Transcript

Incident Response Team en Ransomware Betalingen

Randal Peelen:
[0:43] In deze aflevering van Met Nerds Om Tafel hoor je hoe een incident response team te werk gaat bij een hack, waarom betalen bij een ransomware aanval best te begrijpen is, en waarom je moet oppassen voor beunhazen die zeggen dat ze cybersecurity expert zijn.
Welkom bij met nerds om tafel. We praten vandaag met Jirianne Bax.
En mijn naam is Randall Pelen. Onze gast nerds van vandaag zijn Lucinda Sterk, zelfstandige communicatie consultant voor het Digital Trust Center en CERF, hoofdcommunicatie voor het DIVD en host van de podcast Olde Cyberladies. Yes, Olde Cyberladies.

Lucinda Sterk:
[1:31] Olde Cyberladies.

Randal Peelen:
[1:33] Oh, ik kan dat maar niet uit mijn hoofd krijgen. En ze komt niet alleen, want Lucinda heeft ook Lisa de Wilde meegenomen.
Lisa is freelance hacker en heeft jarenlang bedrijven bijgestaan tijdens beveiligingscrisissen en helpt nu vooral bedrijven om heks te voorkomen en zich daarop voor te bereiden.

Lisa de Wilde:
[1:48] Zo ja.

Randal Peelen:
[1:48] Ik weet dat je een beetje boos op mij bent geworden, want jij vindt dat woord hacker niet zo op zijn plaats.

Lisa de Wilde:
[1:53] Ja.

Randal Peelen:
[1:54] Of kunnen we nog steeds door één deur?

Lisa de Wilde:
[1:56] Nou, moet maar voor vanavond, maar ik vind niet dat ik hacker ben.

Randal Peelen:
[2:01] Kunnen we het nog uitgebreid over hebben? Ik wil namelijk duiken op de cybersecurity wereld.
En ook hoe het gaat met ZZP'ers, of eigenlijk misschien wel veel te veel ZZP'ers in die wereld.

Jurian Ubachs:
[2:10] Spoiler alert, het gaat goed met de kutste tekening.

Randal Peelen:
[2:11] Maar ik denk dat we even moeten beginnen bij jouw podcast Older Cyber Ladies.

Lucinda Sterk:
[2:15] Dat lijkt me heel leuk.

Randal Peelen:
[2:16] Lucinda, we kennen jou namens, of dankzij Marike Smits.

Lucinda Sterk:
[2:21] Zeker, de Marike. De enige echt.

Randal Peelen:
[2:24] Een hele aanwezige verschijning, een heel erg welkome verschijning.
Inmiddels ook groepje vrienden mee. Ze heeft hier meer dan eens mensen aan tafel weten krijgen.
En kun je iets vertellen over jouw podcast Older Cyber Ladies?
Want ze zei, Lucinda die moet beslist een keer bij jullie aan tafel.

Lucinda Sterk:
[2:39] Ja, Marieke is legend, dat vooropgesteld. Super, super tof mens.

Randal Peelen:
[2:44] En nog zo jong.

Lucinda Sterk:
[2:45] Waar ik graag mee samenwerken. Ja, nog zo jong en nog zo veelbelovend wat er allemaal nog gaat gebeuren. Dus ik blijf haar volgen.
All The Cyber Ladies is eigenlijk een initiatief wat begin dit jaar is ontstaan.
Na een gesprek wat ik had met Sanne Maashakkers, jullie ook wel bekend.

Randal Peelen:
[2:59] Heeft die er ook gezeten?

Lucinda Sterk:
[3:00] Ja, zeker. En waar niet? En Sanne is ook een legend, by the way.
En die zei, ja, ik kom vaak vrouwen tegen in het wereldje. Jonge vrouwen, oude vrouwen, herintreders.
noem maar op, en die zeggen ja, de cybersecurity lijkt me een superleuk werkveld, daar zou ik graag iets in willen doen.
Maar hoe pak ik dat aan? En toen zei ik, nou misschien is het leuk als we daar een keer een podcast over maken, met eigenlijk alleen maar vrouwen in cybersecurity, om ook te laten zien, ah, dat er wel degelijk heel veel vrouwen zijn in cybersecurity.
Dus dat er rolmodellen zijn, en waarin die vrouwen ook tips geven, van nou, hoe pak je dat nou aan?
En daaruit bleek dan dat, ja, merendeel van die vrouwen ook helemaal geen technische achtergrond heeft, of technische studie heeft gedaan en toch in die wereld is gekomen.
Dus nou ja, puntje bepaald. Ik dacht daar wil ik wat mee. Ik kan wel leuk schrijven.
Ik heb in het ver verleden op de school van journalistiek radio gemaakt en ik luisterde altijd naar Ronald Prinsen podcast Cyberhelden.
Dacht ik nou, dat lijkt me leuk. Dat kan ik ook.
Dus ik heb Ronald gebeld. Ik zeg Ronald, ik weet dat jij gaat zeilen een jaar of langer rond de wereld. Wat doe jij met die podcast set?
En toen zei hij nou ja, wil je hem overkopen dan? Ik zei ja, we willen hem wel overkopen van je.

Randal Peelen:
[4:07] Oh, dat is de enige echte.

Lucinda Sterk:
[4:10] Er zit ook nog steeds dat tunetje van Cyberhelden in het bankpaneeltje.
Ja, dat is af en toe tijdens een podcastopname. Dan gooi ik dat erin en moet je horen.

Randal Peelen:
[4:17] Dat is heerlijk.

Lucinda Sterk:
[4:18] Dan moet je wel hard lachen. Dus ik ben naar Hinton Hackett gereden.
En er zitten ook nog allemaal oude bekenden van mij van toen ik bij Fox werkte.
En dus daar koffie gedronken. En uiteindelijk die podcast set achterin de auto gezet. En toen zei Ronald, hoe ga je daar eigenlijk voor betalen?
Ja, hij zegt je bent toch ZZP'er? Ik zeg ja klopt, ik heb eigenlijk niet zo heel veel geld. Maar ja, ik wilde wel de investering doen. Hij zei ach, hou maar gewoon.
Zo kwam ik aan mijn podcast.

Randal Peelen:
[4:43] Soms hebben mensen gewoon een Ronald Prins in hun leven nodig. Zeker, absoluut.

Lucinda Sterk:
[4:47] Ja, dus daar ben ik heel erg dankbaar voor. Zo is het ontstaan, gewoon aan de keukentafel met de podcast set en de scriptjes schrijven.
Ik heb een broer die werkte in de lichtere geluidstechniek. Die ging mij dan een middagje uitleggen Hoe werkt die techniek? Hoe werkt dat menkpaneel?
En ja, en dus zo ben ik begonnen. En nu zitten we op de twintig afleveringen en heb ik vanaf januari een sponsor en gaan we gewoon lekker door.

Randal Peelen:
[5:12] Heerlijk.

Lucinda Sterk:
[5:13] Ja.

Randal Peelen:
[5:14] En je zegt, ik ben op zoek naar rolmodellen en toch, ik merk dat de afleveringen wel lekker kort zijn, dus je hebt daar wel over nagedacht.

Lucinda Sterk:
[5:21] Ja, ik heb zelf de attentiespannen van een vlieg. Dus ik heb echt, langer dan een half uur is gewoon al echt max.
Dus zo'n gesprek moet je ook in, als je van A naar B rijdt ergens naartoe, in de auto moet je dat kunnen luisteren of in de trein of wat dan ook.
En als het langer duurt, dan ben ik zelf mijn aandacht kwijt.
En dat merk je ook in de opnames.

Jurian Ubachs:
[5:40] Gaat zo meteen ook na een half uurtje weg.

Randal Peelen:
[5:41] Ja, dat lijkt me een heel chill moment. Ja, dan zijn we de aandachtspanning.

Lucinda Sterk:
[5:45] Zeker, ja, dan zit hier gastvrij. Dus ik heb Lisa in de podcast gehad en met jou was het ook gewoon na een half uur was het klaar, hè? We hebben wel uitgeleild eigenlijk, ja.

Discussie over labels: hacker vs vrouw in cybersecurity

Randal Peelen:
[5:53] Zonde eigenlijk. Lisa, jij bent door mij aangekondigd als hacker en in Lucinda's podcast ben je aangekondigd als vrouw in de cybersecurity.
Tegen beide labels verzet jij je.
Kunnen we een glimp opvangen van hoe zo'n gesprek eraan toeging?
Want jij had eigenlijk volgens mij zoiets van, laten we daar nou even helemaal niet zoveel nadruk op leggen.

Lisa de Wilde:
[6:16] Ja, ik weet nog, ik zat in de auto op de parkeerplaats voor de supermarkt, want ik wilde eigenlijk boodschappen doen. en ik had Lucinda aan de telefoon.
Heel veel ideeën, allemaal heel veel leuke ideeën. En toen ging het over de podcast op een gegeven moment en toen dacht ik...
Ja, ik vind dit eigenlijk nou niet per se heel, heel leuk. Kunnen we het niet gewoon over de inhoud hebben? Ik vind het stom dat het hierover moet gaan.
Je mag me ook gewoon vragen omdat ik inhoudelijk leuk iets kan vertellen in plaats van...

Lucinda Sterk:
[6:43] Waarom nou weer als vrouw?

Lisa de Wilde:
[6:44] Ja, ja, ja, en het komt ook. Ik heb me er eerst best wel tegen verzet.
Ook al werd ik gevraagd, kun je even bij op die foto? Want je bent een, bent een vrouw.
En vlak voordat ik Lucinda aan de telefoon had, had iemand tegen mij gezegd.
Als je er nou een keer niet tegen verzet en kijkt wat er dan Misschien komt er dan wel iets heel tofs op je pad en kan je het proberen.
Dus Lucinda kreeg het voordeel van een twijfel in dat opzicht.

Lucinda Sterk:
[7:10] Ja, dat was een heel leuk gesprek. En ik was ook heel blij dat jij je daartegen verzet. Ik zei ja, maar dat geluid hebben we ook nodig. Anders krijgen we alleen maar zo'n ja knik show.
Ja, inderdaad. Ja, ja, vrouwen hebben het zwaar in het wereldje.
En Lisa dacht, flikker nou een eind op. Je moet er gewoon niet zeik als vrouwen.

Randal Peelen:
[7:26] Let's go. Wat heb jij geleerd van de podcast tot nu toe?

Lucinda Sterk:
[7:30] Nou, dat er heel veel vrouwen zijn in cybersecurity. Als je goed gaat kijken zijn die er gewoon.
En dat iedereen hobbels heeft te nemen in zijn leven en in zijn carrière.
En soms denk je weleens als je iets tegenkomt, oh shit, weet je, ik heb het zo zwaar of heftig, of ben ik de enige bij wie me dit overkomt.
En als ik dan met die vrouwen in gesprek ben, En dan hoor ik dat zij ook allemaal hoordes hebben moeten nemen om te komen waar ze staan.
En dat inspireert mij dan ook weer om verder door te gaan.

Randal Peelen:
[8:05] Hier, en dan ik, ja, dat weet ik. Er is één camera, of eigenlijk meerdere, die geeft de hele tijd zo'n...

Jurian Ubachs:
[8:11] Ja, ik zie af en toe groene flitsjes in beeld. Ik weet niet of dat ook in de opname komt van een...

Randal Peelen:
[8:15] Ja, volgens mij wel. Ik heb dat wel eens gehad.

Jurian Ubachs:
[8:17] Dus ik ga even aan die stekkertjes wiebelen. En als dat helpt, dan ben ik blij.

Lucinda Sterk:
[8:21] En als niet, dan gaan we lekker door. Want dan is de audio toch belangrijker.

Lisa de Wilde:
[8:25] Ik probeer vooral ondertussen mijn biertje los te krijgen.

Lucinda Sterk:
[8:28] Oh, oké.

Lisa de Wilde:
[8:29] Ja, het is goed. Ja, ik had dat net ook.

Lucinda Sterk:
[8:31] Het is gewoon effe door het pijn heen.

Lisa de Wilde:
[8:32] Ja.

Lucinda Sterk:
[8:34] Daarom is het t-shirt van mij.

Lisa de Wilde:
[8:35] Pijn is fijn. Pijn is fijn, ja.

Jurian Ubachs:
[8:40] Ja, het gaat maar gewoon door. Als die dingen gewoon goed zitten, ja.

Randal Peelen:
[8:43] Ja, het zijn gewoon van die USB-kabeltjes. Die kun je vast wel vervangen of poetsen of wat dan ook.
Maar goed, daar heeft natuurlijk niemand de levenslust voor.
Ik ga eventjes een markertje zetten.
Dan weet ik morgen, zie je dat paarse marktetje, dat daar iets aan de hand is voor de edit.
Sorry, je had net het antwoord gegeven op de vraag wat heb je daarvan geleerd.
Ja, een toegevolgvraag.

Jurian Ubachs:
[9:08] Kun je de vraag van Robert wel doen?

Randal Peelen:
[9:09] Oh ja, dat is wel een goeie. Dat is typisch van jou.

Jurian Ubachs:
[9:12] Ah, dat is typisch van mij. Dat vind ik wel.

