Je studeerde geschiedenis. Hoe beland je dan in cybersecurity?

“Eigenlijk via een omweg die achteraf logisch lijkt. Na mijn master Europese Studies startte ik als stagiaire bij de Europese Commissie, waar ik daarna als consultant bleef en meewerkte aan de oprichting van het Europese Drugsagentschap. Ik reisde veel voor de uitbreiding naar Oost-Europa, maar met een pasgeboren kind werd dat moeilijk. Daarom stapte ik over naar Unisys, waar ik twaalf jaar Europese IT-projecten leidde, vooral als brug tussen business en technische teams. Dat inzicht, dat communicatie cruciaal is in technische omgevingen, is altijd mijn rode draad gebleven. In 2011 begon ik als manager van het Belgian Cybercrime Center of Excellence aan de KU Leuven. Dat project bracht academici, politie, justitie, juristen, psychologen samen met experten uit bedrijven en leidde mee tot de oprichting van de Belgian Cybersecurity Coalition. In 2016 vroeg de Commissie me om hun cyberawarenessprogramma te leiden. Dankzij mijn netwerk en ervaring was dat een perfecte match. Het programma bestaat dit jaar tien jaar, net als het cybersecuritydirectoraat.”

Van geschiedenis naar cybersecurity is toch een ongewone stap?

“Eigenlijk niet, als je erover nadenkt. Geschiedenis leert je bronnen vergelijken, de waarheid boven water halen, zien welke bron betrouwbaar is. Het is niet omdat iedereen dezelfde bron gekopieerd heeft, dat die bron klopt. Dat is nu relevanter dan ooit, met AI en alles wat online circuleert. Kritisch denken is de basis. En ik ben zeker niet de enige die via een niet-technische achtergrond in cybersecurity terechtgekomen is. Binnen de sector zijn er tientallen rollen die geen IT-diploma vereisen: auditing, juridisch advies, dataprotectie, riskmanagement, communicatie, opleiding. ENISA heeft samen met de lidstaten een European Cybersecurity Skills Framework opgesteld dat al die rollen beschrijft: welke taken erbij horen, welke kennis, vaardigheden en competenties nodig zijn, op welke niveaus. Dat framework wordt nu door opleidingsorganisaties gebruikt om hun cursussen aan te koppelen, zodat iedereen dezelfde taal spreekt. Het bestaan van zo’n document is ook een erkenning dat cybersecurity een multidisciplinair veld is, geen exclusief domein van technici.”

Wat doet het CyberAware-programma precies?

“We zijn met tien mensen verantwoordelijk voor de cybersecuritycultuur van zo’n 45.000 medewerkers bij de Europese Commissie. Dat betekent: trainingen, campagnes, phishing-oefeningen, gamified modules van tien minuten, workshops, lunchtalks, en events tijdens de Europese Cybersecuritymaand,… alles om zoveel mogelijk medewerkers te bereiken. Dat is cruciaal: klassieke klastrainingen werken niet meer. Mensen leren op verschillende manieren, dus bieden wij verschillende formats aan. We starten onze sessies altijd met het ontkrachten van mythes, vooral de gedachte: ‘Ik ben niet belangrijk genoeg om aangevallen te worden.’ Iedereen met toegang tot het systeem is een potentieel doelwit: niet om wie ze zijn, maar om welke deur ze openen. Technisch zijn systemen steeds beter beveiligd, dus richten aanvallers zich nu op mensen. Zij zijn onze ‘first line of defence’ die onze organisaties mee beschermen.

En naast de Commissie zelf?

“Sinds 2024 geldt er een Europese verordening (vergelijkbaar met NIS2) voor alle EU-instellingen. We moeten dus zelf voldoen aan de normen die we opleggen. Er is een Interinstitutional Cybersecurity Board opgericht, ondersteund door technische werkgroepen. Ik leid de groep rond de menselijke factor. Daarin werken zo’n dertig instellingen samen: kennisdeling staat centraal, geen competitie. We bundelen materiaal, organiseren gezamenlijke events en vergelijken expertise en maturiteit. We organiseren jaarlijks een ‘interinstitutional kick-off event for the European Cybersecurity Month’. Daarnaast ben ik expert in de Ad Hoc Working Group on Awareness Raising and Cyber Hygiene van ENISA, alsook in de Belgian Cybersecurity Coalition, waar we onder meer een opleiding voor cybersecurity awareness and culture managers hebben opgezet, iets wat voordien niet bestond.”

Hoe meet je het effect van al die bewustmaking?

