Met zijn antivirussoftware bindt hij sinds 1997 de strijd aan met de gevestigde namen. Maar de missie van Jevgeni Kaspersky gaat verder dan dat.
‘Hij is niet het prototype stugge Rus’, verzekert de PR-dame van tevoren. Daarmee is niets te veel gezegd: de 51-jarige Jevgeni Kaspersky – buiten Rusland ook bekend als: Eugene – is een spraakwaterval, die onvermoeibaar de aarde rondreist om zijn evangelie te prediken: bedrijven en lidstaten moeten niet alleen investeren in de beveiliging van de ‘kritische infrastructuur’ zoals dijken, energiecentrales en transport, maar ook in internetknooppunten. Anders gaat het goed mis: ‘Het worst case-scenario is dat terroristen offline en online criminaliteit gaan combineren voor hun acties.’
Management Team krijgt de kans om de ceo van het Kaspersky Lab te spreken na afloop van zijn keynote tijdens de International NCSC One Conference 2016 ‘Protecting Bits & Atoms’ in Den Haag. Daar was hij uitgenodigd vanwege zijn missie, die hij zelf omschrijft als ‘Het is ons werk om de wereld te redden. Dat is heel simpele boodschap, ook voor mijn personeel. We leven in een cyberwereld, de fysieke wereld bestaat niet meer. Onze wereld is half-cyber en die wereld is kwetsbaar.’
Wat wilt u de bestuurders en ceo’s die u wereldwijd spreekt vooral meegeven?
‘Ik merk dat bedrijven zich de afgelopen 5 jaar bewust zijn geworden van de kwetsbaarheid van hun netwerken. Maar ik voorzie het grootste probleem met de ‘kritische infrastructuur’: industriële objecten als energiecentrales, transporthubs en in het geval van Nederland: dijken en dammen. Het probleem is dat overheden zich wel bewust zijn van het probleem, maar niet weten hoe het op te lossen. Er is geen plan.’
Is het probleem op te lossen?
‘Allereerst: absolute veiligheid en zekerheid is niet te garanderen. Voor elk land en bedrijf geldt feitelijk hetzelfde. Stap 1 is: Wees je bewust en begrijp het probleem. Stap 2: Ontwerp een plan en een strategie. En stap 3: Implementeer de strategie. Een land als Nederland móét een nationale cyberstrategie hebben, een plan om de kritische objecten en kwetsbare plekken in het land te beschermen. Elk type object vraagt een andere aanpak.
͚Goed nieuws is prima. Slecht nieuws, dat is interessant"
Ontwikkel daarnaast centra van competenties. Als cyberexpert weet ik niet hoe een dijk of een waterkrachtcentrale of treinsysteem werkt. Een goede bescherming begint dus bij een goede samenwerking tussen de IT-engineers en de ingenieurs van de kritische infrastructuren. Bij grotere bedrijven zul je eerst veiligheids-audits en penetratietesten moeten uitvoeren. Organiseer daarna een aantal workshops en trainingen voor je personeel op het gebied van veiligheidsbewustzijn en veilig handelen.’
Een andere oplossing: wat vindt u van een aparte Chief Security Officer in de Raad van Bestuur?
‘Als eigenaar van bijvoorbeeld een energiecentrale zou ik een eigen IT-veiligheidsteam opzetten en hen verantwoordelijk maken voor de IT van het hele machinepark. Je moet weten wat er allemaal in het systeem gaande is, vanuit een IT-beveiligingsbril bekeken. Maar of het thuishoort in de bestuurskamer, dat hangt van de aard van de business af.’
Maakt het Internet of Things het (cyber)leven kwetsbaarder?
‘Ja, maar innovatie maakt het cyberleven ook beter en beter. Een van de grootste transportsystemen ter wereld is bijvoorbeeld nog steeds niet digitaal. De metro in New York, meer dan 100 jaar geleden ontworpen, wordt elektronisch en handmatig aangestuurd. Ze gebruiken soms nog een hendel om de metro te starten of te stoppen. Dat komt geen ‘cyber’ aan te pas.
Cyber is more safe, but less secure"
Dat systeem is niet per se veiliger, want mensen maken fouten. Cybertechnologieën maken minder fouten, want ze sluiten de menselijke factor uit. Maar cyber opent weer deuren voor aanvallen van buiten. Fysieke, oude systemen lopen dus minder cyberrisico, maar zijn ook minder beschermd. Cyber is more safe, but less secure. Cyber is qua ontwerp veiliger, maar in de praktijk werkt het op de verkeerde manier. Om een metafoor te gebruiken: de vloer van je huiskamer is met cyber minder glibberig, maar er staat geen hek om je huis heen.’
