Melanie Rieback (Cleveland (VS), 1978) is de Wonder Woman van de cybersecurity. In 2019 werd ze uitgeroepen tot een van de negen meest innovatieve vrouwen in de Europese Unie. Rieback is een zelfbenoemde nerd. Maar wel een nerd die zich voor veel meer dan alleen technologie interesseert. Ze is medeoprichter en CEO van Radically Open Security (ROS), ’s werelds eerste non-profit cybersecurity consultancy, zoals de website vermeldt. Dat het een bedrijf met idealen is, is juist een voordeel in de markteconomie, denkt Rieback. ‘Onze idealen maken ons juist concurrerend.’

Melanie Rieback studeerde computerwetenschap aan de universiteit van Miami en de TU Delft, en promoveerde aan de Vrije Universiteit Amsterdam, waar ze docent computerwetenschap werd, gespecialiseerd in cybersecurity. Daarna werd ze hoofdonderzoeker bij het Cyber Security Incident Response Team van de ING – zeg maar het brandweerteam van de computerbeveiliging.

Maar ze raakte er enorm gefrustreerd. Elke keer als zich een beveiligingsincident had voorgedaan, kwam er een cybersecuritybedrijf van buitenaf binnen. Dat bood een grote kans, vond Rieback, want ze kon veel van die bedrijven leren, ze zouden kennis kunnen uitwisselen en samen zorgen dat de digitale wereld steeds veiliger zou worden. Maar deze bedrijven hadden andere belangen. Cybersecuritybedrijven wíllen je onwetend houden, merkte Rieback. ‘Ze gebruiken dezelfde open source tools als iedereen, maar willen niet dat je dat weet, omdat ze proberen hun klanten zo afhankelijk mogelijk te maken. Ze denken dat het in hun belang is om hacking en computerbeveiliging op zwarte magie te laten lijken. Maar dat is niet in het belang van klanten. Ik zag een gat in de markt. Daarom verliet ik ING om Radically Open Security op te richten.’

Banken en andere grote bedrijven huren ROS in om hun organisatie te hacken en te weten te komen waar hun computerbeveiliging faalt. Het team van ROS vindt altijd een lek. Altijd. Hebben ze dat eenmaal gevonden, dan delen ze niet alleen dat lek, maar ook de weg ernaartoe. Klanten kunnen gedurende het hele proces precies zien waar het ROS-team mee bezig is. Ze kunnen vragen stellen, en het ROS-team vertelt hoe ze het probleem kunnen verhelpen. Alles om de digitale wereld zo veilig mogelijk te maken.

Probeert u zo het verdienmodel van de cybersecurity-industrie te hacken?

‘Ondernemen is een van de meest effectieve vormen van activisme. De aanwezigheid van een niet-commerciële entiteit op de commerciële markt heeft de neiging de lat voor het gedrag van de gevestigde partijen hoger te leggen. Toen ik mensen voor het eerst vertelde dat ik een non-profit bedrijf wilde beginnen, raakten ze in de war. Ze dachten dat ik dingen gratis weg wilde geven. Maar zo is het niet. We zijn een sociale onderneming. We verkopen dingen voor marktconforme prijzen, maar we geven 90 procent of meer van de winst aan goede doelen. De laatste 10 procent is de cashflowbuffer, dat is wat nodig is om een ​​bedrijf te runnen.

Nu, ruim acht jaar later, hebben we een succesvol, internationaal, prijswinnend bedrijf met vijftig stafleden en honderden klanten, waaronder grote namen. We hebben bijna 750.000 euro aan NL Net Foundation gegeven, een stichting die zich inzet voor een vrij en open internet. De zaken gaan uitstekend. Het bedrijf groeit als kool. De echte moeilijkheid zit voor ons in het handhaven van het kwaliteitsniveau. Groei is in zekere zin een bedreiging die moet worden beheerst.’

SEMI-DISFUNCTIONEEL KARKAS

Na Radically Open Security stortte Rieback zich op wat ze noemt postgrowth entrepreneurship.

Wat is er mis met de huidige vorm van ondernemerschap?