Randal Peelen:
[9:13] Dat hoeft niet.

Jurian Ubachs:
[9:14] Zelf weten. Misschien een opmerking mag ik weer maken.

Beleven vrouwen onbegrip in de wereld van cybersecurity?

Lisa de Wilde:
[9:16] Let's go!

Jurian Ubachs:
[9:17] Superleuk.
Robert Verfuurt, die vroeg zich trouwens af. Hoe beleven jullie de wereld van cybersecurity als vrouwen?
Komen jullie veel onbegrip tegen mensen die jullie wegwijven omdat jullie vrouwen zijn? vraag teken.

Lucinda Sterk:
[9:30] Oh, een goede vraag.

Jurian Ubachs:
[9:31] Ja, dat zie je afgesloten met een vraag teken.

Lucinda Sterk:
[9:33] Vraag teken, vraag teken, vraag teken. Nee, dat is ook een vraag die ik vaak stel in de podcast. Zo van, hoe ga jij nou om met het vrouw zijn binnen de techniek?
Zijn toch vaak vrouwen die dan met vervelende situaties te maken hebben of wat het denigerend wordt gedaan omdat ze vrouw zijn.
Je hebt lange blonde haren, wat weet jij nou helemaal van incident response of Je hebt het zelf ook meegemaakt op meerdere keren.

Jurian Ubachs:
[10:00] Ik hoorde je dat vertellen en dan hoopt mijn hoofd heel erg dat het iets van het verleden is. Maar het is... Lisa schudt ook meteen nee.

Lisa de Wilde:
[10:06] Nee, ik had het vanmiddag nog. En op zich, weet je, ik snap heel erg de goede intenties, maar dat er wel meteen gezegd werd, oh ja, we kunnen wat vrouwelijke energie gebruiken.

Jurian Ubachs:
[10:16] Wat betekent dat überhaupt?

Lisa de Wilde:
[10:17] Ja, ik heb geen idee. En ergens snap ik het wel, dat je diversiteit in je team wil. Maar volgens mij werd ik gevraagd voor mijn kennis en niet omdat ik toevallig vrouw ben. Ja, ik vind het ingewikkeld.

Randal Peelen:
[10:30] Het is een beetje een kip-met-ei-idee, hè? Want ik heb dat in de podcast ook, als je mensen uitnodigt dat je bedrijven spreekt waar je in eerste instantie voor een spreker komt en dan uiteindelijk zeg je nou, als ik tussen deze twee mensen moet kiezen, dan kies ik de vrouw.
En dan de man in kwestie, die juicht ertoe. Dus ik bedoel, zo beginnen we daar.
Maar je wil inderdaad naar een wereld toe waarin je daar blind voor zou moeten zijn. Ja, maar wat mij dan...
Een beetje bekleifd is, ja daar zijn we nog niet. We moeten nog heel even met de billen op elkaar, tandjes klaarsen en toch gewoon af en toe vrouwen uitnodigen.

Lucinda Sterk:
[11:00] Maar daar hebben vrouwen zelf ook een rol in. Want ja, soms worden vrouwen wel voor events uitgenodigd.
En dan zeggen ze zelf van ja, maar je wil me alleen omdat ik vrouw ben.
Ik zeg ja nee, zo werkt het niet. Je wordt ook gewoon uitgenodigd omdat je expert bent.
Dan moet je er ook echt gaan staan. En dan moet je ook ja zeggen.
Dan moet je dat podium pakken.
Dan moet je laten zien wat je daar kan. En dan laat je voor iedereen zien wat je expertise is en wat je, nou ja, wat je kennis is.
En dan hebben mensen echt wel zoiets van, ja, ze komen niet alleen luisteren omdat je daar staat.

Randal Peelen:
[11:31] En toch, ik zou er ook wars van zijn. Als ik op een feministisch evenement zou worden gevraagd, ik zou niet weten waarom ze mij vragen, maar indien het geval zou zijn, zou ik ook zeggen, omdat ik man ben en ook feminist moet ik hier nu gaan staan, rot op. En toch ja.

Lucinda Sterk:
[11:47] Waarom niet?

Jurian Ubachs:
[11:48] Ik denk dat je, kijk je hoeft natuurlijk niet om zo'n ogen te sluiten dat als je wordt uitgenodigd als vrouw, dat zo'n organisatie daar heus wel naar heeft gekeken van goh we moeten een diverse line-up aan sprekers hebben en het is wel fijn als een X percentage dan vrouw is.
Dus dat, je hoeft helemaal niet te doen alsof dat niet meespeelt.
Maar je wordt niet uitgenodigd omdat je, dan kun je letterlijk nu naar beneden lopen, de eerste vrouw die je ziet op een podium zetten en zeggen ja we hebben er één.
Dus uiteindelijk ligt er gewoon een bepaald track record en een bepaald kennisniveau.
En dat gaat natuurlijk op een bepaalde manier hand in hand op het moment dat je als organisator een diverse line-up wil zetten.
Dus ja, maar tegelijkertijd wat ik zeg, dat is een beetje het punt, je hoeft ook niet je ogen ervoor te sluiten dat dat het zo is dat een organisator je ook om die reden graag zal willen hebben.

Lucinda Sterk:
[12:30] Ja, nou ja, en ik heb ook vaak events georganiseerd, onder andere voor andere bedrijven.
En daarin keek ik ook heel erg naar de man-vrouw verhouding, want ik vind ook dat het leuk is om naar te kijken voor heel veel verschillende doelgroepen.
En dat er alleen maar mannen bij het podium staan, dat is gewoon geen afspiegeling van onze samenleving, dus daar moet je ook gewoon echt heel erg naar kijken.

Lisa de Wilde:
[12:52] Ik denk dat het uiteindelijk vooral ligt aan de manier waarop je het zegt, of de manier waarop je het vraagt, en waar de nadruk op ligt.
En ik denk dat dat voor mij in ieder geval best wel veel verschil maakt, Als je begint met, kun je dit doen want je bent een vrouw?
Of we hebben je daar en daar horen spreken over dit onderwerp.
We vonden het super tof hoe je dat deed.
We merken dat onze sprekerslijst tot nu toe alleen maar mannen zijn.
Zou je het tof vinden om er ook tussen te staan?
Ja, dat vind ik wel een heel andere manier van dat te sprake brengen.

Lucinda Sterk:
[13:22] Ja, we hebben excuusdruus nodig, dus kom erbij.

Vrouwen winnen terrein in de IT, maar er is nog werk te doen.

Randal Peelen:
[13:27] Nou, ik ben in ieder geval blij dat je zo'n podcast maakt, want ja, mijn indruk is ook dat in de IT als breed veld hebben we terrein te winnen voor vrouwen.
Tegelijkertijd, alle lijnen gaan de goede kant op. Dat is wel iets wat ik soms ook even benadruk, want ik had laatst een discussie met iemand die zei, oh, wat staan er weinig vrouwen op, die en die.
Ja, maar luister, dat was nog geen tien jaar geleden veel minder dan de helft.
Laten we ook even zeggen dat het ook wel goed gaat.

Lucinda Sterk:
[13:53] Zeker, het gaat zeker de goede kant op, maar als je het vergelijkt met landen om ons heen, blijven we gewoon nog steeds achterlopen.
Kijk bijvoorbeeld, nou ja, niet landen om ons heen, dat is ietsje verder weg, maar India bijvoorbeeld, Israël, daar is de percentage vrouwen in de IT gewoon vele malen hoger.
En dan vraag ik ook weleens aan de dames in mijn podcast, nou waar ligt dat dan aan? Hoe komt dat nou dat wij gewoon, dat het ons niet lukt om daar in elk geval 50% of 50% te krijgen?
Zelfs Jale heeft toch heel erg te maken met cultuur, met hoe wij hier opvoeden, met hoe wij hier omgaan.
Met technisch onderwijs ook en met meisjes die al heel jong bepaalde interesses tonen en jongens die al bepaalde interesses tonen.
En dan toch van dat ouderwetse denken uit de jaren 50, 60 van nou ja, jongens die moeten maar een hamertje tik krijgen ofzo.
Of iets met de elektrotechniek of nou ja, verzin het.

Genderstereotypen en maatschappelijke invloeden op kinderen

Jurian Ubachs:
[14:45] In hoeverre is zoiets maakbaar als maatschappij? Want ik heb zelf geen kinderen, maar wel een heel aantal vrienden met jonge kinderen.
En daar hoor ik eigenlijk allemaal hetzelfde van. Neem even dochter als uitgangspunt.
Dat de dochter op een gegeven moment toch gewoon bepaalde spulletjes wil hebben.
Omdat dat meisjes spulletjes zijn. Wie heeft waar bepaald dat dat meisjes spulletjes zijn? Ja, gewoon de wereld waarin zij leeft. Zij krijgen het op een gegeven moment mee.
En ik zie dat eigenlijk continu. En dan denk ik van in hoeverre kunnen wij dan dat gaan omdraaien?
Want er zijn dus zoveel informatiestromen die op zo'n jong mens afkomen, die heel erg gender-stereotyp bevestigend zijn.
Het lijkt me heel lastig om dat dan te gaan doorbreken met elkaar, om inderdaad dan uiteindelijk naar zo'n 50-50 toe te kunnen verleggen.

Lucinda Sterk:
[15:28] Ja, ik denk dat we, wat Randall ook zegt, dat we al heel erg goed bezig zijn.
Want een aantal jaren geleden hadden we nog enorme discussies over de blokkerfolder, waarin er alleen maar meisjes met een keukentje werden afgebeeld en jongens met een kettingzaag, nee weet ik veel, bij wijze van spreken.
Wie heeft zijn kettingzaag niet bij de blokker gehaald?

Jurian Ubachs:
[15:50] We hebben ons kantoor jarenlang, het hoofdkantoor, gedeeld met de blokker, dus zeker dit klopt.

Lucinda Sterk:
[15:57] Ik heb er ook nog een in de aanbieding gekocht met 50 procent.
Ik weet niet wat ik er mee moet, maar ik heb hem wel.
Maar daar is dus ook discussie over ontstaan en dat is ook aangepakt.
Dus ik denk dat we als maatschappij langzaam maar zeker wel aan het toewerken zijn naar een meer inclusievere samenleving ook.
waarin dat ook een rol speelt. Maar ik denk ook wel dat we niet alleen moeten focussen op alleen die basisscholieren, want daarin hebben die kinderen ook nog echt geen idee wat ze aan het doen zijn allemaal, maar juist ook op die oudere scholieren, die middelbare.
Waar mijn dochter nu naartoe gaat, hebben ze bijvoorbeeld technasiumonderwijs, en dat is ook echt juist heel erg voor kinderen die niet specifiek dieptechnische kennis willen of hebben nog, maar juist meer het ontwerpen, het onderzoeken, het ontdekken.

Jurian Ubachs:
[16:45] Dat is voor meerbare scholieren, als je dat wat breder uitvult.
Dan ga je bepaalde interesses die je al hebt verder uitdiepen en verder ontdekken.
Maar volgens mij de basis voor wat mensen leuk gaan vinden, of wat kinderen leuk gaan vinden, wordt er niet voor heel belangrijk ook al gelegd op de basisschool?

Lucinda Sterk:
[17:07] Nee, dat denk ik juist niet.

Jurian Ubachs:
[17:08] Ik ben totaal niet pedagogisch onderlegd, ik gok hier maar wat.
Maar het klinkt als laat voor mij.

Lucinda Sterk:
[17:12] Ik heb drie kinderen en waar ze bij de basisschool nu vooral heel erg mee bezig zijn, is echt leren rekenen en taal en spelling, weet je, echt die basisdingen.
En als je kijkt ook naar de vrouw die ik dan heb geïnterviewd, ze zijn pas op veel latere leeftijd vaak geïnteresseerd geraakt in die techniek, in die cyber security.
Ik ben zelf ook pas in 2015 daarmee in aanreiking gekomen en daar echt in geïnteresseerd geraakt.
Dus ik denk dat je niet moet onderschatten wat het kan doen voor mensen die op latere leeftijd nog die interesse hebben.
Dus dat je ook die, nou ja, mensen misschien die een hele andere studie hebben gevolgd, maar die wel zeggen, oh ja, dat lijkt me ook wel heel leuk, ja, beveiligen, het cyberveilig, digitaal veilig houden van Nederland, met die al die verbindingen leggen.
Ja, waarom zou je daar niet in geïnteresseerd zijn? Maar dat kan echt op latere leeftijd komen.
En ik denk op de basisschool, ja, dat is natuurlijk leuk, een beetje hacken, beetje programmeren, beetje, nou ja, dat. Maar echt de kennis en de intrinsieke motivatie komt pas later.

