Nog voor de eerste stelling aan bod komt, stelt Mischa Rick van Geelen, oprichter van Anovum, dat er in security nog veel meer gestandaardiseerd kan en moet worden. “Maar in de cybersecurity lijkt het wel alsof we standaardiseren een vies woord vinden.” Het gebeurt bijna niet, meent hij. “En dat zorgt voor fouten. Het zorgt ervoor dat organisaties gehackt worden, terwijl het gewoon voorkomen had kunnen worden.”
Michael van der Vaart, Chief Experience Officer bij ESET, reageert hierop vanuit zijn praktijkervaring. “Klanten vroegen mij vroeger om een oplossing, die installeerde de klant en dan was het klaar. Dus dat was in zekere zin de standaardgedachte bij bedrijven: ik installeer antivirus en dan is een probleem opgelost. Dat ligt tegenwoordig in veel gevallen anders. De basishygiëne kun je echter best standaardiseren, maar zelfs die stap wordt nogal eens vergeten.”
Steven Maas, Sales Director Data Security Benelux bij Thales CPL is het daarmee eens. “We zien nieuwe bedreigingen, nieuwe technologieën. Die vereisen dus ook nieuwe standaarden. Ook de basishygiëne die net genoemd werd zal een ontwikkeling doormaken.”
Bekijk hieronder het videoverslag van het Grotetafelgesprek:
De impact van AI
Als nieuwe technologie ter sprake komt, is de sprong naar AI snel gemaakt. “Wij spreken als ESET tegenwoordig over AI Native Prevention. En terecht, denk ik. We zijn AI-native,” geeft Van der Vaart aan. Sinds 1992 zet de onderneming machine learning in om grote hoeveelheden data te analyseren. “Dat ging een stuk sneller dan het handwerk van onze professionals in het viruslab.” Het maakt, zegt Van der Vaart, standaard onderdeel uit van de propositie, “maar dat betekent niet dat we erop standaardiseren. Er is en blijft ook menselijke intelligentie nodig.”
Veel bedrijven zeggen nu: we komen met een oplossing, daar zit AI in, dan is het klaar, gaat Maas verder. “Wij hier aan tafel weten dat er meer bij komt kijken. Ook, of juist, bij de inzet van AI moet je heel goed weten wat je aan het doen bent.”
Van Geelen (Anovum) onderschrijft de uitspraak dat je moet weten wat je doet. “Waar wij op focussen is onder andere de valideerbaarheid en de auditbaarheid van AI-oplossingen. Ik denk ook dat input- en outputvalidatie een van de belangrijkste dingen is om op orde te hebben, anders is het risico op fouten enorm groot.”
AI biedt kansen
Maas (Thales) stelt wel dat AI veel kansen biedt. “Als we kijken vanuit de vendor-kant dan zien we dat de aanvallers, de hackers, de technologie ook gebruiken om hun modellen intelligenter te maken. Het is zo een wedloop tussen ons en hen, tussen de good guys en de bad guys.”
Het gesprek concentreert zich al snel op de Large Language Models waarin GenAI zo goed is. Van der Vaart (ESET): “Wij implementeerden op basis daarvan onze AI-assistant, die vragen kan beantwoorden als: wat zou ik nu moeten doen in deze situatie? Zit er een bepaalde groep achter deze aanval?” Volgens hem kan die assistant met de threat intelligence van ESET sneller dan een SOC-analist achtergrondinformatie geven.
Maar, en daarin vinden de deelnemers elkaar: dat gaat verder dan de simpele marketing die stelt dat een product goed is ómdat er AI in zit. Van der Vaart: “Hebben we te maken met een hallucinerende LLM, of is het iets meer die harde kant, dus machine learning die op goede data is getraind?”
Op die manier ziet Van der Vaart nog steeds een verschil tussen machine learning en goed getrainde AI. “De resultaten van onze machine learning zijn gebaseerd op een grote hoeveelheid data: dit is malicious en dit niet.” Maas (Thales) knikt instemmend. “Blijf valideren, neem het niet zomaar aan. En het is de mens die valideert.”
De security van IoT blijft kwetsbaar
Van Geelen (Anovum) ziet dat er, als het gaat om security van IoT-apparaten, steeds meer Europese regelgeving ontstaat. “Devices moeten op een fatsoenlijke manier beveiligd zijn. Niet met standaard wachtwoorden. En als ze niet aan de EU-standaarden voldoen, mogen ze niet langer verkocht worden.” Dan nog is het een hele uitdaging om al die apparaten up-to-date en zo veilig mogelijk te houden. “Bedrijven zullen dat bij hun IT-partners neer moeten leggen,” vermoedt Maas (Thales). Ook die blijven echter afhankelijk van regelmatige updates door de leveranciers.
