Apeldoornse studenten kraakten deze week codes tijdens een cybersecurity-evenement in de stad. Het ging om een wedstrijdvorm waarin teams kwetsbaarheden zoeken en beveiligde opdrachten oplossen. Het doel was om talent te trainen en de digitale weerbaarheid van organisaties te vergroten. De lessen raken ook aan Europese regels, zoals de Europese AI-verordening gevolgen overheid en de NIS2-richtlijn voor cyberveiligheid.
Studenten testen digitale weerbaarheid
In Apeldoorn werkten teams van studenten samen aan realistische beveiligingspuzzels. Zij onderzochten zwakke plekken in webapplicaties en netwerkopstellingen in een afgesloten oefenomgeving. Zo leerden ze hoe cyberaanvallen ontstaan en hoe je ze kunt voorkomen.
De organisatie zette opdrachten klaar die stap voor stap moeilijker werden. De deelnemers moesten bijvoorbeeld versleutelde teksten ontcijferen en verdachte logbestanden uitpluizen. Dit type oefening vergroot het probleemoplossend vermogen en leert veilig werken onder tijdsdruk.
Voor lokale instellingen en bedrijven is dit relevant. Gemeenten, zorginstellingen en mkb-bedrijven hebben te maken met striktere Europese eisen. Als zij hun beveiliging willen opschalen, hebben ze juist dit type praktische kennis nodig.
CTF leert veilig hacken
De studenten namen deel aan een zogenoemde Capture the Flag (CTF). Dat is een spelvorm waarin teams digitale “vlaggen” zoeken door kwetsbaarheden te vinden in systemen. Het doel is leren denken als een aanvaller, maar handelen als een verdediger.
Typische CTF-onderdelen zijn webkwetsbaarheden, cryptografie en netwerkonderzoek. Webkwetsbaarheden zijn fouten in websites die misbruik mogelijk maken, zoals het omzeilen van inlogbeveiliging. Cryptografie draait om het versleutelen en ontsleutelen van informatie; deelnemers leren zo waarom sterke wachtwoorden en sleutels nodig zijn.
De wedstrijdomgeving staat los van echte productiesystemen. Zo worden geen persoonsgegevens geraakt en blijft schade uit. Dat maakt oefenen veilig en juridisch zuiver.
Capture the Flag (CTF): een oefenvorm waarbij deelnemers kwetsbaarheden in een gecontroleerde omgeving opsporen en ‘vlaggen’ verzamelen om punten te scoren.
AI helpt en beperkt tegelijk
Steeds vaker gebruiken studenten kunstmatige intelligentie als hulp bij analyse. Denk aan ChatGPT van OpenAI, Microsoft Copilot en Google Gemini, die code kunnen toelichten of scripts voorstellen. Zulke systemen, ook wel grote taalmodellen (LLM’s) genoemd, voorspellen tekst op basis van enorme hoeveelheden data.
Die hulp is nuttig voor het uitleggen van foutmeldingen of het genereren van testcommando’s. Maar de modellen kunnen ook fouten maken of “hallucineren”, dus antwoorden verzinnen. Daarom blijft verificatie met eigen testen en betrouwbare documentatie nodig.
De Europese AI-verordening (AI Act) stelt, op het moment van schrijven, transparantie-eisen aan generatieve AI. Publieke organisaties moeten opletten bij gebruik van zulke tools, zeker als burgers geraakt worden. In onderwijs en trainingen is het verstandig om geen gevoelige data in publieke chatbots te plakken.
NIS2 dwingt betere basis
De NIS2-richtlijn van de EU verplicht meer sectoren tot strengere cybersecurity. Denk aan energie, vervoer, zorg, en ook belangrijke toeleveranciers. Organisaties moeten risico’s beheersen, updates bijhouden en ernstige incidenten snel melden.
Voor Nederlandse instellingen betekent dit investeren in mensen, processen en testen. Oefensessies met CTF’s helpen teams om incidenten sneller te herkennen. Ze bouwen routine op in forensisch onderzoek en respons, wat rapportage binnen de termijnen ondersteunt.
Het Nationaal Cyber Security Centrum (NCSC) beveelt regelmatig testen en training aan als basismaatregel. Studenten die nu oefenen, vormen later het team dat systemen beveiligt en audits doorstaat. Zo sluit onderwijs aan op wat wet- en regelgeving vragen.
AVG vraagt strakke oefenopzet
Bij trainingen is privacy cruciaal. De Algemene Verordening Gegevensbescherming (AVG) verplicht tot dataminimalisatie en beveiliging. Daarom horen oefensystemen losse, synthetische data te gebruiken.
Organisatoren kiezen meestal voor afgeschermde netwerken en versleutelde opslag. Zo voorkomen zij dat logbestanden of testaccounts buiten de oefenomgeving belanden. Het verkleint ook het risico als deelnemers eigen laptops gebruiken.
AI-gebaseerde hulpen brengen extra aandachtspunten mee. Het is verstandig om gevoelige logs niet te uploaden naar publieke modellen zoals ChatGPT of Gemini. Een Data Protection Impact Assessment (DPIA) kan helpen om die keuzes vooraf te wegen.
Onderwijs voedt krappe markt
De arbeidsmarkt voor cybersecurity is krap. Bedrijven en overheden zoeken starters die tools en basisprincipes beheersen. Praktijkopdrachten en CTF’s versnellen die leercurve.
Samenwerking met regionale werkgevers maakt opdrachten realistischer. Studenten leren dan werken met ticketing, logging en responsible disclosure, dat is het netjes melden van gevonden kwetsbaarheden. Zo ontstaat ervaring die direct inzetbaar is.
Voor Apeldoorn en de regio betekent dit een stevigere talentpijplijn. Lokale organisaties profiteren van stagiairs en jonge professionals die met actuele methoden kunnen werken. Dat komt de digitale veiligheid van publieke diensten en mkb ten goede.