Jurian Ubachs:
[18:12] Ja, de reden dat ik dat vraag is, ik graaf dan diep in mijn eigen geheugen en

Jongens en computers op basisschool, schifting en tweedeling

[18:16] dan denk ik van hoe was het ook weer op de basisschool.
Toen wij op de basisschool zaten waren computers natuurlijk minder gemeengoed dan ze nu zijn, maar ze waren er al wel.
En ja, het waren toch vooral de jongens van de klas die daar eigenlijk een beetje door werden aangetrokken.
Wij hadden als eerste de topografie spelletjes door en ook vooral door hoe je die kon uitzetten en hoe je andere dingen kon doen met die computers.
En hoe je het topografie spelletje compleet van dat ding kon verwijderen was ook hartstikke leuk. Dus dat soort dingen, maar dat waren wel de jongens.
En dan zit ik dan te denken van ja, daar begint die schifting dan.
Of in ieder geval in die tijd, nu zal dat misschien wat minder sterk zijn.
Maar in die tijd zag je toen al die onderverdeling. Dus oké, dus de computer trekt de jongens aan. En natuurlijk deden meisjes ook heus wel eens mee. Maar je ziet die tweedeling.
Dus dan denk ik van ja, als je daar... Moet je dan niet ook op basisschoolniveau al proberen om...
Ja, die natuurlijke tweedeling die daar dan lijkt te gebeuren.
Om dat daar al tegengas te geven.

Lucinda Sterk:
[19:06] Ik denk dat dat wel al gebeurt, dat op de basisschool ook niet, je hebt nog steeds de pophoek zeg maar en de blokkenhoek waar ze gaan spelen.

Jurian Ubachs:
[19:17] Nou is het toch wel een paar jaar later.

Lucinda Sterk:
[19:19] Ja, dus dat is een paar jaar later en er zijn wel echt initiatieven ook, met name het programmeren en het ontdekken van die techniek.
Maar ik denk dat ze daar echt nog veel te jong zijn om daar zo gemotiveerd mee bezig te zijn. En dat je wel een klein zaadje misschien kan planten, maar dat je niet al te veel hoop moet vestigen op die basisschool.
Zo van, als ze daar niet geïnteresseerd zijn, dan wordt het helemaal niks meer.
Maar dat je echt ook op die middelbare scholen, en misschien ook wel op het hbo, en misschien veel meer die verbanden moet gaan leggen tussen verschillende studies.
En ook niet meer de deur sluiten.
op het moment dat ze een andere studie hebben gedaan, toch die motivatie hebben om die cybersecurity in te gaan.
En dat is ook waar die vrouwen bij Sanne kwamen. Zeiden, ja Sanne, ik wil wel iets gaan doen in cybersecurity, maar ik heb geschiedenis gestudeerd, bij wijze van spreken, of Nederlands of economie. Ja, Sanne Maashakkers.
En daarom zijn we ook die podcast gaan maken, om te laten zien dat je ook niet per definitie op de basisschool al je computer uit elkaar hoeft te trekken, om ook echt in die techniek te rollen later. Dat er heel veel kansen zijn.

Randal Peelen:
[20:22] Ik heb die aflevering geluisterd met Hintekker Abdulaziz, die hebben wij ook aan tafel gehad, dat was in ieder geval.

Lucinda Sterk:
[20:28] Ja, ze is niet meer in de kamer.

Randal Peelen:
[20:31] En zij zei dat ze het op een gekke manier in haar voordeel heeft gewerkt, want zij kwam uit een gezin met een migratieachtergrond en was aanvankelijk niet zo goed in Nederlands.
heeft zich toen juist op het wiskunde en rekenen gestort, wat uiteindelijk goed uitpakte voor die technische vaardigheden uiteindelijk.
Ja, ik denk dat daar of op de juiste momenten scheid aan hebben, of op de juiste momenten enthousiasme voor te voelen, of op de juiste momenten toch een beetje door de omstandigheden van de buitenwereld een kant op geduwd te worden.
Zowel in je voordeel als je nadeel kan werken. Dat zijn best wel bepalende momenten, Zeker ook je profielkeuze op de middelbare school. Dat soort dingen maken gewoon impact.
Hé, ik wil graag even met jullie in de cybersecurity duiken, want ik denk dat het tijd is om het genderverhaal even achter ons te laten.
Ik denk dat een mooi startpunt is voor dit verhaal, dat jullie allebei in de incident response hebben gewerkt.
Want daar is toch een beetje de liefde voor het vak, volgens mij misschien niet geboren, maar wel groot geworden. Wie van jullie durft het best uit te leggen wat incident response is en waarom dat nodig is?

Lucinda Sterk:
[21:46] Lisa heeft echt met harde schijven geshouten.

Lisa de Wilde:
[21:49] Ja, surfers geteeld.

Randal Peelen:
[21:52] Geen hacker?

Lucinda Sterk:
[21:53] Nee, geen hacker. Nee, nee, nee.

Verschil tussen een hacker en een ethische hacker

Lisa de Wilde:
[21:56] Nee, kijk een hacker. Misschien is dat wel een mooie om aan te beginnen.
In mijn beleving is een hacker iemand die de boel kapot maakt om het maar zo te zeggen.
Dus de systemen hackt en probeert binnen te komen, al dan niet op een ethische manier om de beveiliging te testen.
En ik zit en zat eigenlijk aan de andere kant in de monitoring, detectie en incident response.
Dus hoe verdedig je jezelf nou tegen?
De hackers. Dus eigenlijk speel je een soort van spelletje met de hackers.
Niet een heel leuk spelletje trouwens, maar de hackers proberen je organisatie aan te vallen.

Randal Peelen:
[22:31] Waarom zit je dan zo te glimlachen?

Lisa de Wilde:
[22:32] Ja, ik word heel enthousiast van dit onderwerp, maar dat bedrijven gehackt worden vind ik niet.

Randal Peelen:
[22:38] Nee.

Lisa de Wilde:
[22:38] Dat vind ik natuurlijk niet een heel...

Lucinda Sterk:
[22:39] Wij vinden het wel een leuk spelletje.

Lisa de Wilde:
[22:41] Ja, incidental response vind ik echt heel gaaf om te doen.
Vooral omdat het heel betekenisvol is, maar uiteindelijk is het natuurlijk gewoon te gek voor woorden dat bedrijven op die manier slachtoffer worden.
Dus de hackers die zijn dat je bezig met het aanvallen van de organisatie en bij monitoring en detectie probeer je die hackers te detecteren als ze in jouw netwerk zitten.
En daarna heb je het incident response en dat is eigenlijk als de aanval van de hacker succesvol is en er is schade aangericht bij de organisatie.
Hoe zorg je er dan voor dat de organisatie weer terug in business kan komen of in ieder geval de impact van dat incident zo klein mogelijk.

Randal Peelen:
[23:16] En je hebt dat een aantal jaar gedaan bij Northwave.

Lisa de Wilde:
[23:18] Ja, dat klopt.

Jurian Ubachs:
[23:20] Op welk moment wordt iets een incident? Je monitort die netwerken.
Je zult af en toe wel activiteit zien. Is het dan wel meteen sprake van een incident? Als er überhaupt aanwezigheid is?

Lisa de Wilde:
[23:31] Goeie vraag!

Jurian Ubachs:
[23:32] Moet er eerst echt iets kapot gaan of gestolen worden? All hell breaks loose?

Randal Peelen:
[23:36] Renssenberg!

Belang van direct bellen bij vermoedelijke incidenten

Jurian Ubachs:
[23:39] Wanneer word je gebeld?

Lisa de Wilde:
[23:42] Uiteindelijk vind ik dit altijd een hele mooie discussie. want het wordt al heel snel een incident genoemd.
Ik noem het zelf vaak een potentieel incident als ik nog niet weet wat er aan de hand is.
Wanneer wordt je gebeld? Ja, ik zou zeggen bel gewoon ook bij twijfel.
Dus als je vermoedt dat er iets aan de hand is, bel een expert en vraag om hulp, want dan ben je waarschijnlijk eerder dan als je het zelf nog helemaal gaat uitzoeken en nog geen idee hebt wat er aan de hand is en kan je dus ook beter de impact minimaliseren.

Randal Peelen:
[24:10] Ja, maar als jij ransomware is een beetje de aanval du jour.
Dat is nu populair en dat is wat er nu het meest gebeurt.

Jurian Ubachs:
[24:18] Alle hippe kids doen het.

Randal Peelen:
[24:19] Dan krijg jij zo'n mooi rood flesjiescherm voor joh, je bent geransomd, gepakt, door een hacker, een echte. Een echte hacker.

Lucinda Sterk:
[24:29] Cybercrimineel noemen we dat eigenlijk.

Randal Peelen:
[24:31] Ja, maar goed, wie is er dan nog een hacker Lisa, als het cybercriminelen zijn?

Lisa de Wilde:
[24:36] Jij wil graag hacker worden toch?

Randal Peelen:
[24:37] Dat klopt, lijkt me heerlijk. En dan heb je duidelijk scherm op je beeld van, joh, je moet daar bitcoins betalen.
Hier kun je chatten met de dader en succes ermee.
En een dikke F-you eigenlijk tussen de regels door.
Dan is het te laat en dan heb je een incident te pakken. En dan komen we...

Lisa de Wilde:
[24:57] Zo heb je denk ik eigenlijk gewoon een crisis te pakken.

Randal Peelen:
[24:59] Een crisis, oh, dat is nog...

Jurian Ubachs:
[25:01] Dat is een spuiken van een soort escalatieladder.

Lisa de Wilde:
[25:03] Ja.

Jurian Ubachs:
[25:04] In een incident.
Komt op een gegeven moment op crisis.

Randal Peelen:
[25:06] Ja, en dat is een moment waarop jij en je team destijds dan met, nou niet zwaaierlichten, want je bent geen echte brandweer, maar een soort digitale brandweer, aankomt rijden met, niet in je eentje, met een team van mensen.

Lisa de Wilde:
[25:20] Ja, echt wel met een team. Ja, als je het over ransomware hebt, wel echt met een groot team, ook omdat de gehele organisatie dan eigenlijk plat ligt.

Randal Peelen:
[25:27] Laten we het even hebben over een multinational, die vindt die factuur die jullie gaan sturen, achteraf peanuts vergeleken met het leed dat ze nu dagelijks hebben, Omdat de operatie eruit ligt.
Je hebt carplunge, ga je gang. Hoe ziet dat eruit?

Lisa de Wilde:
[25:40] Ja, nou ja, je wordt gebeld en letterlijk een half uur later stap je in de auto, naar die klant toe. Eerst koffie met het team.
Ik drink geen koffie. Oh, geen hakker.
Ik heb ook al geen hoodie. Dus het gaat op heel veel plekken mis hier.
Nee, koffie is wel echt heel essentieel In dat soort situaties heb ik geleerd, dan niet bij mij, maar wel bij collega's.
Afhankelijk van de grootte van de organisatie kan je bepalen hoeveel mensen je meegaat nemen.
Maar ik ging regelmatig met tussen de vijf en tien mensen op stap.
Op stap klinkt net alsof we gingen stappen, maar ja, naar de klant toe.
En dan hadden we ook nog wat mensen remote aan het werk om de organisatie te helpen.

Jurian Ubachs:
[26:31] Als ze iets aan het stel hebben, er aan de vraag of het er dan uit ziet, dus neem ons even mee.
Je wordt dan gebeld, goed, je gaat dan fysiek ook naar een locatie toe.
Waarop je op dat moment weet, je weet dat er iets is, misschien ben je wel bekend al met hun netwerk, heb je er vaker iets mee te maken gehad, maar je weet tegelijkertijd nog niks.

Lisa de Wilde:
[26:48] Nee, dus wat het is, is ze bellen en dan heb je eigenlijk een korte intake met de organisatie.
En daarin stel je een aantal basisvragen waarvan je kan kijken van wat is er aan de hand, want wat moeten we doen?
En dat heeft te maken met onder andere welke extensie hebben je bestanden nu?
Hoe zijn ze versleuteld? Kun je bijvoorbeeld achterhalen welke criminele groepering daarachter zit, als ze elke keer dezelfde extensie gebruiken.
Maar ook bijvoorbeeld, hoe groot is je omgeving? Welke maatregelen heb je nu al genomen toen je erachter kwam dat het incident plaatsvond?
Het is eigenlijk gewoon een hele lijst Je moet allemaal vragen en aan de hand daarvan kan je vervolgstappen bepalen.
Een van de eerste stappen die je doet is containment.
En dat houdt in dat je ervoor wil zorgen dat de aanvallers geen toegang meer hebben tot je omgeving.
Dus eigenlijk al aan de telefoon zeg je al tegen de klant, zorg ervoor dat je al je connectiviteit...
dichtzet, zowel naar binnen als naar buiten toe, dus de firewallregels aanpassen als de systemen onderling die niet meer met elkaar kunnen communiceren, zodat je in ieder geval de schade daarvan zo minimaal mogelijk kan houden en dat de aanvaller geen toegang meer heeft tot je omgeving.

[28:05] Vervolgens leg je eigenlijk allerlei acties bij de klant neer van, nou ja, op het moment dat wij naar jullie toe gaan, kunnen jullie alvast een aantal dingen voor ons verzamelen.
Je kan uitzoeken van, nou ja, wat is de Status van de backups, kunnen we nog bij de backups en de backups zijn nog zijn ze versleuteld.
Je kan alvast toch dat je een overzicht hebt van de systemen die in je omgeving zit.
Je kan alvast een netwerktekening vaak toch nog wel weer opnieuw maken, omdat de netwerktekening op de versleutelde systemen staat.
Dus gelijk een tip, zorg ervoor dat dit soort informatie ook beschikbaar is als je systemen versleuteld zijn.

