Al jaren horen we dezelfde klaagzang in de Nederlandse tech- en e-commercesector: er is een schreeuwend tekort aan cybersecurity-experts. Vacatures staan maandenlang open, recruiters vechten om de weinige afgestudeerden en de salarissen rijzen de pan uit. Maar laten we als ondernemers even heel eerlijk zijn: dat talent is er wel degelijk. Het probleem is alleen dat ze al lang zijn aangenomen door de concurrentie. En met die concurrentie bedoel ik niet het IT-bedrijf om de hoek, maar de georganiseerde cybercriminaliteit.
De harde realiteit van de digitale onderwereld
Terwijl wij jonge IT'ers proberen te lokken met een leaseauto, een pingpongtafel op kantoor en een keurig startsalaris, biedt de digitale onderwereld iets veel verleidelijker: keiharde euro's en absolute anonimiteit. Ransomware-bendes en hackerscollectieven opereren tegenwoordig als strak geleide multinationals. Ze hebben eigen HR-afdelingen, lucratieve bonussystemen en werven proactief op obscure fora. Voor een slimme tiener met een laptop op een zolderkamer in Almere of Eindhoven is de keuze soms schrikbarend snel gemaakt. Waarom jarenlang in de schoolbanken zitten als je met één succesvolle hack op een bedrijfsnetwerk tienduizenden euro's in crypto kunt bijschrijven?
Waarom traditionele IT-opleidingen tekortschieten
Het echte probleem ligt bij ons onderwijssysteem. Onze MBO-, HBO- en universitaire IT-opleidingen lopen structureel achter de feiten aan. Tegen de tijd dat een curriculum is goedgekeurd door de onderwijsinspectie, zijn de behandelde hackmethodes alweer antiek. Bovendien ligt de focus in Nederland veel te vaak op theorie en compliance. We leiden studenten op om vinkjes te zetten voor de AVG en dikke risicoanalyses te schrijven, in plaats van ze te leren hoe ze een netwerk daadwerkelijk moeten verdedigen tegen een gerichte, agressieve aanval.
Zet de hacker voor de klas
Als we deze strijd willen winnen, moeten we het roer drastisch omgooien. We hebben een curriculum nodig dat is ontworpen en wordt gedoceerd door de mensen die de loopgraven van het internet kennen: de hackers zelf. Ethische hackers en cybersecurity-veteranen moeten de leiding krijgen over de praktijklessen. Alleen zij kunnen studenten leren denken als een aanvaller. Het gaat erom dat je leert hoe je systemen binnendringt, zodat je precies weet waar de zwakke plekken zitten als je ze moet beveiligen. Dit vereist een onorthodoxe aanpak waarbij we keiharde praktijkervaring zwaarder moeten laten wegen dan een traditionele lesbevoegdheid.
Wat dit betekent voor de Nederlandse e-commerce
Voor ons als ondernemers in de e-commerce en telecom is dit geen ver-van-mijn-bed-show. Webshops zijn absolute goudmijnen voor cybercriminelen. We verwerken dagelijks duizenden transacties en slaan bergen privacygevoelige klantdata op. Een datalek betekent niet alleen een torenhoge boete van de Autoriteit Persoonsgegevens, maar ook onherstelbare reputatieschade en verlies van klantvertrouwen.
We kunnen niet langer blind vertrouwen op geautomatiseerde beveiligingssoftware of een standaard firewall die door een externe partij is geïnstalleerd. We moeten investeren in mensen die de systemen van onze webshops en klantcontactcentra continu op de proef stellen. Door samen te werken met ethische hackers en te investeren in praktijkgerichte, 'offensieve' verdediging, beschermen we onze omzet. Het is de hoogste tijd dat we de hackers inzetten voor óns team, voordat de onderwereld ze definitief opslokt.