Hoe groot acht u de kans dat offline criminaliteit zijn intrede maakt in de cyberwereld? Een gijzeling bijvoorbeeld, om toegang te krijgen tot het netwerk van een kerncentrale?
‘Dat is een behoorlijk plausibel scenario. Ook terroristen dringen de cyberwereld binnen en zullen fysieke acties en cyberacties combineren. Dat levert natuurlijk angstaanjagende scenario’s op. Het zijn oude, criminele methoden die naar de cyberwereld worden gekopieerd.
’ Hoe zou u uw managementstijl omschrijven?
‘Vraag dat maar aan mijn medewerkers! Ik push mensen niet in de gebieden waarin ik zelf geen expert ben. Ik ben meer actief in gebieden waarvan ik zelf weet dat ik de beste ben. Ik ben van origine een techneut en ik vind het leuk om de PR te doen. Ik reis 200 dagen per jaar de wereld rond. Ik ben geen (micro-)manager. Wel zoek ik naar goede mensen. Voor het vinden van talent heb je soms twee tot drie pogingen nodig. Het kost tijd om de beste mensen te vinden. Mijn managementteams zijn zelf verantwoordelijk voor wat ze besluiten. Ik vertrouw hen. Als ze winnen, zijn het helden. Als ze verliezen, krijgen ze een kans om het te herstellen.
Het stelt me in staat om veel te reizen en dat is in deze business erg belangrijk. De cyberwereld is internationaal. Wat in Brazilië gebeurt, kan ook gebeuren in Nederland, Rusland of China. Overheden en bedrijven hebben te maken met dezelfde problemen. We zijn een internationaal bedrijf en overwegen een verhuizing naar Silicon Valley om aansluiting te vinden bij de tech-wereld daar.’
Is persoonlijk contact maken uw grootste kracht?
‘Het is mijn werk om voorlichting te geven en mensen enthousiast te maken. Mensen in een team dragen hun eigen verantwoordelijkheid. Bij ons ben je geen soldaat. Toen ik het boek van Richard Branson dacht ik: hé, we hebben dezelfde managementstijl (lacht). Teams moet hun eigen werk kunnen doen. Ik moet overal zijn om te weten wat er in diverse landen en regio’s aan de hand is en de meest veelbelovende technologieën te herkennen die voor dit bedrijf van belang zijn.’
Bent u als ceo bezig met de cijfers?
‘Zolang de cfo glimlacht, is dat goed nieuws. Ik check zeker de maand– en kwartaalresultaten, maar ik zit niet heel de dag aan de telefoon om mijn management te controleren. Ik weet zeker dat als er iets verkeerd gaat, ze me gaan bellen. Ik ben altijd op zoek naar slecht nieuws, heb geen interesse in het goede nieuws. Goed nieuws is prima. Slecht nieuws, dat is interessant.’
Stel: u krijgt een vliegtuigongeluk, wat gebeurt er dan met uw bedrijf?
‘Ik reis veel en op vakantie ga ik naar echt wilde bestemmingen. Dus de kans is groter dat ik door een grizzlybeer wordt opgegeten dan dat ik een vliegtuigongeluk krijg (lacht). Maar als ik er niet meer ben, gaat het bedrijf gewoon door. Ik heb vertrouwen in mijn jongens, hoe ze het bedrijf moeten ontwikkelen en ontwerpen.’
Hoeveel uur werkt u in de week?
‘Dat hangt ervan af. Soms werk ik weken achter elkaar. Na een intensieve week keer ik terug naar Moskou en lig ik 24 uur op de bank om bij te komen. Soms gaat het maar door en dan is het: stop! (lacht) Nu was het Israël, Londen, Den Haag, Utrecht, Moskou. Thuis lees ik een boek of speel ik Lego met mijn kinderen. En soms lig ik tijdens mijn reis een dag op het strand, te bakken als een zeekwal. Ik noem het jellyfishing.’
Vraag een gratis proefnummer aan
De meest recente papieren editie van Management Team, de laatste voor de zomer van 2016, staat helemaal in het teken van digitalisering. Ben je nog geen abonnee? Vraag deze editie dan hier aan als gratis proefnummer!
Tekst Wessel Simons
Fotografie Herman van Heusden