Randal Peelen:
[28:40] Vindt de testnoods uit?

Lisa de Wilde:
[28:41] Ja, zeker. Dus eigenlijk doe je al best wel veel voordat je naar een locatie gaat.
Vooropgesteld dat eigenlijk de belangrijkste rol die je hebt tijdens zo'n gesprek, is echt zorgen voor vertrouwen en rust.
Er is zoveel paniek op dat moment, zoveel chaos en zoveel stress.
En als expert weet je eigenlijk welke stapjes er genomen moeten worden.
Je hebt er helaas vaker mee gedeeld.
Dus dat is misschien wel het allerbelangrijkste, zorgen voor rust.

Jurian Ubachs:
[29:11] Ik zie nu echt zo'n beeld voor me van, weet je, vroeger had je zo'n breaking, case of emergency, maar dat er dan een USB hangt.

Randal Peelen:
[29:16] Ja, ja, ja. Oh, slim!

Lucinda Sterk:
[29:18] Wow!

Jurian Ubachs:
[29:19] Slim! Met alle dingen die je nodig hebt om het bedrijf te redden.

Randal Peelen:
[29:22] Dit heb, ja.

Lucinda Sterk:
[29:23] Nou, wat een goed idee.

Lisa de Wilde:
[29:24] Maar waar stop je die USB-stick dan in, in een versleuteld systeem?

Jurian Ubachs:
[29:27] In een systeem dat nergens mee verbonden is.

Hacker mindset en nep ransomware

Randal Peelen:
[29:30] Als ik echt een bedrijf op de korrel heb en ik zou ze willen ransomen, dan doe ik eerst een soort van nep ransomware en dan zet ik de echte ransomware op die stick. En dan komen ze er aan en dan steken ze die erin en dan denk ik zo, syke, nu heb ik jullie echt.

Lisa de Wilde:
[29:42] Kijk, je hacker mindset begint al.

Randal Peelen:
[29:45] Ik ben blij dat ik incompetent ben, want ik zou zeker niet bij het goede team zitten.

Jurian Ubachs:
[29:51] Odisha zou gewoon jaloers zijn op jouw vinding Rijk.

Lucinda Sterk:
[29:54] Ik laat maar hopen dat er geen cybercriminelen meeluisteren.

Jurian Ubachs:
[29:57] Dutch schrijven.

Lucinda Sterk:
[29:58] Goed idee, goed idee.

Randal Peelen:
[30:01] En dan moeten we nu even een moment maken voor de sponsor van deze aflevering.
En dat is deze week Bouw en Infra.
Want Jurrian, heb jij gehoord van de switchers campagne van Bouw en Infra?
Mensen denken soms dat ze niet passen in de bouwsector, maar er zijn best wel veel mogelijkheden.

Jurian Ubachs:
[30:18] Ja, ik kan me goed voorstellen dat veel mensen dan denken dat ze niet geschikt zijn voor de bouw of dat ze bijvoorbeeld denken aan zware lichamelijke arbeid of dat ze de technische vaardigheden niet hebben.

Randal Peelen:
[30:27] Ja, dat kan ik me voorstellen, maar de bouwsector is wel echt veel meer dan dat. Het is ook een wereld vol innovatie en duurzaamheid speelt een belangrijke rol.
Er is veel teamwork en of je nou handig bent met je handen of juist heel sterk in denkwerk.
Er is altijd wel een plek waar jouw talent tot zijn recht komt.

Jurian Ubachs:
[30:43] Ja, dat klinkt wel leuk, maar dan zeg je talent. Maar wat nou als iemand zoals ik die twee linkerhanden heeft, als die iets wil doen, kan ik dan ook iets betekenen in deze sector?

Randal Peelen:
[30:51] Nou, zeker is te weten, want Bouw en Infra gaat niet alleen over bouwen met je handen, maar het gaat ook over plannen en ontwerpen en het managen van projecten.
Denk eens aan de trots die je voelt als je een deel bent van het creëren van iets groots en iets dat Nederland mooier en beter maakt.

Jurian Ubachs:
[31:06] Oké, dat zeg je hartstikke mooi, maar hoe zit het met de zorg over inkomen of over een kans op een baan in deze sector?

Randal Peelen:
[31:13] Nou, bouw en infra is een toekomstbestendige werkgeving met altijd behoefte aan nieuw talent en er zijn heel veel doorgroeimogelijkheden.
En je investeert echt in jezelf. Het is niet alleen een baan, het is ook deel uitmaken van iets dat impact heeft.

Jurian Ubachs:
[31:26] Dus als ik het goed begrijp, maakt het niet uit of je nu in een andere sector werkt of dat je denkt dat je niet geschikt bent. Bij bouw en infra is er voor iedereen plek?

Randal Peelen:
[31:34] Nou precies. En het mooie is, je staat er ook niet alleen voor.
Je komt terecht in een team waar samenwerken en werkplezier voorop staan.
Het gaat om samen realiseren van projecten die we allemaal kunnen zien en waar we ook trots op kunnen zijn.

Jurian Ubachs:
[31:47] Klinkt als een mooie kans om het verschil te maken, maar waar kunnen mensen informatie vinden?

Randal Peelen:
[31:51] Waar kunnen mensen meer informatie vinden? Ga naar jijgaathetmakend.nl Ontdek de verschillende rollen en verhalen van mensen die de switch al hebben gemaakt.
En jij kan het ook maken, bij Bouw en Infra.
Ik noemde net teloofs Northwave en dat komt een vriendin van mij werkt daar, die heet Gerine en die heb ik laatst ook mogen interviewen over dat onderwerp.
Die had het vooral over mentale impact en weerbaarheid en dat is ook een door veel mensen onderschat aspect aan aan jullie werk.
Wat je zelf al zei, die paniek is daar, maar ook de verschillende invalshoeken die je hebt.
Je hebt een stereotyep MT-achtig persoon die zegt fix het, fix het, snel, nu, nu.
Je hebt een soort IT'er die zit daar met tranen en een schuldgevoel en die durft niet meer naar huis die hele week, want die denkt ik kan niet weg voordat het opgelost wordt.
Tegelijkertijd kan die persoon soms beter even een nachtje gaan slapen.
Is die de volgende ochtend met een kop koffie een stuk scherper dan op dit moment.

Lucinda Sterk:
[32:45] Of bolen, hè Lisa?

Randal Peelen:
[32:46] Ja, bolen hebben we ook al gedaan. Er zijn ook verschillende persona-achtige, dingen die je tegen kunt komen, die het werk ook heel heftig en uitdagend maken en ook heel erg verschillend per rol die persoon heeft.
En wat mij heel erg is bijgebleven is dat heel veel mensen uit het vak echt hamer op zorgen dat je een draaiboek hebt.
Ga een keer met de ogen dicht, schoenen op tafel. Dus nadenken, oké, wat zouden we doen? En maak daar op z'n minst een lijstje van.
Dan zul je ook misschien inderdaad denken aan zo'n netwerktekening, aan wie bellen we wel, wie sturen we naar huis enzovoort. enzovoort.
Je bent nu bezig met containment, heb je verteld. Je hebt verteld dat de mensen in paniek zijn. En dan?

Lisa de Wilde:
[33:35] Ja, dat is eigenlijk wel de stap dat je daarna naar locatie gaat.
Dus eigenlijk wat je aan het begin...

Jurian Ubachs:
[33:43] Oh, zonnebril op.

Randal Peelen:
[33:44] Ja, sowieso.

Lisa de Wilde:
[33:45] Ja, ik kwam wel een keertje bij een klant op locatie en die zei, ja, we hadden echt het gevoel dat de E-team binnenkwam lopen.
De reddende engels, om het maar zo te zeggen.

Jurian Ubachs:
[33:54] Nou, ik kan me wel iets bevoorstellen.

Randal Peelen:
[33:55] No pressure verder. maar jullie moeten het even fixen.

Lucinda Sterk:
[33:59] Het liefst weer die dag.

Lisa de Wilde:
[34:00] Ja, en ik heb ook wel een keer gehad dat het dus allemaal niet zo heel soepel liep als dat het zou moeten.
En dat de klant me ook gewoon wel vervolgens begon uit te schelden, omdat we toch reddende engels zouden zijn. Dus ja, het heeft ook een andere kant.

Jurian Ubachs:
[34:12] Ja, zo update je virusdefinities full.

Mening over de updates

Lisa de Wilde:
[34:18] Nee ja, uiteindelijk vind ik...

Randal Peelen:
[34:21] I pity de aanvaller die haar moet verslaan. Zij heeft de updates op orde.

Roze bus en overwegen om een auto roze te rapen

Lucinda Sterk:
[34:27] Maar ik snap dat wel. Ik ben in een roze bus. Dat zou ik leuk vinden.

Lisa de Wilde:
[34:32] Ik wil nog wel, ik overweeg dus nog wel om een auto roze te rappen.

Jurian Ubachs:
[34:37] Op zich is het ook een menselijke reactie. Want zo'n bedrijf die haalt dan hulp van buitenaf.
En jullie doen dit toch? Dit is toch wat jullie doen? En hoezo lukt het dan niet? Of lukt het niet meteen? Dat kan ik me goed voorstellen.
Want je zit natuurlijk daar letterlijk gewoon per seconde de miljoenen uitgaan.
Van een heel groot bedrijf. maar in ieder geval ook kleiner blijven.
De duizenden euro's die vloeien natuurlijk onzichtbaar gewoon je bedrijf uit.

Randal Peelen:
[35:00] Ja, IMAGO is helemaal een annotering.

Jurian Ubachs:
[35:01] Dus je zit echt gewoon te wachten totdat Lisa tegen je zegt van oké, het is gefixt.

Lucinda Sterk:
[35:06] Daar wil ik nog wel een dingetje over IMAGO. Dat is niet waar. Dat is echt niet waar.

Randal Peelen:
[35:12] Nee, maar dat is wel een angst.

Lucinda Sterk:
[35:13] Ja, er zit een irrationele angst bij bedrijven die gehackt zijn.

Jurian Ubachs:
[35:17] Wat is die angst dan precies?

Lucinda Sterk:
[35:18] Dat ze hun reputatie helemaal...

Jurian Ubachs:
[35:20] Omdat ze dus ransomware slachtoffer zijn. zou je imago schade leiden. Oké.

Lucinda Sterk:
[35:27] En dat is ook waarom heel veel organisaties ervoor kiezen om niet daarover te communiceren.

Jurian Ubachs:
[35:31] Want de aanname is dan dat als dat naar buiten komt, dan gaat de hele wereld vinden dat ze niet slecht beveiligd waren.

Lucinda Sterk:
[35:37] Ja, ja, dat.

Lisa de Wilde:
[35:38] En dan gaan de klanten weg.

Lucinda Sterk:
[35:39] En dan gaan de klanten weg en dan gaan de aanhouders boos worden.

Jurian Ubachs:
[35:41] En dat is totaal niet aan de hand?

Lucinda Sterk:
[35:43] Nou, in sommige gevallen wel, maar dan...

Jurian Ubachs:
[35:46] Nou, jij zegt dat imago schade...

Lucinda Sterk:
[35:48] Nou, ik zeg altijd, als je er niet over communiceert en het komt later terug, dan heb je een veel groter probleem.
Dus je kan beter gelijk met de billen bloot en zeggen, ja oké, we hadden het inderdaad niet op orde.
Ja, dat is heel vervelend. We hebben die investeringsronde laten lopen.
We hadden andere keuzes moeten maken.
Daarom zijn we nu pijn aan het ruimen. En we doen er alles aan om zo snel mogelijk weer operationeel te zijn.

Lisa de Wilde:
[36:12] En ja, daar zit natuurlijk nog wel het juridische aspect aan met de aansprakelijkheidsclaims en dat soort dingen die daarbij komen kijken.
Maar ook daar zie je, bij een incident waarbij ik geholpen heb, hebben hun klanten letterlijk gezegd, omdat jullie zo goed gecommuniceerd hebben, hebben wij besloten geen claim in te dienen.
Dus ja, tuurlijk heb je de nuance met wat kun je wel en wat kun je niet delen in het kader.

Jurian Ubachs:
[36:38] Even voor de goede orde, claim indienen, dat betekent dat zou bijvoorbeeld kunnen wanneer er data van een klant gestolen is en zou die klant een claim kunnen indienen?

Lisa de Wilde:
[36:46] Ja, of bijvoorbeeld als je te maken hebt met een productiebedrijf en dat productiebedrijf kan niet leven.
Je hebt je contract liggen. Ja, en je kunt niet aan je contracten voldoen.
Dan kunnen zij dus een schade claim indienen. Als je blijft ingepreken.

Lucinda Sterk:
[36:59] Ja, als jij er meer dan een week uit ligt vanwege een ransomware aanval.
Ja, en je productie kan niet doorgaan. Ja, dan worden klanten boos.

Randal Peelen:
[37:06] Dit is ook een relatief nieuw vakgebied, het doen van audits, niet naar de beveiliging van jouw bedrijf, maar die van je waardeketen.
Dus hoe goed zijn je leveranciers en je afnemers beveiligd? Want als die een van beiden er compleet uit ligt, dan heb jij ook heel veel schade.