‘De kern van het probleem is extractie. Winst heeft namelijk twee betekenissen. De eerste is dat je een winstmarge op je product of dienst hebt, die je kunt herinvesteren in je bedrijf. Dat is fundamenteel om een gezond bedrijf te zijn. In de tweede betekenis van winst gaat het om financiële extractie, het onttrekken van middelen aan de onderneming, om bijvoorbeeld privévliegtuigen of Lamborghini’s te kopen. Dat is ongezond voor het bedrijf. Investeerders onttrekken kapitaal aan bedrijven. Zodra je kapitaal afneemt van investeerders, ben je afhankelijk en heb je als ondernemer opeens bazen. De kapitaalinvesteerders beginnen de prioriteiten te bepalen. Dat zie je sterk terug in het huidige start-up-ecosysteem. Als je start-ups op deze manier financiert, behandel je ze in feite als plofkippen. Je voedt ze gedwongen met veel investeringskapitaal om ze groot en sappig en aantrekkelijk te maken, tot het moment dat ze worden geliquideerd, als ze naar de beurs gaan of worden doorverkocht. Dan wordt de waarde eruit getrokken en houd je een semi-disfunctioneel karkas van een bedrijf over.’

GELDSPOREN

Wat Rieback beschrijft, zie je terug bij unicorns zoals WeWork en Gorillas: jonge techbedrijven die in de afgelopen jaren zijn volgepompt met kapitaal van durfinvesteerders, wat weer is opgehaald bij pensioenfondsen. Zo werden die bedrijven agressief uitgebouwd over de hele wereld. Flitsbezorgers als Gorillas, Flink en Zapp schoten overal als paddenstoelen uit de grond en veranderden het stadsleven bijna van de ene op de andere dag. Ze kregen miljardenwaarderingen op de beurs zonder ooit winst te hebben gemaakt, met een nauwelijks levensvatbaar verdienmodel, zonder uitzicht op winst in de nabije toekomst.

Toen in de eerste helft van 2022 de rentes snel opliepen en een recessie dreigde, droogde het geld op de financiële markten op en raakten dit soort bedrijven massaal in de problemen. Duizenden mensen die de twee jaar ervoor aan boord waren getrokken, werden in de zomer van 2022 weer ontslagen. ‘Het probleem met unicorns is dat 90 procent verlieslatend is, altijd is geweest en waarschijnlijk altijd zal blijven,’ zegt Rieback.

Dat is toch het risico voor de ondernemers?

‘Het probleem is dat we niet vaak genoeg vragen: wiens geld zijn ze aan het uitgeven? Als je de geldsporen gaat volgen, in elk geval in de VS, blijkt 65 procent van het geld dat durfkapitalisten investeren van onze pensioenfondsen te komen. Als we een systeem hebben waarin 90 procent van de start-ups het niet overleeft, krijgen pensioenfondsen geen rendement en functioneert het systeem niet.’

‘We proberen de commerciële markt te koloniseren. Door marktaandeel te veroveren, proberen we geld weg te leiden uit die extractieve economie.’

Waarom houdt een hacker zich eigenlijk zo gepassioneerd bezig met dit soort macro-economische ontwikkelingen?

‘Ik zit al twintig jaar in cybersecurity. Ik hou nog steeds van cybersecurity en natuurlijk hou ik van hacken. Maar tegelijkertijd voel ik soms frustratie. Ik heb een groot deel van mijn carrière besteed aan het bouwen van privacy-verhogende technologieën, om ons te beschermen tegen Facebook, Microsoft, Google en Amazon. Maar op een gegeven moment begon ik te beseffen dat ik technologische pleisters aan het plakken was voor problemen die veroorzaakt worden door verdienmodellen. Ik realiseerde me dat het waarschijnlijk effectiever is om bedrijfsmodellen met bedrijfsmodellen te bestrijden.’

