Prins richtte in 1999 het inmiddels bekende cybersecuritybedrijf Fox-IT op. In 2015 verkocht hij de onderneming en in 2017 stapte hij volledig uit. Prins werkte daarna bij de Onderzoeksraad voor de Veiligheid en bij de Nederlandse Toezichthouder Inzet Bevoegdheden. Die laatste organisatie bepaalt of Nederlandse inlichtingendiensten mogen overgaan tot afluisteren of hacken. In 2020 begon Prins samen met Jurjen Harskamp een nieuw bedrijf waar hij tot op heden voor werkt: Hunt & Hackett. De werkwijze is datagedreven en met behulp van onder meer kunstmatige intelligentie kan het bedrijf cyberaanvallen herkennen, ook als deze van een nieuw type zijn. Tot het klantenbestand behoren Nederlandse bedrijven die een verhoogd risico lopen op zware ransomware-aanvallen of spionage door, of in opdracht van, buitenlandse mogendheden.

Ronald, door het werk dat je met Hunt & Hackett doet, weet je als geen ander waar de cyberdreigingen voor Nederland precies vandaan komen en welke organisaties daar het meeste voor op moeten passen. Wat is het beeld dat jij hiervan hebt gekregen?

“Als je kijkt naar het type bedrijf dat risico loopt, betreft dat organisaties die zó ver gedigitaliseerd zijn dat ze er afhankelijk van zijn, terwijl er tegelijkertijd nogal wat boeven zijn die hun geheimen graag zouden willen achterhalen. Het varieert enorm waar deze bedrijven zich mee bezighouden. Van het plaatsen van windmolens tot offshore, kranenbouwers, biotech, kassenbouw en zaadveredeling. Wij leveren de technologie en de oplossingen aan deze organisaties. En mij valt altijd op dat China bij al die verschillende bedrijven probeert rond te kijken of er nog iets te halen valt.”

Kassenbouw en zaadveredeling zijn misschien niet direct de eerste sectoren waar mensen aan denken als het gaat over een risico op Chinese inmenging. Wat maakt deze sectoren zo interessant voor China?

“Het is niet gek dat veel mensen dan niet direct aan Chinese spionage denken. De betreffende bedrijven hebben namelijk liever niet dat hierover veel in de publiciteit komt, omdat dit niet in hun belang is. Maar de dreiging is er wel degelijk. Zo zitten in kassen allerlei computersystemen die regelen dat we in Nederland bijvoorbeeld de tomaten zo efficiënt mogelijk kunnen verbouwen. China is momenteel bezig zichzelf volledig onafhankelijk te maken van de rest van de wereld. Wij willen als exportland natuurlijk graag onze producten aan ze verkopen, maar zij willen het juist niet meer bij ons hoeven te halen en het gewoon zelf maken. De Chinezen hebben ingecalculeerd dat we in de toekomst misschien niet zulke goede vrienden meer met ze zijn, dus willen ze onze technologie bemachtigen om alles in eigen land te kunnen produceren. Het is de bedoeling dat ze straks zelf in staat zijn om de beste kassen neer te zetten en op een hoogwaardige manier zaden veredelen.”

 
Is Nederland bij uitstek een land waar ze in China naar kijken, of gaat dit in andere landen precies zo?

“Nederland is zeker één van de landen waar ze bovengemiddeld in geïnteresseerd zijn, want het is niet alleen een handelsland, maar minstens net zozeer een echt uitvindersland. Kijk bijvoorbeeld naar onze halfgeleidersector, hoeveel waarde dat voor onze economie heeft. Toch vergeten we nog te vaak om ons intellectueel eigendom goed te beschermen. We zijn daar echt nog te naïef in. De mindset is dan vaak: ‘Ze zullen dat toch niet zomaar van ons gaan stelen? En al hebben ze dan die data in handen, dan hebben ze nog steeds niet de mensen met expertise om daar ook iets mee te doen, dus het zal wel loslopen. En ik heb toch wel ‘iets’ van beveiliging, dat moet toch afdoende zijn?’ Dat klopt dus allemaal niet.”