Lucinda Sterk:
[37:27] Dat is wel binnen cybersecurity echt wel een ding waar heel veel organisaties mee bezig zijn.
en waar het National Cyber Security Center ook op hamert, is grote bedrijven, die hebben vaak hun security wel op orde, maar die hebben zoveel toeleveranciers bij wie het misschien niet op orde is.
En dat is ook waar we met de nieuwe wetgeving NIS 2, die eraan zit te komen, vanuit Europa komt een nieuwe richtlijn, Europese richtlijn, dat wordt een Nederlandse wet vanaf 2024.
En die gaat veel meer organisaties in Nederland verplichten om hun cybersecurity op orde te hebben. Daar wordt bijvoorbeeld ook een meldplicht bij, dat als je gehackt bent, dat je dat ook echt moet gaan melden.
En dat je dat niet meer zomaar in de doofpot kan stoppen.
Maar dat komt echt voort uit het feit dat, met name die kleinere toeleveranciers, echt nog steeds kwetsbaar zijn.
En dat je dan in die supply chain steeds meer incidenten krijgt, waar grotere organisaties ook last van hebben.

Jurian Ubachs:
[38:18] Is die meldplicht er nog niet?

Lucinda Sterk:
[38:20] Nee.

Jurian Ubachs:
[38:20] Alleen als er persoonsgegevens bij te maken zijn?

Lucinda Sterk:
[38:22] Ja, alleen meldplicht voor data lekken is er bij het AP. Maar niet voor hacken, helaas.

Jurian Ubachs:
[38:29] Dus als jouw bruggedrijf getroffen wordt in ransomware en jij pint gewoon dat of bitcoin dat betaalverzoek, dan mag je op dit moment gewoon nog lekker verder gaan met je leven.
Maar dat moet vanaf de nieuwe wet zou dat gemeld moeten worden.

Lucinda Sterk:
[38:41] Dat kan, maar er zijn, nou ja Lisa weet dat misschien net iets beter dan ik, maar weinige cyberaanvallen waarbij er geen data wordt gelekt.

Lisa de Wilde:
[38:48] Ja klopt, je hebt verschillende type groeperingen, maar als je bij ransomware aanvallen kijkt, zeker bij de professionele groeperingen, gebruiken de criminelen eigenlijk het stelen van data om de druk op te voeren dat jij gaat betalen.
Dus wat ze doen is ze gaan proberen jouw backups kapot te maken.
of ook te versleutelen, of in ieder geval zorgen dat je geen fallback optie hebt.
Ze gaan data uit je omgeving stelen en ze versleutelen je huidige omgeving.
Met al die manieren zorgen ze ervoor dat de kans zo groot mogelijk wordt dat jij gaat betalen.

Jurian Ubachs:
[39:23] Jij moet het gevoel hebben dat je schaakmat staat eigenlijk.

Lisa de Wilde:
[39:26] Ja, en helaas moet ik ook zeggen dat de meeste organisaties die ik geholpen heb ook wel besloten hebben om Om te betalen, want ook soms was er wel een backup.
Maar dan duurde het drie maanden om de backups terug te zetten.
Dat kon alsnog niet, dus werd er alsnog voor betalen gekozen.
Wat ik wel zag en zie is dat er minder vaak betaald wordt voor alleen puur het lekken van data.
Wat natuurlijk hele vervelende gevolgen heeft en kan hebben.
Maar dat zie ik wel wat minder worden bij bedrijven.

Op orde hebben van cybersecurity bij bedrijven

Randal Peelen:
[40:06] Een goed voorbeeld is denk ik dat KNVB-hack toch? Daar ging het ook vooral over het fenomeen.
Als je niet betaalt, dan gaan we alles wat we hier hebben publiceren.
Dat is natuurlijk een heel ander dilemma. Maar ik wil wel even onderstreven.
Er zijn twee dingen die me opvielen net.
Eén is steeds meer bedrijven of grote bedrijven hebben het vaak wel op orde.
Kleinere bedrijven vaak niet. Nou, dat klopt.
tegelijkertijd in het zeggen dat iemand iets op orde heeft zit impliciet ook een soort van potentie om een beetje victim blaming te doen.
Zo van oké je had het niet op orde dus ben je nu gehackt.
Dat vind ik ingewikkeld. Het is deels waar maar het is ook wel deels een soort van slachtoffer de schuld geven.
En de ander is we zijn soms wat krampachtig als maatschappij voor het betalen en nee dan hou je een crimineel systeem in stand.
Aan de andere kant, draai even om, je bedrijf is je kindje, je bent ondernemer.
Als mijn kind ontvoerd is, hel ja dat ik betaal.
Maar als mijn bedrijf ontvoerd, want het is een ransom, ik bedoel het is dan versleuteld in een andere manier van ontvoerd, maar je bedrijf is in zekere zin je kindje en het is in zekere zin ontvoerd, ja ga mij maar vertellen dat ik niet moet betalen.
Dat is heel leuk als je academisch op een bank ligt te filosoferen.

Jurian Ubachs:
[41:17] Dat is denk ik heel begrijpelijk en heel menselijk, ook omdat dat we willen als mens denk ik graag controle hebben.
Die hebben we op dat moment niet. En dit is het bedrag waarvan je weet, dan heb ik de controle weer terug.
En correct me if I'm wrong, maar volgens mij is het ook vaak zo dat de service best wel goed is daarin, als in.
Nee, maar als je betaalt, dan zorgen ze ook dat alles gewoon weer netjes loopt.
Ik heb zelfs wel gehoord dat ze zelfs hele, hoe heet het?
Ik noem het klantenservice hebben, dat als het inderdaad niet in één keer goed allemaal weer werkt, dat je gewoon contact op kan nemen, dat ze je eventueel nog helpen zelfs.
En ook niet dat je morgen weer opnieuw wordt aangevallen, want dan maken ze eigenlijk hun eigen marktmodel kapot.

Lisa de Wilde:
[41:51] Ik heb zelfs reportages gekregen van honderd pagina's waarin ze helemaal stap voor stap uitlegden hoe ze de organisatie gehackt hebben. Ja, daar zit een heel business.

Jurian Ubachs:
[41:59] Dus ja, inderdaad. Als je dat dus allemaal weet.
Ik wil hier geen reclame maken voor deze groeperingen. Het is een goede service.
Maar als je dat allemaal weet, is het natuurlijk heel logisch dat mensen gaan denken, laat ik maar gewoon betalen.
Je kijkt naar het bedrag, dat bedrag doet pijn. En dan is de enige vraag, kan ik die pijn leiden ja of nee? En als het nee is, wat anders?

Lucinda Sterk:
[42:18] Ik denk wel dat het te maken heeft met hoe mensen in de wedstrijd zitten.
Ik heb ook een bedrijf geholpen en die zeiden, we gaan no way dat betalen.

Jurian Ubachs:
[42:28] Echt niet. Dat valt zeer helemaal goed op het punt voor handel.
Volgens mij dat het wel goed te begrijpen is als mensen dat wel doen.

Lucinda Sterk:
[42:33] Het is zeker goed te begrijpen. Ja, absoluut. En dat is ook natuurlijk waar die hele discussie rondom de KNVB over ontstond.

Jurian Ubachs:
[42:39] Ja.

Lucinda Sterk:
[42:39] En nou ja, je hebt mensen die heel erg strikt in de wedstrijd zitten en zeggen nou ja, absoluut niet, betalen.
Het is ook de richtlijf van de politie, de richtlijf van de NCSC.
Maar ja, ik denk dat veel organisaties dat natuurlijk nog steeds doen.

Lisa de Wilde:
[42:52] Ik vind het wel goed dat er strengere controle op komt. Het ethische bezwaar is wel redelijk snel vaak van tafel als ik dat soort gesprekken heb met organisaties.
Maar tegelijkertijd heb je bijvoorbeeld ook veel organisaties die een cyberverzekering hebben.
Daar kan je ook een claim indienen voor de betaling die je doet.
Daarvoor moeten ook wel echt allerlei checks uitgevoerd worden, met dat je aan kan tonen van dit was de enige optie die we hebben.
We hebben de andere opties uitgelopen.
Deze optie was goedkoper of ging sneller of had deze voordelen, deze nadelen. En dat vind ik wel echt een hele goede ontwikkeling.

Jurian Ubachs:
[43:28] Ik wil trouwens nog even terug naar het andere punt dat je maakt, dat is victim blaming. Ik voel dat namelijk totaal niet.
Het wordt vaak gebruikt dat je slachtoffers niet de schuld moet geven van iets.
Maar ik vind het echt, je auto is gejat omdat je hem niet op slot hebt gezet.

Randal Peelen:
[43:40] Daar zit wat in.

Jurian Ubachs:
[43:41] Natuurlijk kunnen we zeggen, je auto zou niet gejat zijn als criminaliteit niet bestaat. Nee oké, maar je bent professioneel, laten we even over bedrijven praten.
Je bent actief, onderdeel van een business runner is weten wat voor risico's zijn.
en natuurlijk hoef je mensen het echt niet kwalijk te nemen als hun kennis onvolledig is, maar om dat dan te zeggen van ja nee maar dat is slachtoffers blamen, dan denk ik ja dat vind ik zeker anno nu vind ik dat wel echt een beetje te makkelijk, bedoel.

Lisa de Wilde:
[44:06] En is een slachtoffer dan een individueel persoon binnen een bedrijf of het bedrijf an sich?

MKB'ers onbekend met cybersecurity

Jurian Ubachs:
[44:13] Het bedrijf an sich denk ik dan.

Randal Peelen:
[44:15] Ja, ik snap je punt, ik ben het er ook wel deels mee eens.
Ik heb een maand geleden die Cyber Security Week gedaan op de radio met jouw collega's van de ondernemer. Ook zo'n DPG Media titel.
En zij hebben die week heel erg gericht op de doelgroep de MKB'er.
Waarom? Omdat bij MKB specifiek is het wel heel erg onbekend maakt, onbemint.
Daar is men daar gewoon niet mee bezig. Alle grote multinational corporates die zijn er al tien jaar mee bezig.
En die hebben hun shit ook steeds beter op orde, zoals men dat dan noemt.
Je merkt gewoon dat dat besef nu langzaam indaalt. En dan bedoel ik van grote bedrijven naar kleine bedrijven. En dan zijn we er gewoon echt nog niet.
Er zijn best wel veel bedrijven die gewoon wel kijken van oké, wat moet ik hier voor doen? Die facturen van die beveiligingsbedrijven zijn heel hoog. Dat is een boel geld.
Slimme IT'ers die jouw bedrijf kunnen beveiligen zijn heel schaars, heel gewild en dus ook heel prijzig.
En er zijn ook gewoon heel veel middengrote bedrijven die de risicoafweging maken. En zeggen joh, dit is gewoon een boel geld.
Ik ga niet tot het gaatje om mezelf te beveiligen.

Jurian Ubachs:
[45:21] Dat is een prima zakelijke afweging. Als het misgaat is het wel gewoon een eigenschild dikke beeld.

Randal Peelen:
[45:28] Ja, nee, weet ik niet. Dat vind ik, nee, nee, nee, ik kan er niet in mee, gewoon principieel.

Jurian Ubachs:
[45:34] Nee, oké, maar als je zelf, als je zelf, als je, als je bewust zegt van, oh ja, ja, maar we weten dat we het eigenlijk zouden moeten doen, maar dit is eigenlijk te duur en daarna gaat het mis, dan denk ik, ja, zakelijk misschien prima te verdedigen, maar je kan dan toch niet, dan is het toch gewoon eigenstoel.
Als ik, als ik, als ik nu mijn huis besluit niet te verzekeren tegen brand, mag overigens niet, maar stel dat dat wel zou mogen, En dan vliegt ie in brand en ik krijg geen cent.
En ik zeg, verdorie, ik krijg geen cent. Dan zeg je, misschien had je het moeten verzekeren.
Ja, dan is het gewoon eigen schuld. Ik zie dit ook.
Als jij zegt ik ga niet investeren in mijn cybersecurity en daarna gaat het mis. Ja, tuurlijk is het dan victim blaming.

Lisa de Wilde:
[46:10] Ik vind het wel iets gewikkeld omdat je te maken hebt met de schuldvraag.
Maar tegelijkertijd, ik heb ook daadwerkelijk wel organisaties meegemaakt waar wij gewoon drie keer op bezoek kwamen voor hetzelfde incident, maar dan opnieuw door een andere verbering.
Omdat ze zoiets hadden van ja, we zijn verzekerd, dus we hoeven geen maatregelen te nemen.

Randal Peelen:
[46:30] Holy shit, ja oké, dat is weer een ander uiterste.

Lisa de Wilde:
[46:32] Kijk, dus er zit natuurlijk wel een stukje nuance in.
Er zijn heel veel maatregelen die je kan nemen als organisatie waarvan je kan zeggen, nou, een tweede factor is tegenwoordig wel zo common.
Zeker bij de grote bedrijven. Dat moet je wel gewoon echt ingericht hebben.
Maar tegelijkertijd wordt het ook wel allemaal heel complex gemaakt.
Je kan steeds meer security dienstverlening kopen bij, nou ja, nog net niet op de hoek.
Maar ja, hoe weet je dan als bedrijf waar je moet beginnen en waar je mee aan de slag moet gaan?