Van der Vaart (ESET) ziet een verschil met devices als laptops en smartphones, “Men hing 15 jaar geleden een digitaal fotolijstje aan de muur en nu hangt het er nog, de gebruiksduur van een laptop of smartphone is veel korter. Als dat fotolijstje in een bedrijf hangt kan dat best een risico zijn.”
IoT-apparaten moeten op een fatsoenlijke manier beveiligd zijn
Duidelijk is dat het niet alleen bij IoT, maar eigenlijk bij alle omgevingen vaak te lang duurt voordat gepatched wordt. Als een aanvaller al binnen is, dan blijft die vaak toegang houden, ook na de update van het apparaat, is de overtuiging van Van Geelen.
“Daarom is het monitoren van netwerkgedrag eigenlijk de basis van security,” stelt Van der Vaart (ESET). “Je moet continu monitoren wat er gebeurt in een netwerk. En of er kwetsbaarheden zijn, bijvoorbeeld in de vorm van verouderde firmware.” Maar of er iets mee of aan wordt gedaan is dan aan de beheerder of de gebruiker. “En kleinere ondernemingen zijn niet bezig met security, die moeten echt kunnen vertrouwen op partners,” legt Maas (Thales) uit. En die partner begint zijn security-reis met ‘discover’: hij wil weten welke assets de eindklant heeft en waar potentiële kwetsbaarheden zijn. En de partner zal het netwerk al snel gaan segmenteren.
De wereld veilig maken
De specialisten aan tafel praten heel bevlogen over hun baan. De vraag komt aan bod wat de heren zo mooi vinden aan hun werk. Maas (Thales): “We proberen het leven van onze klanten veiliger te maken.” Van der Vaart (ESET) lacht om de vraag: “Als security-expert heb je een bepaalde tik. Je vindt echt dit leuk en je wilt klanten zo goed mogelijk helpen.” Het opvallende is daarbij dat klanten het niet per se erg leuk vinden om security te kopen. “Pas bij een incident ervaar je het gebrek aan security. Dat is het moment dat we van waarde zijn, dat we kunnen helpen,” geeft Van Geelen aan.
“Sexy zal het niet zijn voor de klant,” beaamt Van der Vaart (ESET). “Alleen als ze beseffen dat security de businesscontinuïteit versterkt, komt het besef hoe tof en belangrijk het is.” Maas (Thales) knikt en zegt: “Niemand staat ‘s ochtends op en zegt: fijn, ik ga een firewall kopen. Maar iedereen verwacht wel dat je veilig online betalingen kunt doen.” En als het mis gaat komt er veel op ondernemers af, weet iedereen aan tafel. “Dan ben je echt soms wel bijna de psycholoog voor zo’n bestuurder die er weleens compleet doorheen zit,” verzucht Van Geelen (Anovum).
De rol van partners
“Je moet soms echt heel duidelijk zijn als je als partner met de eindklant spreekt,” stelt Van der Vaart (ESET). “Door simpelweg te vertellen: als jouw buurman een alarminstallatie heeft, rolluiken en een duur slot op de achterdeur, en jij alleen een goedkoop slot, dan staan dieven het eerst bij jou binnen. Die vergelijking snapt iedereen.” En die bewustwording is ook nodig bij het personeel van veel organisaties. “Als iemand vier, vijf keer blijft klikken op een gevaarlijke pdf-link om een factuur te betalen, dan gaat er iets fout. Dan herken je rode signalen niet. Dan sta je ondanks de lampjes en waarschuwingssignalen toch op de vluchtstrook en moet je naar het tankstation lopen.”
Het is volgens Maas (Thales) nog sterker, want gebruikers menen soms nog steeds die lampjes niet nodig te hebben. “Ik gebruik Apple-hardware, dan ben ik veilig, zeggen ze dan.” Tot het een keer fout gaat en ineens het besef indaalt. “En dan vragen we vaak: hoeveel geef je per maand nou uit aan IT? En dan kom je erachter dat het misschien 500 euro per maand is. En dan krijgt zo’n ondernemer de schrik van zijn leven als je ze vertelt dat dit het driedubbele zou moeten zijn.”
