Erwin Maas heeft een zeldzame combinatie op zijn cv: ruim twintig jaar Koninklijke Marine, grotendeels op onderzeeboten, en nu Director Investigations bij Northwave Cybersecurity. In The Sentyron Standard legt hij uit waarom die wereld, waar fouten direct gevolgen hebben, verrassend veel zegt over cybercrises in het bedrijfsleven.
“De onderzeeboot is een pressure cooker,” zegt hij. In een kleine, complexe omgeving komt alles samen: techniek, menselijk gedrag, strakke procedures en continu risicobesef. “Als dat fout gaat, dan is de impact gelijk héél groot.” De kans op fouten blijft klein, maar niet door geluk. Dat komt door teamwork, rolvastheid en vooral veel trainen.
Crisis vraagt om één leider en een klein team
Opvallend is hoe hiërarchie aan boord werkt. Rang verdwijnt naar de achtergrond, omdat iedereen essentieel is. Tegelijkertijd is het op crisismomenten glashelder wie beslist. “Als het erop aankomt, is er maar eentje de baas.” Die directheid mist hij soms in organisaties tijdens een incident, waar ‘duizend meningen’ snel een vergadering in plaats van een besluitvorming opleveren.
In cybercrises ziet Erwin één dominante overeenkomst met incidenten op zee: chaos. Het verschil is voorbereiding. Defensie traint structureel volgens “train as you fight and fight as you train”. In veel organisaties is die reflex er minder, waardoor het begin van een incident vaak rommelig is. Hij zag crisisoverleggen met 36 mensen, omdat iedereen betrokken wil zijn. Zijn remedie is compact en praktisch: “Maak een klein beslisorgaan en regel de rest via informatievoorziening. ‘Wie is waarvan? Wie moet wat weten?’ En niet iedereen hoeft meteen aan tafel. Legal bijvoorbeeld is belangrijk, maar niet altijd op moment nul.”
Ook bestuurders spelen hierin een sleutelrol. Meestal positief, zegt hij, omdat ze kunnen uitzoomen en richting geven. Maar er zijn ook bestuurders die in de chaos duiken en daarmee het incident vertroebelen, zeker als ze technisch zijn. Erwin vertelt over een bestuurder die na een paar dagen opgebrand was en niet meer wist wat te doen. Zijn advies was onverwacht: ga zitten en doe even niets. “Gewoon twee uur lang in je kantoor… en helemaal niks doen. Het resultaat: mensen kwamen naar hem toe in plaats van andersom, en de structuur kwam terug.”
Need to know en cryptografie als basis voor weerbaarheid
Een tweede les uit de onderzeebootwereld is omgaan met informatie. Geheimhouding is daar geen formaliteit, maar een manier van werken. “Je hebt allerlei data die rondgaat die niet voor iedereen te ontsluiten is.” Niet omdat mensen niet te vertrouwen zijn, maar omdat het principe simpel is: niet iedereen hoeft alles te weten. In het bedrijfsleven ziet Erwin vaak het omgekeerde. Iedereen wil overal bij, en juist dat maakt data kwetsbaar. Bij ransomware wordt dat pijnlijk zichtbaar: gestolen bedrijfsinformatie en persoonsgegevens zijn waardevol voor criminelen. “Dat niet iedereen alles weet, dat hoeft ook helemaal niet. Als ik alles weet, dan maakt het me ook wel eens moe.”
Cryptografie speelt in beide werelden een hoofdrol. Op een onderzeeboot is veilige communicatie essentieel om onzichtbaar te blijven. Erwin noemt een missie tegen piraterij bij Somalië, waar een onderzeeboot als early warning fungeerde en een fregat “net over de horizon” kon ingrijpen. Dat werkte alleen als berichten niet af te luisteren waren. Het is dezelfde logica die je nu in ransomware terugziet: data is een drukmiddel geworden. Als je data goed beschermt, ontneem je aanvallers leverage. “Tegenwoordig zien we dat die data net zo belangrijk is.”
Compliance is niet hetzelfde als weerbaarheid
Dan het verschil tussen compliance en echte weerbaarheid. Erwin is er scherp over: “Dat is vinkjes zetten versus eigenaarschap.” ISO-certificering kan bestaan naast basale gaten zoals geen MFA of zwakke wachtwoorden. Voor hem begint weerbaarheid bij de basis, niet bij papier. Zijn metafoor is helder: “Rookmelders helpen niet als je overal open vuur blijft steken.”
Tot slot raakt hij aan digitale autonomie. De urgentie voelt groter door geopolitieke onvoorspelbaarheid, maar hij prikt door holle slogans heen. Autonomie organiseren vraagt investering, kennisopbouw en de bereidheid om comfort in te leveren. Veel organisaties kiezen nog steeds voor beschikbaarheid en gemak. Als je soevereiniteit écht belangrijk vindt, moet je accepteren dat iets soms minder soepel werkt.
De rode draad in alles wat Erwin zegt is eenvoudig en confronterend: “Bereid je voor alsof het een keer écht misgaat. Train, maak rollen scherp, bescherm informatie met need to know, en breng crisisvoering terug tot een klein team dat kan besluiten.” Of zoals hij het vanuit de onderzeebootwereld meeneemt naar het digitale domein: “Als je weet wat je moet doen, wordt chaos iets wat je organiseert, niet iets wat je overkomt.”
Beluister de volledige aflevering van Erwin via Spotify, of bekijk ‘m via YouTube.