Jurian Ubachs:
[47:04] Ik denk in plaatjes en hier gaat mijn hoofd helemaal aan de haal.
Ik zie dat je hier in Amsterdam rondloopt en op de hoek komt er eentje.
Hey, hash, kook, cybersecurity.

Lucinda Sterk:
[47:12] Hey, cybersecurity.

Lisa de Wilde:
[47:14] Militiascanner kopen.

Lucinda Sterk:
[47:16] Firewall, firewall.

Randal Peelen:
[47:17] Jij bent veilig. Ja, op dit moment. Dan kunnen we wat aan doen.

Victim blaming en verantwoordelijkheid van slachtoffers

Jurian Ubachs:
[47:24] Je hebt wel een punt en het zal niet voor in alle gevallen evenveel de schuld van het slachtoffer zijn, maar goed Randall zette het net echt neer als dat op het moment dat je dat je het zegt van het is dus het is ook de schuld van slachtoffer dat het dan meteen victim blaming is.

Randal Peelen:
[47:39] Ja, maar het is letterlijk wat victim blaming is.

Jurian Ubachs:
[47:42] Ja, en een deel daarvan is gewoon terecht. Dat is mijn punt.
Het is nooit altijd ontrecht.

Lisa de Wilde:
[47:48] Ik heb letterlijk vragen tijdens incidenten gehad waarbij ze vroegen Lisa wie heeft er op die phishing mail geklikt en heeft de credentials ingevuld want moeten we diegene dan gaan ontslaan?

Jurian Ubachs:
[48:02] Ik denk dat je dan diegene moet heropleiden en daar lering uit moet trekken en je hele bedrijf datzelfde leermoment.

Randal Peelen:
[48:09] Je kunt dan niet voor 10.000 werknemers iedereen voor de rest van zijn leven nog nooit op een verkeerde link laten klikken.

Jurian Ubachs:
[48:17] Nee, maar je kunt wel een systeem implementeren dat als ik als werknemer op die link klik en een klens invloed dat het systeem zegt van Hey vriend, ik loop niet helemaal.

Randal Peelen:
[48:25] Dat zou zo moeten zijn ja.

Lisa de Wilde:
[48:26] Het zou uiteindelijk ook niet zo moeten zijn dat door een...
foutje of door een misconfiguratie de aanvaller bij al jouw kritieke systemen kan.
Dat zou een gelaagde aanpak moeten zijn, waarbij er dus meerdere dingen niet op orde moeten zijn.
Dus op het moment dat een aanvaller inderdaad toegang heeft gekregen, nou ja, één van de meest voorkomende manieren is daarbij ook gewoon nog steeds phishing.
Nou, stel iemand heeft inderdaad op een phishinglinkje geklikt, credentials ingevuld, aanvaller is binnen, dan hoop ik toch dat jij als organisatie nog een aantal andere maatregelen heb ingericht.
Netwerksegmentatie of monitoring of wat dan ook waardoor je de impact van zo'n aanval kan minimaliseren.

Jurian Ubachs:
[49:12] Helemaal eens, maar als je dat soort dingen dus gewoon weet als bedrijfzijnde en kijk ik zou nooit zeggen er is een individu schuldig aan een hek of een aanval, maar als je op een gegeven moment zeker voorbeelden van bedrijven die gewoon echt beter zouden moeten weten of inmiddels ook gewoon al beter weten maar daar niets mee doen, dan denk ik ja kom op weet je hoe vaak ga je je auto nog in de straat zetten zonder dat je hem op slot doet voordat je stopt met verbaasd zijn dat hij elke keer verdwijnt.

Randal Peelen:
[49:34] Ik ben hier wel benieuwd naar de mensen die dit luisteren en daarover willen praten in het kanaal, napraten op onze slack want Lucinda en Lisa zitten daar ook inmiddels dus onze slack is een mooi plek om dit te doen.
Ja ik ben best wel stellig in mijn uitspraak en ik vind het wel victim blaming en dat maakt niet uit, dat hoeven we hier niet met elkaar eens te worden.
Maar ik ben wel benieuwd wat jij als luisteraar vindt. Ik wil ook graag even doorpakken naar de ZZP wereld, want die is natuurlijk ook heel erg interessant.
En ik zie een mooie route via de vraag van Jort, om nog even een strik te doen op de discussie van net.
Jort vraagt, hebben jullie tips over hoe je bedrijven die niet geïnteresseerd zijn in de kwetsbaarheden, die je hebt gevonden, hoe je daarmee om moet gaan?
Hoe krijg je bedrijven geïnteresseerd?

Lucinda Sterk:
[50:16] Ja, ik zoek zelf niet naar kwetsbaarheden, maar ik snap de vraag wel.
Jij zoekt ook niet naar kwetsbaarheden.

Lisa de Wilde:
[50:21] Nee, maar ik herken wel een stuk in de vraag, in de zin van hoe krijg je nou de directie of het management bewust van dat ze iets moeten gaan doen op het niveau van cybersecurity?

Randal Peelen:
[50:34] Ja, nog een tweede vraag die is dan misschien net beter, maar laten we naar de geest van de vraag kijken. Waarom denken jullie dat geld pas vrijkomt om aan cyber te besteden als het al te laat is?

Geld besteden aan cybersecurity na incidenten

Lucinda Sterk:
[50:44] Ja, dat is een hele goeie. Ja, ik denk dat dat, nou ja, waar we het net over hadden met de incidenten, is dat zodra een organisatie geconfronteerd wordt met een incident en dan zegt, ja, we hadden die investeringen inderdaad voor geen erg moeten doen. Maar ja, toen hebben we andere keuzes gemaakt.
We wilden liever bedrijfsfeestje geven of zo, weet ik veel.

Lisa de Wilde:
[51:00] Ja, het is vaak een ver van een, van een bad show. Dat hoor ik ook veel bij, bij organisaties die ik aan de ene kant dus geholpen heb met het oplossen van incidenten.
Zo van, we dachten dat ons dit niet zou overkomen.
We waren bezig met de productie van dingen. Dat is veel belangrijker.
Of we moesten zorg leveren. Dat is veel, veel belangrijker.
En aan de andere kant merk ik het dus ook bij de klanten die ik dus nu soort van eigenlijk preventief help. Ja, ja, Melissa, ons overkomt dat niet.
En dat zal wel meevallen. En wat ik daar zelf heel ingewikkeld aan vind, is ik wil geen bangmakerij doen.
Kijk, ik kan heel veel horror verhalen vertellen over wat ik allemaal heb meegemaakt tijdens die incidenten en hoe die mensen erbij zaten en dat soort dingen.
Alleen is dat nou de manier waarop je, ja moet je mensen nou echt bang gaan maken om ze te gaan overtuigen dat ze security maatregelen moeten gaan nemen.

Jurian Ubachs:
[51:50] Dat denk ik misschien niet, maar ik weet vrij zeker dat al onze luisteraars nu denken, god doe eens even een voorbeeld van zo'n horror verhaal en hoe die mensen erbij zaten.

Lisa de Wilde:
[51:58] Ja weet je wat het is, ik vind uiteindelijk vind ik het gewoon, Ik vind het echt heel heftig.
Als ik het heb over incidenten, krijg ik echt gewoon kippenvel.
En twee, drie weken geleden heb ik nog een post geplaatst over LinkedIn waarbij iemand zei Ransomware is niet ernstig.
Ik krijg daar gewoon echt tranen van in mijn ogen.
Het is zo heftig wat ik meemaak en jij verwees net al eventjes naar Grine van Noordweef.
Ik ben ook betrokken geweest aan het begin van het onderzoek wat ze gedaan hebben naar die mentale impact van incidenten.
Ja, ik vind dat zo heftig en tuurlijk is het heel erg wat er met het bedrijf gebeurt en is het erg dat de systemen versleuteld zijn, maar mensen die niet meer kunnen slapen, die alcohol nodig hebben om in slaap te kunnen vallen, die zulke ernstige klachten hebben dat ze de burn-out komen.

Lucinda Sterk:
[52:50] Of alleen maar boze klanten aan de telefoon krijgen. Die elke keer die slechte boodschap moeten overbrengen. Ja, sorry, we zijn gehackt. We kunnen niet leveren.

Lisa de Wilde:
[52:59] Ik vind dat heel erg. Ik vind het heel goed om dat soort informatie te delen, zodat mensen zich erop kunnen voorbereiden. Maar ik vind niet dat dat de trigger moet zijn.
Ja, maar dan gaan we maar wat doen. Uiteindelijk zit het in een stukje wie is waarvoor verantwoordelijk.
Uiteindelijk ligt dat toch wel bij de directie.
Toevallig ben ik nu met een aantal klanten daar ook over in gesprek.
Wij zijn als security specialist en ook IT'ers zijn altijd heel erg geneigd om het zo goed mogelijk te doen.
We willen de boel beschermen. We willen zorgen dat er geen incidenten gebeuren, ook al hoeven wij niet buiten kantoortijden beschikbaar te zijn.
We nemen nog steeds op. We zouden nog steeds ons best doen om op dat moment die patch door te voeren. maar uiteindelijk is het wel de verantwoordelijkheid van de directie.
Dus zou je ook aan de directie moeten terugkoppelen.
Op het moment dat jij deze kwetsbaarheid niet oplost, of je maakt geen budget vrij voor ons om vulnerability management fatsoenlijk in te richten, zijn dit, dit en dit daarvan de consequenties.
Accepteer jij dat?
Ja, zet dan maar hier je handtekening. Nee, oké, hoe kunnen we dan een plan maken dat we daar wel wat aan gaan doen?
En uiteindelijk is het aan de directie om aan te geven welke risico's zij wel en niet willen accepteren.
En is het aan het uitvoerend personeel om maar even zo te zeggen, om ook aan te geven welke dingen er wel en niet kunnen en welke beperkingen er zijn.
En dat dan dus ook weer terug te leggen bij de directie.

Spanningsveld tussen veiligheid en werkbaarheid in IT

Lucinda Sterk:
[54:23] Ja, wat vaak inderdaad zie je heel erg in het spanningsveld ontstaan tussen veiligheid en werkbaarheid. is dat de IT-ers die komen, moet echt veiliger, moet echt veiliger.
En dat een directie zegt, ja maar hoe even, dan kan ik dus niet meer mijn iPhone gebruiken die ik al 400 jaar gebruik, want dan moet er opeens twee-factor.
Vind ik echt super vervelend, irritant.

Randal Peelen:
[54:39] Is het ook, letterlijk.

Lucinda Sterk:
[54:41] Security is gedoe, dat is het al.
En daar begint het al mee. Dus dan moet er eigenlijk ook vanuit IT een knopje omgezet worden.
Zeg maar, moet het ook wel veilig, maar ook wel met de focus op werkbaarheid houden. Want mensen gaan echt pas veiliger werken als het ook makkelijker gemaakt wordt voor ze.
En er worden ook pas stappen genomen richting veiligheid als zo'n directie heeft van wacht het heeft dus geen impact op de hele productie lijn. Het werkt gewoon.
Het kost niet al te veel geld. Prima gaan we dat doen.

Randal Peelen:
[55:13] Ja en ik denk dat dat ook een goed punt is dat je net maakte Lisa.
Dat dus van de bedrijven die gehackt worden.
En echt het hele bedrijf stil ligt.
De statistieken zijn dat die gemiddeld negen dagen stil liggen.
Dat betekent dat er ook bedrijven zijn waar het langer is.

Lisa de Wilde:
[55:32] Ik hoor hier zelfs 23.

Randal Peelen:
[55:33] Oh, dan vergis ik me misschien.

Lisa de Wilde:
[55:36] Ik hoop dat het negen is.

Randal Peelen:
[55:38] Misschien vergis ik me. Laten we zeggen dat het 23 is. In ieder geval gemiddeld liggen ze er een poosje uit.
Ik had die statistieken een maand geleden zo op mijn scherm.
Dan kon ik ze oplepelen. Nu doe ik het uit mijn hoofd.
En in ieder geval is het zo dat een jaar later Een op de vijf tot een op de zeven werknemers is gewoon weggegaan, is gewoon verloop.
Dat kan burn-out zijn, dat kan je ontslag indienen zijn, wat dan ook in die geval.
Als je getroffen wordt en dan, omdat ik zeg een jaar later, impliceert het al de bedrijven die het hebben overleefd.
Dan heb ik het niet over de bedrijven die niet hebben overleefd.
En dan ben je een vijfde van je personeel kwijt, omdat die het gewoon, ja die zien er niet meer zitten daar. De impact is zowel op de financiële bottomline als de mentale bottomline gigantisch.

Lucinda Sterk:
[56:24] Ja, je kan het ook heel anders aanpakken. Want we hebben bijvoorbeeld ook het voorbeeld van Hoppenbrauwers Techniek. Weet niet of je daar weleens van hebt gehoord.
Dat is een installatiebedrijf uit Brabant. Hou me te goede.
En die heeft ook te maken gehad met een ransomware aanval.
Die hebben alles en iedereen opgeroepen binnen het hele bedrijf.
Iedereen kwam terug van de vakantie- en weekendplannen en zo.
We hebben pizza's binnengehaald. En is Noordweef daar ook geweest? Volgens mij wel.

