol, met zo’n smal mandaat.’ Het NCSC is als nationale organisatie verantwoordelijk voor de digitale bescherming van overheid en bedrijfsleven, maar beperkt zich tot advies aan vitale partijen. Bryan ‘zou dat mandaat nooit geaccepteerd hebben’, maar ziet ook dat het langzaam beter gaat, omdat het NCSC assertiever wordt.

Wat is de positie van het NCSC in het beveiligen van de samenleving?

‘Het NCSC heeft diepere wortels in de samenleving dan de inlichtingendiensten. Dat moet je koesteren. Maar ze moeten los van de terrorismecoördinator (NCTV), waar ze nu onder vallen. Dat is een weeffout. De NCTV gaat over veiligheidsregio’s en terrorisme. Terrorisme is een top-downactiviteit, cyber is het omgekeerde. Dus die dynamiek is totaal verschillend. Het is onbegrijpelijk dat ze dat hebben gecombineerd. Heeft terrorismecoördinator Aalbersberg ooit iets gedaan op cybergebied?’

Dat betekent dat het NCSC ergens anders hoort?

‘Ja, cybersecurity kan bij defensie of Economische Zaken. Maar het probleem zit bij de NCTV, die op het gebied van cyber en terrorisme zit te stoorzenderen. En nu we het erover hebben: de NCTV meet zich terrorismebevoegdheden aan die volstrekt illegaal zijn. Dat hoort daar niet. Terwijl er een politie-eenheid is die wel de bevoegdheden heeft, maar niet de mensen. Dus dat is de wereld op z’n kop, die weeffout moet als de sodemieter hersteld.’

Moet de NCTV ophouden te bestaan?

‘De NCTV zou zich moeten richten op de aansturing van veiligheidsregio’s, het bewaken en beveiligen van personen en de burgerluchtvaart. Ze moeten uit operaties blijven.’

De Vries benoemt ook dat u prettig in de omgang bent.

‘Vindt hij dat echt? Nou, dat valt me mee. Ik veronderstel dat Hans het belangrijk vindt dat je weet wat je aan mensen hebt. Dat als er iets bot uitkomt, je weet dat het uit een goed hart komt.’

Tussen de politie en Fox-IT werkte u vier jaar bij Deloitte. Kon u daar van dezelfde betekenis zijn voor publieke veiligheid?

‘Nee, niet genoeg. Daarom wilde ik weg. Het is goed dat ik er ben geweest, maar het is niet mijn bloedgroep. Ik heb er enorm moeten laveren.’

Waartussen moest u laveren?

‘Tussen mijn botte zelf zijn en het sociaal wenselijke dat nodig is om in zo’n organisatie te kunnen overleven.’ Zag Bryan bestuursleden in de lift die hun personeelsbadge niet droegen, dan sprak ze die aan. ‘Ik zie dat je je badge niet draagt, wil je die zichtbaar dragen?’ Bryan: ‘Ik zit er voor de veiligheid, dan moeten we die zelf ook serieus nemen.’ Die assertiviteit werd niet altijd gewaardeerd. ‘Er werken getalenteerde mensen, maar ze zitten daar voor de centen en niet voor de publieke zaak. Daarover is geen twijfel mogelijk. Ik dacht dat het een goede combinatie kon zijn – dat was ook enige tijd zo – maar op een gegeven moment was het op.’

Wat leerde u bij Deloitte?

‘Dat ik een duidelijke voorkeur heb voor mensen die inhoudelijk zijn, met hart voor de publieke zaak.’

Petra Oldengarm, directeur van Cyberveilig Nederland zegt: ‘AAN is een belangrijk initiatief van private en publieke partijen in het tegengaan van internetmisbruik. Inge is als medeoprichter en voorzitter de spin in het web. Ze is een belangrijk vrouwelijk rolmodel en hopelijk zorgt dat ervoor dat meer vrouwen kiezen voor cybersecurity. We kunnen wel wat meer diversiteit gebruiken.’

Zucht. ‘Weet je wat het is? Als er veel mensen naar je toekomen en zeggen dat je een meisje bent, ga je je ook zo voelen. Ja, je moet denk ik als vrouw twee zo goed presteren om gezien te worden als waardevolle collega. Maar ik vind een andere vorm van diversiteit belangrijker, wat ik dan maar even neurodiversiteit noem.’

Ze vertelt dat vorig jaar een van haar kinderen werd gediagnosticeerd met ADHD. ‘Toen ik mezelf ging testen, scoorde ik 120 procent.’ Dat inzicht werkte bevrijdend. ‘Ik snap nu beter waarom ik dingen anders doe en waarom ik me thuis voel in deze sector. In de cybersecurity zijn psychische stoornissen rijkelijk aanwezig. ADHD, mensen met autisme, dat vind ik heerlijk. Die mate van diversiteit vind ik belangrijker dan man-vrouwdiversiteit.’

Het is toch een feit dat u een van de weinige vrouwen bent op zo’n belangrijke positie?

‘Ja, en meer diversiteit komt de kwaliteit van oplossingen ten goede. Maar ik zou meer oog willen hebben voor andere vormen dan enkel man-vrouw. Ook bij de overheid. Leeftijd en dus de neurokant. Veel mensen die in de ict zitten, hebben een stoornis, ik ook. Dat is heel waardevol voor een complete blik.

‘De directie van NCC bestaat op mij na voornamelijk uit mannelijke Britten. Er was laatst een akkefietje en toen zei ik in een online meeting: ‘I feel screwed.’ Dat is niet hun manier van communiceren, maar we zijn er goed uitgekomen. Mijn ceo is echt een held. Tegenwoordig kondig ik in de directie aan: let op, ik ga nu iets zeggen wat jullie misschien raar vinden, maar ik zeg het toch. Dan is het fijn als je zo binair bent als ik.’

Wat merkt u van de ADHD?

‘Alles komt binnen. Ongefilterd.’ Lacht. ‘Maar het gaat ook ongefilterd weer naar buiten.’