Opereren in de grey zone: digitale weerbaarheid als strategische noodzaak
![Persoon geeft een presentatie tijdens NLSecure[ID] event](http://images.ctfassets.net/zuadwp3l2xby/3ctTAPDinHQHYzsbLqD41O/24057b3852e033ae200032f0b7846fc6/Peter_Reesink.JPG?fm=webp)
Wat is de grey zone?
Peter beschrijft een wereld waarin spionage, sabotage en beïnvloeding geen incidenten meer zijn, maar vaste onderdelen van geopolitieke strategie. “Het is geen oorlog, geen vrede. We leven in een tijd die we ook wel de grey zone noemen.”
In die werkelijkheid worden conflicten niet uitsluitend uitgevochten met tanks en troepen, maar via netwerken, data en digitale besturingssystemen. Cyberaanvallen, heimelijke beïnvloeding van het publieke debat en digitale voorbereidingen voor sabotage horen daar nadrukkelijk bij. Het digitale domein is volgens Peter dan ook allang een actief strijdtoneel.
Concrete voorbeelden zijn er genoeg: denk aan Russische beïnvloedingscampagnes rond verkiezingen in Europa, datadiefstal bij Nederlandse instanties, en de afhankelijkheid van commerciële satellietdiensten in het conflict in Oekraïne. De grenzen tussen statelijk en niet statelijk, tussen publiek en privaat, vervagen snel. Dat betekent dat organisaties niet langer kunnen denken dat geopolitieke spanningen zich buiten hun invloedssfeer afspelen, waarschuwt Peter. Digitale infrastructuur is direct onderdeel van dat krachtenveld.
De digitale keten is kwetsbaar
Nederland is in hoge mate afhankelijk van digitale systemen. Energievoorziening, waterbeheer, logistiek, financiële infrastructuur en defensie draaien op netwerken en software. Die digitalisering heeft welvaart en efficiëntie gebracht, maar ook een structurele kwetsbaarheid.
Peter benadrukt dat 1 zwakke schakel in een keten voldoende kan zijn om bredere ontwrichting te veroorzaken. “Geen enkele organisatie, hoe groot of professioneel ook, kan de dreiging die op ons afkomt alleen het hoofd bieden.”
Dat geldt nadrukkelijk ook voor het midden- en kleinbedrijf. Juist kleinere organisaties beschikken vaak niet over dezelfde middelen als multinationals, terwijl zij wel integraal onderdeel zijn van vitale ketens. Een cyberincident bij een toeleverancier kan daarmee een systeemrisico worden.
Oorlogsvoering verandert exponentieel
De ontwikkelingen op het moderne slagveld illustreren hoe snel technologie de aard van conflicten verandert. Peter wijst op de inzet van autonome systemen en softwaregestuurde operaties in Oekraïne. Zo leveren duizenden drones dagelijks realtime data aan, en voeren onbemande systemen taken uit die voorheen alleen door militairen werden uitgevoerd.
Daarnaast speelt kunstmatige intelligentie een steeds grotere rol. AI verlaagt de drempel voor cyberaanvallen, verhoogt het tempo en vergroot de schaal. Desinformatiecampagnes kunnen sneller en geloofwaardiger worden opgezet. Deepfakes maken het moeilijker om feit en fictie te onderscheiden. Volgens Peter is investeren in technologie daarom onontkoombaar. “Op dat moderne slagveld is kennis en technologie allesbeslissend. Investeren wij niet, dan doen onze tegenstanders dat wel.”
Structurele maatregelen
De maatschappelijke onrust over digitale dreiging is zichtbaar. De oproep van de overheid om noodpakketten in huis te halen markeert volgens Peter een mentaliteitsverandering. Wat enkele jaren geleden nog werd weggelachen, wordt nu serieuzer genomen.
Maar fysieke noodpakketten zijn slechts een begin. Organisaties moeten nadenken over digitale noodscenario’s. Wat gebeurt er als systemen uitvallen? Welke processen kunnen tijdelijk op alternatieve wijze worden uitgevoerd? Welke afhankelijkheden bestaan er in de keten? Peter is duidelijk: “De vraag is niet of we worden aangevallen, maar hoe goed we zijn voorbereid.”
Dat vraagt om structurele maatregelen, van het continu patchen en updaten van systemen, het oefenen met crisisscenario’s, het analyseren van internationale incidenten, het vertalen van lessons learned naar de eigen organisatie, tot het trainen van medewerkers. De menselijke factor moet niet de zwakste schakel zijn, maar de eerste verdedigingslinie.
Een ‘whole-of-society’ aanpak
Een centrale boodschap in de keynote is dat veiligheid geen exclusieve taak van defensie of de overheid is. Digitale weerbaarheid vraagt om wat Peter een ‘whole-of-society’ aanpak noemt.
Dat betekent dat bedrijven niet alleen een ondersteunende rol hebben, maar mede verantwoordelijk zijn voor het geheel. Overheid, bedrijfsleven en kennisinstellingen zullen intensiever moeten samenwerken en hun activiteiten minder vanuit afzonderlijke silo’s moeten organiseren. Het delen van informatie is daarbij essentieel. Een cyberincident bij 1 organisatie kan waardevolle inzichten opleveren die onderdeel zijn van een breder dreigingsbeeld.
Als concreet voorbeeld noemt Peter de samenwerking tussen KPN en Defensie. Die gaat volgens hem nadrukkelijk verder dan een traditionele relatie: “Niet vanuit een klassieke klant-leverancierrelatie, maar vanuit strategisch besef.” De samenwerking is verankerd op topniveau, met jaarlijks strategisch overleg tussen de leiding van beide organisaties. Dat creëert vertrouwen en maakt het mogelijk om elkaar ook op andere momenten en onderwerpen te ondersteunen. Juist doordat die relatie vooraf is opgebouwd, kunnen partijen sneller en effectiever samenwerken wanneer dat nodig is.
Tegelijkertijd zijn er nog altijd juridische, organisatorische en culturele drempels die het uitwisselen van dreigingsinformatie complex maken. De opgave waar we nu voor staan is om die versnippering te verminderen en samenwerking niet incidenteel, maar structureel vorm te geven.
Structurele weerbaarheid als strategie
De vraag hoe we terugkeren van grijs naar wit, van schemergebied naar stabiele vrede, kreeg tijdens de sessie ook aandacht. Peter is hier realistisch over: we moeten ervan uitgaan dat de grey zone voorlopig blijft bestaan. Sommige statelijke actoren hebben er belang bij dat die situatie voortduurt en dat westerse landen intern verdeeld blijven.
Dat betekent dat wachten op normalisatie geen strategie is. Structurele weerbaarheid wel.
Voor bestuurders en CISO's ligt hier een duidelijke opdracht: cyberveiligheid moet integraal onderdeel zijn van strategische besluitvorming, ketenafhankelijkheden moeten inzichtelijk zijn, oefeningen moeten realistisch zijn, en samenwerking moet actief worden gezocht.
Digitale veiligheid is geen IT-project. Het is een gezamenlijke verantwoordelijkheid in een tijdperk waarin conflict zich steeds vaker afspeelt onder de radar. Alleen door samenwerking en structurele voorbereiding kan Nederland niet alleen overleven in de grey zone, maar er ook weerbaar in opereren.