NIET-EXTRACTIEVE BEDRIJVEN

Rieback begon over economie te lezen. ‘Ik kwam de Britse econome Kate Raworth tegen, voor velen de gateway naar de nieuwe economie. Daarna vond ik vele andere denkers, Tim Jackson bijvoorbeeld, en plotseling begon ik een stap achteruit te doen en naar het grotere geheel te kijken. Toen besloot ik om Nonprofit Ventures en Postgrowth Entrepreneurship te beginnen, om andere oprichters te helpen om ook niet-extractieve bedrijven op te richten.’

Hoe is ondernemerschap een vehikel voor postgrowth?

‘Postgrowth zegt in wezen dat er grenzen zijn aan groei. We hoeven groei niet ons hoofddoel te maken. Groei is meer een bijproduct van iets doen van sociale waarde. Het zou moeten gaan om ecologische limieten en sociale fundamenten. Maar die abstractielaag moet je vervolgens vertalen in actie. “Innovatie” van techbedrijven betekent tegenwoordig het in geld omzetten van menselijke relaties en algemeen goed – de commons. Facebook bijvoorbeeld zet onze vriendschappen om in geld. Postgrowth ondernemerschap is precies het tegenovergestelde. Je neemt de economie en probeert die te gebruiken om de commons opnieuw op te bouwen. Met postgrowth ondernemerschap probeer je de menselijke relaties die zijn gebruikt om winst mee te maken, juist weer te ontcommercialiseren.’

Hoe doe je dat dan?

‘We proberen de commerciële markt te koloniseren. Door marktaandeel te veroveren, proberen we geld weg te leiden uit die extractieve economie. Dat geld gebruiken we dan om bijvoorbeeld dingen open source te maken. Dat wil zeggen dat het openbaar wordt, het is niet meer in privé-eigendom. Het open source maken van zoveel mogelijk dingen maakt deel uit van het herbouwen van de commons en menselijke relaties steeds meer ontdoen van winst maken.’

VOLLEDIG VERKNOEID

Rieback is een hacker, ze zoekt naar gaten in het systeem. Dat doet ze op verschillende niveaus. Er is Rieback de ethische, digitale hacker, die betaald wordt om organisaties te hacken. Dat doet ze nog steeds in de eerste plaats. Cyber security is haar beroep, leidinggeven aan Radically Open Security is haar voornaamste tijdsbesteding. Dan is er Rieback de hacker die het verdienmodel van een extractieve industrie probeert te hacken. En dan is er nog de hacker op macroniveau, die het economisch systeem wil hacken. Want inmiddels heeft ze haar pijlen ook op de financiële markten gericht.

‘Het probleem is dat corporate governance – de regels voor goed en eerlijk bestuur van bedrijven – volledig is verknoeid. Met het bezit van aandelen komt stemrecht om over het beleid van het betreffende bedrijf mee te beslissen. Verreweg de meeste aandelen op de financiële markten zijn in handen van immense institutionele beleggers: pensioenfondsen, verzekeringsfondsen, investeringsmaatschappijen. De meeste van deze institutionele beleggers zijn lui, want het proces van corporate governance en het stemmen over het beleid van al die bedrijven waar ze inspraak in hebben, hebben ze uitbesteed aan eigenlijk slechts twee bedrijven wereldwijd. Het ene heet Institutional Shareholder Services (ISS), het andere Glass, Lewis & Co. De stemrechten van meer dan 90 procent van het vermogen onder beheer van institutionele beleggers wordt door deze twee bedrijven uitgeoefend.’

Wat zijn hun stempatronen? Wat zijn hun belangen?

‘Er is een belangenconflict in hun bedrijfsmodel. Ze geven namelijk stemadvies aan de institutionele beleggers, maar ze verlenen óók diensten aan de bedrijven waarover ze stemmen. Ze stemmen dan ook voor bijna elke salaris- en bonusverhoging voor het management, voor bijna elke aandeleninkoop om de beurskoers van het eigen bedrijf op te drijven.’

Is dat uw cruciale hervormingspunt, de groeidwang uit de financiële markten halen?