Lisa de Wilde:
[56:53] Mogelijk.

Lucinda Sterk:
[56:54] Ja, mogelijk. Daar doen we geen uitspraken over.

Jurian Ubachs:
[56:59] Wat voor pizza had je?

Lucinda Sterk:
[56:59] Ik ontken het nog bevestigd dat ik daar pizza heb gegeten.

Lisa de Wilde:
[57:01] Ik was daar niet bij betrokken.

Lucinda Sterk:
[57:04] Maar die hebben het dus als een soort gezamenlijk project aangepakt.
En die hebben daar later een boek over geschreven. dat boek ook uitgebracht.

Lisa de Wilde:
[57:11] En een podcast zelfs.

Lucinda Sterk:
[57:13] En een podcast zelfs. Eén van de directeuren is ook nog in allerlei events geweest.
Die heeft daar allerlei praatjes over gehouden.
En die vertellen dus nu aan iedereen die het horen wil, over hoe zij die ransomware aanval hebben afgehouden.
En het belang van cyber security.
Dus ja, je kan het dus ook aanpakken als een soort van kans voor je organisatie, om te laten zien, hé, wij zijn dit te boven gekomen.
Wij hebben de cybercriminelen geen kans gegeven. En yay for us.

Randal Peelen:
[57:42] Gewoon een marketingkans eigenlijk als je het heel cynisch op kijkt.

Lisa de Wilde:
[57:45] Ja, meer organisaties doen dat. Een andere organisatie die ik geholpen heb, die heeft een hele kartern in de krant ervoor gebruikt om uit te leggen hoe aanvallen werken.
En twee weken geleden stond ik nog ergens een presentatie te geven.
had ik ook een slachtoffer mee die vertelde over hoe dat voor haar en haar organisatie was.
Ja, dat werkt wel.

Lucinda Sterk:
[58:11] Ja, het zal geven die voorbeelden, die angstverhalen misschien niet, maar die voorbeelden wel.
Ik ken ook mensen die zeggen, ja, we hebben inderdaad hackers uitgenodigd om de directie te laten zien hoe makkelijk het is om het te hacken.
Het is eigenlijk een live pentest, oké, laat maar zien wat je dan kan, welke informatie je op kan halen. En als de directie dat dan ziet, dan denk ik, oh, oké, misschien moeten we dan toch nog maar wat beter beveiligen.
Want ja, als het zo makkelijk is.

Randal Peelen:
[58:37] Je merkt eigenlijk aan alles dat ik jullie voor mijn gevoel twee vragen stel over incident response.
En dan opeens zijn we een uur verder.

Lucinda Sterk:
[58:48] Ja, we zijn ook weinig enthousiast.

Van loondienst naar zelfstandig ondernemen - Keuzes en redenen

Randal Peelen:
[58:51] Toch, daar wil ik even naar doorsturen. Jullie hebben allebei in loondienst gewerkt bij dit soort bedrijven.
Inmiddels zijn jullie allebei knetter zelfstandig.
Hoe is dat anders en waarom...
Hebben jullie daarvoor gekozen?

Lucinda Sterk:
[59:08] Ik heb ervoor gekozen omdat ik op een gegeven moment bij de overheid gewerkt, Rijksoverheid.
Ik heb in het bedrijfsleven gewerkt en toen dacht ik, nou wat heb ik nu nog niet gedaan?
Ik ben nog niet zelfstandig geweest, dus ik ging mijn eigen bedrijfje inschrijven.
En dat bleek gewoon heel goed bij mij te passen, want ik heb, wat ik al eerder zei, de aandachtspannen van een vlieger.
En ik kan ook heel korte projecten draaien en mensen op korte periodes helpen.
Maar als ik langer dan een jaar, anderhalf jaar bij een bedrijf zit, dan word ik onrustig en dan word ik getrokken in allerlei bedrijfspolitiek en kantoordrama en daar kan ik gewoon echt niet tegen.

Randal Peelen:
[59:43] Ja, voor je het weet zit je met een gele button om in een podcast te demonstreren.

Lucinda Sterk:
[59:45] Ja, dat ben ik opeens. Ik had hem al gedaan, maar hier is mijn button.
Word je gevraagd voor de OR? Dat soort ongein, daar ben ik echt niet van.
Nee, laat mij gewoon vanuit de inhoud en mijn expertise tonen.
En daarna drink ik wel biertjes met mijn matties ofzo.

Randal Peelen:
[1:00:02] Maar dit vind ik een hele rare reden om zelfstandig te worden.

Lucinda Sterk:
[1:00:05] Waarom?

Randal Peelen:
[1:00:06] Dat je je verveelt en denkt ik heb dit nog niet gedaan.

Lucinda Sterk:
[1:00:08] Ja, is dat een rare reden?

Randal Peelen:
[1:00:10] Ja, best wel.

Lucinda Sterk:
[1:00:11] Oké, dan is het maar een rare reden.

Randal Peelen:
[1:00:12] Niet veel mensen namelijk. Ik denk dat Lisa een andere reden heeft.

Lisa de Wilde:
[1:00:17] Nou...

Lucinda Sterk:
[1:00:17] Lisa dacht ik ga voor het geld.

Lisa de Wilde:
[1:00:19] Nee, nee, nee, absoluut niet. Nee, ik ben echt allergisch voor mensen die dat om die reden doen.
Kijk, sport in koppetje. Maar is het wel een beetje waar?

Jurian Ubachs:
[1:00:27] Pak zij vanuit haar vakantiehuis in Maritie.

Randal Peelen:
[1:00:29] Ja, ik wou zeggen, dat kan nog steeds hand in hand gaan.

Lucinda Sterk:
[1:00:31] Je komt hier ook met zo'n Porsche aanrijden.

Jurian Ubachs:
[1:00:33] Nu heb ik zelf verzorgd voor de duidelijkheid.

Lisa de Wilde:
[1:00:34] Nee, ik heb geen Porsche. Nou, ik herken me wel heel erg in wat Lucinda zegt over aandachtspannen die nogal kort is en heel veel willen wisselen. Dus daarin in zeker.
En ik merkte ook altijd wel bij mijn werkgevers dat ze me ook wel ingewikkeld vonden omdat ik dan niet in het rollen vakje paste.

Randal Peelen:
[1:00:56] Ik dacht dat het eerder een antwoord in de richting van vrijheid zou zijn of iets ergens van doen wat je wil.

Lisa de Wilde:
[1:01:00] Bij mij is het ook nog een samenloop van omstandigheden in de zin van dat bij mijn werkgever in Naardweef mijn functie is komen te vervallen wegens omstandigheden en ik daardoor mijn baan ben kwijtgeraakt en dat dat ook een moment is om eens te kijken van wat wil ik nou gaan doen en welke kant wil ik op en vanuit die route is het iets makkelijker om voor jezelf te beginnen.
Ik had wel ergens ooit de ambitie om dat om dat een keertje te gaan doen, maar misschien als ik wat ouder was.
En ja, nu kwam dat eigenlijk zo samen en had ik zoiets van, dan is dit het moment om het om het te proberen.
Maar ik sluit er zeker niet uit dat ik weer een keertje in loondienst ga.

Randal Peelen:
[1:01:41] Want het lijkt mij heel ingewikkeld als je gewend bent om toch wel onder de warme vleugels van een van de meer bekende cybersecurity organisaties van Nederland lekker op pad te mogen als er ergens iets aan de hand is.
En dat stiekem wel heel leuk te vinden om nu. en...
Aan werk te komen, want dat moet je allemaal lekker zelf regelen.
En dan ook nog eens niet met een heel team op komen draven, maar een beetje eenpittig te zijn. Hoe gaat dat nu?

Voordelen en uitdagingen van het werken als zelfstandige

Lisa de Wilde:
[1:02:06] Nou, vooropgesteld dat ik Noordwee veel heb gemist, en dat weten ze ook.
Zie ik ook wel voordelen van als zelfstandige werken.
Ik kan geen incidentresponse meer doen momenteel, omdat dat gewoon niet in mijn eentje gaat.
Kijk, forensisch onderzoek kan je misschien nog alleen doen, maar echt organisaties helpen met het oplossen van incidenten.
Ja, daar heb je wel gewoon echt als je dat goed wil doen, wel echt een team voor nodig.

Randal Peelen:
[1:02:26] En tegelijk ook als je het een voor een kon doen en je had de luxe van tijd, dan misschien.

Lisa de Wilde:
[1:02:32] Dus dat niet en dat mis ik ook heel erg. Aan de andere kant ben ik ook blij dat ik nu een privéleven heb.
Het vinden van opdrachten. Ja, ik ben niet een traditionele ZZP'er in de zin van ik zit 40 uur per week bij één klant voor X maanden of X jaar en voel mijn opdrachten uit. Ik moet zeggen dat ik daarover echt niks te klagen heb.
Ik heb vandaag even gekeken, maar ik ben er heel trots op, omdat dat vooral een doel voor mezelf was.
Want ik wil veel zien van de klanten en ik wil veel organisaties kunnen helpen.
Ik ben nu driekwart jaar bezig en ik heb al veertien verschillende projecten mogen doen.
Dus ik mag niet klagen. En het zijn ook echt projecten waarvan ik echt vind dat ik Lecante goed geholpen heb.

Jurian Ubachs:
[1:03:16] Wat is dat opgericht op preventie?

Lisa de Wilde:
[1:03:18] Ja, dat is gericht op voorbereiden op incidenten met name dus ja.

Jurian Ubachs:
[1:03:25] Je praat met directies van bedrijven, dat soort dingen.

Lisa de Wilde:
[1:03:28] Ja, en op het stukje monitoring en detectie.
Dus het inrichten daarvan, het optimaliseren daarvan. Dus daar heb ik ook al verschillende opdrachten voor gedaan.
Ja, en ik vind dat echt heel tof, omdat uiteindelijk ik wil niet 40 uur per week dezelfde opdracht doen.
Dus op zich, het is niet voor mij een doel om dan 14 of 20 of 30 klanten te hebben.
Ik wil vooral klanten goed kunnen helpen, maar ik vind het wel heel fijn dat de market ook toestaat dat ik dat kan doen op een manier die mij past, namelijk met wat kortere opdrachten bij verschillende organisaties dus meerdere opdrachten per week.

Randal Peelen:
[1:04:02] Je hebt je bedrijf Cyber Radiant genoemd, toch? Is dat een soort van vlag of een vaandel die je wilt dragen of een label dat je graag voert?
Want je bent effectief in je eentje.
En soms is een bedrijfsnaam een manier om jezelf iets groter te maken dan je eigenlijk bent.
Of misschien is het een stap in de richting van zelf op een gegeven moment personeel aannemen en op die manier groeien. Of zit daar een idee achter?

Bedrijf begonnen na baanverlies en huisverbouwing

Lisa de Wilde:
[1:04:30] Ja en nee. Kijk, ik ben met mijn bedrijf begonnen vanuit dat ik dus mijn baan kwijt geraakt ben.
En dat was in een best wel heftige periode waarbij ik ook net de sleutels van mijn nieuwe huis had gekregen en moest gaan verbouwen.
Dat komt natuurlijk allemaal tegelijk.
Dat had ook een voordeel, want dan had ik tijd om te klussen en mijn eigen huis helemaal te maken zoals ik wou, dus dat vond ik ook wel weer heel heel tof, maar ik heb het dus wel opgezet met de gedachte dan kan ik ooit als ik wil personeel aannemen.
Momenteel is dat niet het geval en heb ik dat ook niet in de planning zitten.
En uiteindelijk is het natuurlijk ja, ik ben het bedrijf momenteel dus ook bijvoorbeeld.
Ik post bijvoorbeeld op LinkedIn gewoon alles onder mijn eigen naam.
Maar ja, er zit wel een bedrijfsnaam achter.
Maar ja, momenteel is mijn eigen naam sterker dan mijn bedrijf in dat opzicht.

Randal Peelen:
[1:05:28] En toch, iedereen kan zich tegenwoordig bij de KVK inschrijven, zeggen ik ben cyber expert en daar lekker mee de hort op.

Reflectie over de cybersecurity markt en toegang tot experts

Lisa de Wilde:
[1:05:37] Hebben we nog een uur of?

Jurian Ubachs:
[1:05:39] Ik vind het wel interessant, want we zaten net al even te praten van tevoren.
En dat was eigenlijk vrij logisch dat hier gewoon een markt is en dat het markt trekt bedrijven aan en marktwerking, dat is allemaal super leuk.
Maar ik had er nooit zo van nagedacht dat dat er natuurlijk is.
Dus toen begon ik een beetje net ook na te denken van oké, stel ik heb een bedrijf en stel ik ben inderdaad een nitwit op het gebied van cyber of gewoon ik heb me nooit ingelezen daarin.
Wie bel ik? Hoe kom ik in vredesnaam bij een security terecht?
En ook, net zelfs als je een lekkage in je huid hebt, hoe weet ik dat ik een vakman in mijn huis haal? in plaats van iemand die het wel leuk vindt om gewoon een beetje met een paar pijpen te klooien.
Hoe werkt die wereld?