Maar er is wel steeds meer aandacht voor dit thema. Zie je daardoor niet dat de urgentie bij een toenemend aantal bedrijven doordringt?

“Een positieve ontwikkeling die ik waarneem, is dat investeringsmaatschappijen er steeds vaker een punt van maken. Als die ergens tien of twintig miljoen in stoppen, hopen ze dat het over een aantal jaar veel meer waard is. Maar waardoor wordt die waarde vertegenwoordigd? Dat is toch echt het intellectueel eigendom. Om die reden willen investeerders natuurlijk wel eerst zeker weten dat dit goed is beveiligd en niet zomaar bij ze kan weglopen. Dat is waar wij ons met Hunt & Hackett dan ook primair op focussen, naast dat we organisaties uiteraard helpen zich te wapenen tegen de meer bekende dreigingen, zoals ransomware.”

 
Is het aanpakken van ransomware niet een totaal ander vakgebied dan het voorkomen van spionage door China?

“Het ligt in elkaars verlengde, want als je het ene goed aanpakt, wordt de kans ook kleiner dat je door het andere wordt getroffen. Ransomware is vaak heel opportunistisch. De mensen die daarachter zitten, scannen grote hoeveelheden netwerken om uit te vinden waar de kwetsbaarheden zitten en ze naar binnen kunnen komen en wat ze dan op slot kunnen zetten. Bij het stelen van intellectueel eigendom zie je dat de kwaadwillenden veelal een heel specifiek opdrachtenlijstje hebben. Daarop staat precies van welk bedrijf ze welke informatie moeten bemachtigen. Als het ze lukt, staat daar een beloning tegenover.”

Is te zeggen hoeveel bedrijven niet goed genoeg zijn voorbereid als ze doelwit worden?

“Een flink aantal bedrijven laat zich gelukkig helpen om zich tegen dit alles te wapenen. Door ons, of een ander bedrijf dat dit goed kan. Maar voor het gros geldt dit helaas nog niet. Dat wij in zo’n rijk land leven, komt voor een groot deel door de enorme kennis die we in huis hebben, want daar is onze export vooral op gebaseerd. Daarom roep ik de overheid op een veel grotere rol te pakken in het beschermen van die kennis. Het zijn nu met name de inlichtingendiensten die dit voor hun rekening nemen en zij zijn hier dagelijks mee bezig. Maar hun werkwijze is in mijn ogen nog te veel gericht op traditionele spionage, in een militaire of diplomatieke setting. We hebben nu geen echte industriepolitiek, maar die is echt nodig om in deze tijd onze economische belangen te beschermen. Helaas duurt het al veel te lang voor we eindelijk doorhebben dat we hierdoor onze sterke positie aan het verliezen zijn.”

Dus als we onze kennis niet beter beveiligen gaan we er op termijn economisch onder lijden?

“Uiteindelijk ga je er zeker omzet op verliezen, want zoals ik al aangaf: als China onze kennis in handen heeft, hoeven ze straks niets meer van ons te kopen. Dan valt een enorme markt weg. Daarom zouden bedrijven door de overheid op de hoogte moeten worden gesteld als er een dreiging is en ze een risico lopen. In het Verenigd Koninkrijk en Frankrijk zijn ze daar al heel ver mee. Een ondernemer krijgt in die landen een melding van de diensten als er een aanval is of dreigt en kan dan op tijd maatregelen treffen. In Nederland is het nu vooral belangrijk dat we wet- en regelgeving zo gaan vormgegeven dat we in staat worden gesteld onszelf afdoende te beschermen. Dat is soms moeilijk uit te leggen aan burgers, want er zitten altijd vraagstukken over bijvoorbeeld privacy aan vast. Toch is het noodzakelijk. Laten we dus duidelijk neerzetten voor welke keuzes we in dit geval werkelijk staan en wat de gevolgen zijn als we niks doen. Dan denk ik dat het begrip snel  zal toenemen.”