“Dat is de hardste noot om te kraken… en ik zeg dat na tien jaar. Ik ga al die tijd naar conferenties, luister met grote verwachtingen naar sprekers over KPI’s in awareness-raising, en ik leer er bijna nooit iets bij. Niet omdat die sprekers slecht zijn, maar omdat het probleem zo moeilijk is, het gaat om gedragsverandering. Je kunt meten hoeveel mensen een training hebben gevolgd. Maar weten ze het nog na een maand? Na een jaar? Passen ze het effectief toe? We hebben getest of een training een week voor een phishing-oefening een ander effect heeft dan een training een maand ervoor. Er was geen significant verschil. Dus wat werkt dan wel? Wat ik geloof: herhaling en diversiteit in aanpak. Geen één grote jaarlijkse training, maar regelmatige kleine impulsen op verschillende manieren. Een korte module hier, een phishing-oefening daar, een workshop over je digitale voetafdruk elders. Onze Digital Footprint-workshop, waarbij we mensen laten opzoeken wat er allemaal van hen online te vinden is, is elke keer een eye-opener. Met volledig legale tools, via een gewone zoekmachine, vind je soms verbluffend persoonlijke informatie over mensen, inclusief sollicitanten. Dat confronteert mensen meer dan welke slide ook. En dan zijn er de incidentoefeningen: je simuleert een aanval en kijkt hoe de organisatie reageert. Zijn onze procedures actueel? Weet iedereen zijn rol? Wie vergeet wat? In zo’n oefening ontdek je bijvoorbeeld dat je het management niet hebt geïnformeerd en dat die het nieuws uit de pers vernemen. Dat is pas confronterend. Beter geoefend dan verrast in een echte crisis.”

Maar ook de dreiging evolueert snel. Hoe kijk je naar de rol
van AI daarin?

“AI versnelt zowel aanvallen als verdediging. Aanvallers kunnen nu phishing maken zonder fouten, gepersonaliseerd en vaak niet meer te onderscheiden van echte communicatie. Met alle data die online te vinden is, worden zulke berichten bijzonder overtuigend. Deepfakes maken het nóg moeilijker: er zijn al gevallen waarin mensen dachten met collega’s te videobellen en zo tot transacties werden aangezet. In onze context ligt het risico eerder bij spionage dan bij geld, maar de impact kan even groot zijn. Tegelijk helpt AI ons ook: het analyseert logbestanden sneller, kan trainingsmodules genereren op basis van interne documenten en ondersteunt medewerkers bij het beoordelen van verdachte mails. Op het Forum InCyber (FIC)  zag ik bijvoorbeeld een AI-assistent die stap voor stap uitlegt waar je op moet letten. Dat soort tools is veelbelovend. Maar ze vervangen nooit het menselijke oordeel. Hoe meer we vertrouwen op automatisering, hoe belangrijker het blijft dat mensen zelf kritisch blijven nadenken.”

Dat klinkt als een fundamenteel dilemma?

“Klopt. Dat speelt breder dan cybersecurity. Als AI foutieve maar overtuigende content genereert, wie controleert dat nog? En leren mensen nog zelf nadenken als tools altijd antwoorden geven? Dat baart me zorgen. Ik zie dagelijks hoe zelfs slimme mensen misleid worden. Daarom focussen wij in trainingen niet alleen op IT, maar op gedragspsychologie: hoe mensen beslissingen nemen onder druk. Awareness gaat niet over regels, maar over gedrag veranderen, en dat lukt niet met één training per jaar.”

Wordt er vandaag genoeg geïnvesteerd in cybersecurity,
en specifiek in awareness?

“Het belang van cybersecurity wordt vandaag erkend, ook politiek: een grote stap vooruit tegenover tien à vijftien jaar geleden. Nieuwe wetgeving zoals NIS2 en DORA verplicht organisaties om na te denken over hun veiligheid. Grote aanvallen (zoals WannaCry, of die op Stad Antwerpen) maken het tastbaar en verhogen de bewustwording. Toch blijven budgetten achter en is awareness vaak het eerste slachtoffer van besparingen. Onterecht, want een firewall helpt niet als iemand zijn gegevens invoert op een nepwebsite, en dat gebeurt nog vaak, zoals phishingtests aantonen. Daarnaast ontbreekt het veel organisaties, zeker kmo’s, aan een duidelijke strategie. Ze weten niet waar te beginnen en externe hulp is duur. Tools zoals de guides van de Belgian Cyber Security Coalition helpen om prioriteiten te stellen: je kunt niet alles tegelijk doen, maar niets doen is geen optie.”

Je bent ook bestuurslid van Women4Cyber Belgium. Hoe verhouden gender en cybersecurity zich?