‘Het belangrijkste probleem op de financiële markten is de vergoedingsstructuur. Fondsbeheerders krijgen 20 procent van elke verkoop of beursgang van een bedrijf. Dit geeft een perverse prikkel en verankert de noodzaak tot groei in het systeem. Want hoe meer het bedrijf in totaal waard is bij een exit zoals verkoop of beursgang – ongeacht of het een levensvatbaar verdienmodel heeft – hoe meer fondsbeheerders kunnen opstrijken. Als de fondsmanagers niet 20 procent van de exit zouden ontvangen, zouden ze bedrijven niet dwingen om exponentieel te groeien en dan te exitten. Die vergoedingsstructuur vormt de kern van de prikkels die ervoor zorgen dat fondsbeheerders bedrijven onder druk zetten om de verkeerde dingen te doen.

‘Als ik naar die hele keten van problemen kijk, ook cybercriminaliteit, begint het bij bedrijven en het financiële systeem. Al het andere komt daaruit voort.’

Daarnaast zijn er de vaste kosten voor het geldbeheer. Die zijn extreem extractief. Fondsbeheerders doen beloften die ze niet kunnen waarmaken. Ze romen jaarlijks 2 procent af, ongeacht de prestatie. En als ze bedrijven in het slop duwen, hebben ze er geen last van, omdat ze die 2 procent vaste vergoeding krijgen. Die beide delen van de vergoedingsstructuur moet je hervormen om de financiële markten op orde te krijgen.’

U gooit uw net wel ongelooflijk wijd uit.

‘Cybersecurity is belangrijk, maar tegelijkertijd is de grondoorzaak van cybercriminaliteit ongelijkheid. Als er geen ongelijkheid in de wereld zou zijn, zou er niet dat soort criminaliteit zijn. Dan zouden mensen niet afhankelijk hoeven zijn van cybercriminaliteit om in hun levensonderhoud te voorzien. Het is allemaal verbonden: de technologie is verbonden met de politiek, is verbonden met de financiën, is verbonden met de cybersecurity.

Ik zeg niet dat het redden van de wereld een alternatief is voor het gebruiken van firewalls. Maar ik realiseerde me dat je ofwel de symptomen kunt aanpakken, ofwel de wortels van het probleem. En ik denk dat ik met Radically Open Security vooral een van de symptomen aanpak. Cybercriminaliteit is een symptoom – net zoals klimaatverandering een symptoom is. Een belangrijk symptoom, maar niettemin een symptoom. Dat is de reden waarom ook Extinction Rebellion zegt: “System change, not climate change!” En we kunnen het systeem pas hacken als we begrijpen hoe het systeem werkt.’

En daarvoor moet je het financieel-economische systeem begrijpen.

‘Dat is het punt met wat “ESG-investeren” wordt genoemd, maatschappelijk verantwoord beleggen aan de hand van de factoren Environment, Social en Governance. De G in ESG krijgt de minste aandacht. Terwijl: als je de corporate governance kunt veranderen, komen de E en de S van Environment en Social er gratis bij. Maar mensen besteden al hun tijd aan het bestrijden van symptomen in plaats van achter de oorzaak aan te gaan. Dat was voor mij een openbaring. Daarom besteed ik steeds meer aandacht aan economie en financiën. Omdat ik echt een positieve impact wil hebben op de wereld. Want daar gaat het mij uiteindelijk om. Ik meet mijn succes af aan mijn positieve impact.

Het voordeel is dat ik met een heel andere blik kijk. De meeste mensen in de economie en in de financiële wereld zijn geïndoctrineerd door het conventionele denken over ondernemerschap dat wordt gedoceerd op business-scholen. Het extractieve karakter van bedrijven wordt zo van begin af aan genormaliseerd. Ze leerden dat dit het systeem is, dit is hoe de dingen zijn. Ik kom binnen als buitenstaander met een hacker-mindset.

Als ik naar die hele keten van problemen kijk, ook cybercriminaliteit, begint het bij bedrijven en het financiële systeem. Al het andere komt daaruit voort. Ik wil dat systeem debuggen.’

https://www.vn.nl/melanie-rieback-ondernemen-activisme/?utm_source=nieuwsbrief&utm_medium=email&utm_campaign=Weekbrief+202201207