Gijs Roeffen: “De weaponization van kwetsbaarheden gaat sneller dan ooit”
Vanuit zijn rol bij, ziet hij dagelijks hoe innovatie aan de ene kant processen versnelt en aan de andere kant nieuwe kansen biedt voor kwaadwillenden. Zijn boodschap aan organisaties is dan ook zorgvuldigheid voor de basis, eigenaarschap en snelle operationele respons blijven de kern van weerbaarheid.
Waarom weerbaarheid wendbaarheid vraagt
Gijs waarschuwt dat de traditionele cyclus van ontdekken, patchen en mitigerende maatregelen te traag is geworden. “De weaponization van kwetsbaarheden gaat sneller dan ooit,” zegt hij. Volgens hem betekent dat organisaties hun detectie- en responsprocessen moeten herijken: niet alleen technologie toevoegen, maar vooral zorgen dat mensen en processen snel kunnen handelen en beslissingen nemen. Een focus op overzicht en verantwoordelijkheid is cruciaal: wie is eigenaar van welke systemen, welke afhankelijkheden bestaan er, en welke procedures zijn er voor acute maatregelen?
Voor IT- en securityteams betekent het: automatiseren waar het kan, maar niet blind vertrouwen op tools. Voor het bestuur betekent het: begrijpen dat technologische investeringen alleen zinvol zijn als ze gekoppeld zijn aan duidelijke operationele afspraken en bevoegdheden. In de praktijk ziet Gijs regelmatig dat organisaties veel geld uitgeven aan point-oplossingen, terwijl het overzicht over assets of toegangsrechten ontbreekt. Dat is precies waar aanvallers hun kansen vinden.
“De basis is nog steeds hetzelfde: weet wat je bezit, wie toegang heeft en wat de staat ervan is. Dat klinkt eenvoudig, maar juist daar gaat het mis.”
Een ‘hack’ die nergens op een dashboard verschijnt
Gijs beschrijft een incident dat dit probleem goed illustreert; criminelen plaatsten een bijna identieke kopie van de Castor-website onder een domein met twee r’s. De pagina bevatte een link naar een zogenaamd intakegesprek en vroeg sollicitanten via PayPal te betalen om ‘voor in de rij’ te komen. “Er was een domein geregistreerd met ‘Castor’ met twee r’s. Het was een identieke kopie van onze website, alleen stond er één zinnetje op de recruitmentpagina: ‘klik hier om je intake te plannen’. Sollicitanten betaalden via PayPal om ‘voor in de rij’ te komen.”
Managed Detection and Response-systemen (MDR) zijn niet ingericht om dit soort incidenten aan de kaart te stellen, maar iedereen ziet het wél als een beveiligingsprobleem. Ook de schade is groot, want gedupeerden schrijven negatieve reviews via Glassdoor over het echte bedrijf. Gijs benadrukt dat snelheid in detectie hier vooral organisatorisch is: signalen van gebruikers, juridische routes, en snelle communicatie met registrars en platformen waren noodzakelijk om de schade te beperken. De geleerde les: operationele paraatheid, creativiteit bij het zoeken van een oplossing en cross-functionele samenwerking zijn cruciaal.
Technologie helpt, maar mensen maken het verschil
Bij Castor wordt AI volop ingezet, maar nooit zonder menselijke controle. “We gebruiken AI volgens het principe van ‘human in the loop’. Elke code die naar productie gaat, moet worden nagekeken door een engineer. AI mag nooit zelfstandig beslissingen nemen.” Volgens Gijs is dat niet wantrouwen richting technologie, maar een bewuste keuze om verantwoordelijkheid te behouden. “Technologie mag ondersteunen, niet overnemen.”
Diezelfde nuchtere benadering geldt voor compliance. ISO, SOC2, NIS2 – allemaal nuttige kaders, maar geen garantie voor veiligheid. “Je kan elk certificaat op de muur hebben hangen, maar als je mensen niet begrijpen waarom iets belangrijk is, heb je nog steeds een zwakke schakel.” Voor hem draait volwassenheid in security niet om beleid, maar om houding. “Weerbaarheid is het resultaat van mensen die eigenaarschap tonen. Alles wat je aandacht geeft, groeit – ook veiligheid.”
Hij ziet dat leiders nog te vaak denken dat investeringen in tooling of frameworks genoeg zijn. Maar echte veiligheid ontstaat pas als kennis, gedrag en technologie elkaar versterken. “Compliance is het beginpunt, geen eindstation,” zegt hij. “De organisaties die het volhouden, zijn degene die elke dag een beetje beter willen worden – niet omdat het moet, maar omdat het hun werk beter maakt.”
Conclusie: weerbaarheid is operationele snelheid plus eigenaarschap
Voor Gijs Roeffen is cyberweerbaarheid geen product dat je koopt; het is een continu proces van weten, beslissen en handelen. Technologie helpt, maar zonder duidelijk eigenaarschap en snelle organisatorische besluitvorming blijft het risico groot. Organisaties die hun basis op orde hebben – overzicht, toegangsbeheer, en duidelijke responslijnen – zullen het beste gepositioneerd zijn om de steeds snellere dreigingen het hoofd te bieden.
“Security is geen sprint, maar een dagelijkse discipline.”
Het interview met Gijs Roeffen maakt deel uit van een breder onderzoek naar de staat van cyberweerbaarheid in Nederland, uitgevoerd door Security Innovation Stories in samenwerking met KPN. In het rapport delen tientallen securityprofessionals hun visie op innovatie, menselijk gedrag, techniek en de toekomst van digitale weerbaarheid.