Lucinda Sterk:
[1:06:18] Op basis van naamsbekendheid denk ik ook. Ik denk dat jij nu ook wel een paar securitybedrijven kan opnoemen.

Jurian Ubachs:
[1:06:23] Northwave heb ik net gehoord.

Randal Peelen:
[1:06:25] Fox.

Lucinda Sterk:
[1:06:26] Fox, ja.

Jurian Ubachs:
[1:06:27] Die ken ik inderdaad ook al. Ik ben niet zo'n goed voorbeeld, maar ik kan me goed voorstellen dat op een gegeven moment, ja weet je, op een goede dag, ik heb een leuk bedrijf, ik doe mijn computers open en ik kan niks meer. en ik heb een mail met een bitcoin adres.
Ja en dan, wat moeten mensen natuurlijk doen? Google je hiernaar?

Lucinda Sterk:
[1:06:46] Ja, sommige googlen, sommige hebben een verzekering. Dan gaan ze die verzekeraar bellen.

Jurian Ubachs:
[1:06:51] En de verzekeraar die bellen.

Lucinda Sterk:
[1:06:51] Sommige bellen als eerste de jurist.

Jurian Ubachs:
[1:06:53] Ja, de verzekeraar zelf.

Lisa de Wilde:
[1:06:54] Sommige bellen een van hun vrienden, want ze weten dat die toevallig een paar maanden geleden gehackt zijn. Of inderdaad iets met computers.

Jurian Ubachs:
[1:07:01] Of de politie, kan ik me wel voorstellen. Verwijst u dan ook naar het bedrijf waar jullie dan actief in waren?

Lucinda Sterk:
[1:07:10] Ik weet niet of de politie dat mag doen, want die mogen natuurlijk niet...
Specifiek bedrijven noemen, ik denk niet dat dat mag, maar er zijn meerdere wegen die daar naartoe leiden.

Jurian Ubachs:
[1:07:23] Wat Randall, jij geeft het al aan, iedereen kan zich nu inschrijven als cybersecurity expert.
Is dat momenteel een probleem? Gebeurt het heel veel dat heel veel mensen dat doen die die titel eigenlijk niet zouden mogen dragen?

Lucinda Sterk:
[1:07:33] Nou, ik ken de cybersecurity wereld wel. Ja, Lisa zit al te knikken.
Wel als een redelijk kleine en beschermde wereld, waarin heel veel mensen elkaar ook wel echt kennen.
En dat is ook wel hoe je aan je opdrachten komt, dat mensen dan elkaar kennen en weten oké, Lucinda heeft een keer op het podium gestaan en die heeft daar wat verteld, dus die zal daar wel verstand van hebben.
In de podcastwereld, juist. Ja, of die lult af en toe in een microfoon, dus die zal daar wel verstand van hebben.
Maar dat werkt zo, maar jij kent de charlatans misschien.

Lisa de Wilde:
[1:08:06] Nou, ik weet niet of ik het zo wil noemen, maar ik merk wel, er zijn wel verschillende cybersecurity bubbels, om het maar zo te zeggen, waar mensen in zitten.
En ik vind het wel interessant om dan op LinkedIn te zien dat iemand een jaar geleden nog verzorgende was en dan nu een senior security expert is ofzo.
Ja, ik vind dat wel heel ingewikkeld.

Lucinda Sterk:
[1:08:31] Misschien meer een kort tijd als certificaten gehaald.

Randal Peelen:
[1:08:34] Kan allemaal.

Lisa de Wilde:
[1:08:35] Kan allemaal. Ja, ik vind het echt een heel moeilijk onderwerp, want ik vind er aan de ene kant heel veel van, maar weet ook niet een oplossing.
Want ook inderdaad certificaten halen.
Ja, wat zegt dat nou?
Heel veel mensen hebben nu allemaal titels achter hun naam staan.
En een heel deel daarvan zal ook gewoon echt een hele goede security expert zijn.
Daar twijfel ik niet aan, maar er zullen ook wel degelijk mensen tussen zitten die gewoon dat boek lezen en naar webinars en dat soort dingen gaan om hun studiepunten te halen. en die titel mogen dragen.

De complexiteit van het bepalen van expertise in de markt

[1:09:14] Dus ja, ik vind dat ik vind het wel gewoon echt heel ingewikkeld dat inderdaad nu soort van ja, je hebt ooit een computer aangeraakt, dus je bent nu een security expert.

Randal Peelen:
[1:09:23] Dat snap ik, maar dat is heel vaak bij jonge markten die goed betalen, standaard effect.
Dus daar ben ik niet verbaasd over, maar ik ben wel benieuwd.
Zie jij ook effectief in de praktijk dat bedrijven gewoon niet goed genoeg geholpen zijn? Want daar gaat het uiteindelijk om.

Lisa de Wilde:
[1:09:41] Ja, kijk, uiteindelijk ligt dat natuurlijk ook aan wat je lat is, maar ik heb wel regelmatig, wat ik daar zelf in merk is bijvoorbeeld, ik werk dus niet, ik doe geen opdrachten van 40 uur per week voor mijn klanten, want ik wil graag meerdere opdrachten per week doen.
Dus als een klant naar mij toe komt en zegt, Lies, ik heb deze opdracht voor jou, dan maak ik inschattingen hoeveel uren ik denk daarmee bezig te zijn per week. En als dat meer is dan ja wat ik doe, dan geeft dat ook bij de klant aan.
En wat ik daar heel erg in merk is dat de klanten zo gewend zijn dat ze veertig uur per week hebben, want dan pas kun je die kwaliteit, behalen van wat ze willen. Dat ik daarin wel merk van ja, die klanten zouden misschien ook wel beter geholpen kunnen zijn als ze een expert hadden gehad die bijvoorbeeld daar twee dagen per week vol enthousiasme mee aan de gang was gegaan. Het is niet alsof ik dan het werk...

Randal Peelen:
[1:10:34] Dit goed te snappen, beter dan iemand die wel 40 uur werkt, maar minder verstand van heeft.
Ja, dus dus de klant wil eigenlijk iemand die 40 uur werkt, maar de mensen die 40 uur bereid zijn te werken, zijn niet altijd de beste persoon voor de job.

Lisa de Wilde:
[1:10:50] Dat zou kunnen. Ja, kijk, ik ken natuurlijk niet alle ZZP'ers en alle mensen die daar die daarin zitten, maar er wordt wel heel erg gekeken naar hoeveel uren is iemand beschikbaar en welk certificaatje heeft die.

Lucinda Sterk:
[1:11:02] 80 uren is meer leidend dan de kwaliteit of de kennis die je hebt.

Lisa de Wilde:
[1:11:06] Maar de bedrijven weten vaak zelf ook niet wat of wie ze nou echt nodig hebben.
De aanvragen die voorbijkomen zijn zo vaak schapen met vijf poten of schapen met zeven poten.

Lucinda Sterk:
[1:11:19] En als je dan een beetje leuk weet te presenteren en een paar certificaatjes kunt oppoesten, dan kom je al snel binnen denk ik.

Lisa de Wilde:
[1:11:25] Als ik op de 40-uurs klussen zou reageren, ik denk dat ik bij 95% van die klussen niet aangenomen zou worden.
Want ik heb de certificaten niet.

Randal Peelen:
[1:11:38] Ja, en daar hebben we het helemaal nog niet gehad over van die brokers-achtige, bedrijven die clusteren.

Jurian Ubachs:
[1:11:44] Wat is dat?

Randal Peelen:
[1:11:44] Ja, dat moet Lisa even vertellen, denk ik dan, of Lucinda.

Lucinda Sterk:
[1:11:49] Ja, nee, dat is ook met name bij de Rijksoverheid heb je daar ook mee te maken.
Dat gaat om raamcontracten die de Rijksoverheden dan hebben met bepaalde leveranciers.
Dus als je dan de opdracht wil doen voor een Rijksoverheid, dan mogen ze je niet zomaar inhuren, ook al vinden ze jou de beste. Maar dan moet dat weer via een bureau, want dat willen we voorkomen om belangenverstrengeling en vriendsjepolitiek, dat willen we allemaal voorkomen natuurlijk.
Dus dan doen we het zo, maar dan gaat het allemaal via een omweg.
En die bedrijven die kennen jou helemaal niet. Die hebben allemaal geen weet van wat jij doet of wat je bent.
Dus je moet dan een briefje schrijven met precies de tekst die zij eigenlijk dicteren. Want dan heb je de grootste kans om de opdracht te krijgen.

Tussenpartijen en de kosten van raamcontracten

[1:12:31] En dan hoeven ze uiteindelijk niet zoveel te doen. maar ze slikken wel een deel van je salaris in.

Lisa de Wilde:
[1:12:37] Ja, dat is nog een gunstige situatie, want dan zit er één partij tussen.

Lucinda Sterk:
[1:12:40] Kan je meerder aan?

Lisa de Wilde:
[1:12:42] Ik niet, maar kennen wel mensen inderdaad.
Dan vraagt partij A 10 of 15 euro, en dan zit er nog een partij tussen die nog 5 euro vraagt, en dan zit er nog een partij tussen die 2,5 euro vraagt.
Je kan het op verschillende manieren uitleggen, maar de klant betaalt meer, of de ZZP krijgt minder. Dat is uiteindelijk wat er natuurlijk gebeurt.
En weet je, als mensen werken, vind ik ook wel degelijk dat ze daar geld voor moeten verdienen.
Alleen het moet wel uitlegbaar zijn. Dus wat doet dan zo'n tussenpartij voor jou?
Waarom moeten zij betaald krijgen? En wat is dat dan waard?

Randal Peelen:
[1:13:21] Ik voel een beetje aan dat we als met Nerds om tafel ooit in de toekomst nog een keer vaker in die cybersecurity wereld moeten duiken, want het is een bodemloze put van mooie verhalen. En tot die tijd wil ik jullie graag hartelijk danken.

Lucinda Sterk:
[1:13:34] Ja, graag gedaan.

Randal Peelen:
[1:13:35] Ga nog even naar de bonus aflevering toewerken als het u wil.
Maar voor die tijd zeg ik tot zover deze aflevering van Met Nerds Om Tafel.
En Met Nerds Om Tafel is een podcast door Jurrijan Ubars en mij, Randall Peden.
En onze panelleden zijn Esther Kramerdam, Sander Bijleveld en Ruert Sanders.
En al onze muziek wordt gemaakt door de mysterieuze Breakmaster Cylinder.
Onze gastnerds van vandaag, het waren er twee, Lucinda Sterk.
Dank voor je deelname. Waar kunnen mensen meer over jou te weten komen?

Lucinda Sterk:
[1:13:59] Op LinkedIn.
En daar kunnen ze ook mijn podcast vinden op onder andere Spotify, Apple Podcast.

Randal Peelen:
[1:14:04] All the single ladies.

Lucinda Sterk:
[1:14:05] Ah, het Cyberladies.

Randal Peelen:
[1:14:06] Heb je nog een boel van die All the single ladies? Cyberladies.
Cyberladies, ze zijn niet allemaal single.

Lucinda Sterk:
[1:14:12] Stickers? Zeker.

Randal Peelen:
[1:14:13] Ik ben weer stickers aan het rondsturen naar de clubhuisleden. Ja, ik heb ze bij me.
Ik kan de volgende keer ook wel wat envelopjes, zo'n roze sticker bij doen.

Lucinda Sterk:
[1:14:22] Zeker, zeker. Ja.

Randal Peelen:
[1:14:24] En jij Lisa de Wilde, waar ben jij te vinden? Op het wereldwijde web?

Lisa de Wilde:
[1:14:28] Op LinkedIn. en ik hoop niet in het echt voor een incident. Hooguit voor een bakkie koffie.

Randal Peelen:
[1:14:33] Nee, zo hoop je nooit te ontmoeten. Dat zou leuk zijn.
Meer informatie over ons is te vinden op onze website. Dat is mnot.nl en join onze Slack.
Daar gingen 2300 charmante, kapabele en heel gezellige nerds je voorwaarden.
Onder Lucinda en Lisa dus.
Word je nou vriend van de show? Dan krijg je toegang tot het Clubhuis.
Vier meetups per jaar, waar we gezellig samen komen, spelletjes doen enzovoort.
Stickers en biervultjes door je brievenbus. Dus dan moet je in het Clubhuis op de Slack even op die grote paarse knop stickers en bierfiltjes duwen.
Want ik kreeg laatst iemand van ja, je belooft altijd stickers en bierfiltjes, maar hoe bestel ik die dan?
Op de Slack in het kanaal bovenaan die grote paarse knop. Hij is niet te missen.
Hij is blijkbaar wel te missen, maar dat tezijde.
Je kunt de podcast luisteren dan zonder reclame eerder dan de rest.
En je krijgt elke week een malse bonus aflevering.
Je kunt vragen stellen aan de volgende gastnerds in het kanaal of vragen van de luisteraars. Voor nu hartelijk dank voor het luisteren en tot de volgende keer.