“Er is een ernstig tekort aan cybersecuritypersoneel. Dat tekort groeit, want de vraag groeit sneller dan de opleidingen kunnen bijbenen. Meer vrouwen aantrekken is een van de structurele antwoorden, maar het vereist actief beleid. Ik ben zelf het bewijs dat je geen informaticus hoeft te zijn om een zinvolle rol te spelen. Maar vrouwen kiezen die weg minder snel, om complexe redenen. Dan zijn er de conferenties, panels, evenementen,… nog altijd overwegend mannelijk. Ik probeer in mijn eigen kick-off event van de Cybersecuritymaand altijd een evenwichtige samenstelling te hebben, en vorig jaar was dat 50-50 zonder dat ik er buitensporig moeite voor moest doen. Maar dat vraagt een bewuste reflex: actief zoeken naar vrouwelijke sprekers, en ook van mannelijke collega’s vragen om niet in te gaan op een paneluitnodiging als er geen vrouwen bij zitten. Er zijn mannen die dat doen, en ik waardeer dat enorm. SheSpeaksCyber heeft een database waar vrouwen zich kunnen inschrijven als spreker, met hun expertisedomeinen. Want een van de meest gehoorde excuses is: “We vonden geen geschikte vrouwelijke spreker. Die vrouwen zijn er en ik vind het belangrijk dat zij ook een podium krijgen.”

Helpt reskilling: mensen vanuit andere sectoren omscholen
naar cyber?

“Absoluut. Programma’s zoals CyberWayFinder tonen dat motivatie de sleutel is, niet diploma of voorkennis. Wie echt wil, slaagt en wie verplicht wordt, minder. Dat botst soms met gesubsidieerde trajecten waar selectie minder op motivatie gebeurt. Binnen de Commissie heb ik een reskillingprogramma gelanceerd met veel vrouwelijke deelnemers. Zij bereiden zich grondig voor, stellen vragen en schrijven sterke motivaties. Die kritische houding maakt hen sterke profielen. Zulke initiatieven zijn nodig, en zorgen voor nieuwe cohorten cyber experts.”

Je ontving vorig jaar de titel van Cybersecurity Personality of the Year. Wat betekende dat voor jou?

“Het gaf me echt vertrouwen. Er waren vijf finalisten: vier mannen en ik. Ik had mezelf meteen als excuustruus weggezet, eerlijk gezegd. Een vrouw erbij voor de balans. Toen ik won, was ik dan ook blij verrast! Ik denk wel dat ik goed werk lever, maar zo’n externe erkenning bevestigt dat zwart op wit, op een moment dat het veel betekende. De prijs was een moment van waardering dat je soms broodnodig hebt.”

Waarom zijn rolmodellen zo belangrijk in de sector?

“Rolmodellen laten zien dat succes in cybersecurity haalbaar en bereikbaar is voor iedereen, ook voor vrouwen die zich vaak minder vertegenwoordigd voelen in dit vakgebied. Door vrouwen zoals Despina Spanou, Europees top cybersecurity ambtenaar, en andere vrouwelijke collega’s zichtbaar te maken, ontstaat herkenning en inspiratie. Hun verhalen tonen dat je niet van nature in het veld hoeft te passen, maar dat je het kunt leren, groeien en een leidende rol kunt opnemen. Daardoor verlagen rolmodellen de drempel voor nieuw talent en vergroten ze de motivatie om dit pad te volgen.”

Wat wil je meegeven aan wie dit leest?

“Denk twee keer na voor je klikt. Vertrouw je buikgevoel: als iets niet klopt, rapporteer het dan. Ik heb zelf al legitieme mails gerapporteerd die achteraf correct bleken te zijn, en dat is prima. Liever één keer te veel melden dan één keer te veel klikken. En stel jezelf voor je iets online plaatst de vraag: zou ik dit op straat willen gooien? Want dat is letterlijk wat je doet. Die foto, die persoonlijke informatie, die opinie: eens online is ze weg. Als je niet zeker bent of je account voldoende beveiligd is om die informatie enkel voor vrienden zichtbaar te maken, ga er dan van uit dat ze openbaar is. Cyberveiligheid is geen zaak van de IT-afdeling. Het is een gedeelde verantwoordelijkheid: van elk individu, van het management, van de organisatie als geheel. Als het management niet begrijpt dat cybersecurity een businessprobleem is (niet alleen een technisch probleem), is het bijna onmogelijk om het door te voeren in de rest van de organisatie. Maar als de cultuur klopt, als mensen weten wat de dreigingen zijn en hoe ze er mee om kunnen gaan, als ze niet bang zijn om fouten te melden, dan ben je al een heel stuk verder. Dat is waar ik elke dag aan werk.” •