Zorg als partner dat je uitlegt wat je doet en waarom
Van der Vaart (ESET) gaat hier dieper op in: “We werken heel nauw samen met onze partners, sterker nog: we bouwen op hen. We zien dat zij soms tegen uitdagingen aanlopen als het gaat om het verkopen van security-oplossingen aan hun klanten.” Eindklanten gaan er vaak van uit dat wanneer ze een applicatie van een gerenommeerde leverancier gebruiken, dit automatisch betekent dat de beveiliging volledig geregeld is. “Maar in de praktijk komt er vaak nog een extra investering bij kijken voor adequate beveiliging. Als de partner dan zijn dienstverlening moet uitbreiden en daarbij niet deze kosten heeft meegerekend kan dat vreemd overkomen.”
Van Geelen (Anovum) herkent dit. “Dan zie je dat een mkb-bedrijf een paar honderd euro uitgeeft aan Microsoft-licenties, waar in feite zijn hele onderneming op draait, en zich niet realiseert dat er back-up nodig is. Want Microsoft doet het niet standaard voor je.” Maas (Thales): “Zorg dus voor een partner die het geheel managet en zorg er als partner voor dat je uitlegt wat je doet en waarom.”
Gesprek met klanten
Je hebt als partner ook daarin wel een verantwoordelijkheid, is de overtuiging van Van Geelen (Anovum), vooral als het gaat om een IT-partij die bijvoorbeeld digitale diensten (door)levert. “Je ziet echter steeds vaker een soort struggle ontstaan, waarbij een IT-partij het juiste wil doen, maar dat de klant daar niet voor wil betalen.” En er zijn, zo weet hij, bepaalde rechtszaken geweest nadat een klant gehackt werd en naar de rechter stapte omdat zijn bestanden na een ransomware-aanval versleuteld werden. “En dat er op een gegeven moment ook door de rechter werd gezegd tegen de IT-partij: ‘u heeft wel een zorgplicht als IT’er, u bent de specialist. Dus als een klant het niet wil en die vindt een goedkope oplossing en een heel zwak wachtwoord voldoende, dan moet u misschien de opdracht teruggeven.’ Daar is de rechter toen heel duidelijk in geweest, want je hebt een verantwoordelijkheid als specialist.”
Zover moet het volgens Van der Vaart (ESET) in de praktijk niet komen. “Neem als partner een keer per jaar – of liefst nog vaker – tijd voor een gesprek met de klant: waar staan we nu, wat schort eraan, waar verwacht je te groeien in dataverkeer en hoe spelen we daarop in? En oh ja, je hebt misschien al gehoord over NIS2? Daar kan ik je ook veel over vertellen.”
Zijn we klaar voor NIS2?
Er wordt in de sector veel gesproken over NIS2 – elders in deze editie van ChannelConnect is een verslag te lezen van een Grotetafeldiscussie die uitsluitend over dit onderwerp gaat. De bijbehorende Cyberbeveiligingswet is overigens nog niet klaar en uitgesteld tot minimaal het derde kwartaal 2025. Hier bespreken we de vraag: is Nederland er klaar voor?
We hebben er heel veel over gecommuniceerd en awareness gecreëerd in de markt, geeft Maas (Thales) aan. “En dat landde echt wel bij bedrijven.” Hij zou dus heel graag ‘ja’ antwoorden op de vraag, “maar ik vrees dat het antwoord in de praktijk niet 100% bevestigend zal zijn. Er is nog heel veel werk aan de winkel voor een groot aantal organisaties. Het zal afhangen van hoe sterk de overheid gaat controleren en handhaven, en hoe die handhaving eruit zal zien.”
Volgens Van Geelen (Anovum) helpt het wel dat hoofdelijke aansprakelijkheid voor bestuurders onderdeel zal zijn van de wet: “De hoofdelijke aansprakelijkheid is wel een enorm groot verschil met de AVG. En er worden eisen gesteld aan het kennisniveau in de boardroom als het gaat over security.” Qua handhaving verwacht hij dat na een eerste periode de autoriteiten beslist gaan handhaven. “Dat patroon zagen we bij de invoering van AVG ook.”
Van der Vaart (ESET) trekt de vergelijking met de invoering van de AVG door. “Die regelgeving heeft veel bewustwording gecreëerd. Eindelijk zijn data-security en privacy een onderdeel geworden van de dagelijkse business en denken we daar nu veel beter over na. Als we eenzelfde stap zetten op security-gebied met de invoering van NIS2, dan is dat een goede zaak.” Hij geeft aan dat ESET ook erg veel deed en doet aan voorlichting en bewustwording rond de invoering van NIS2. “Want het gaat tenslotte over security en dat is ons vak. Maar we zien dat veel bedrijven er nog niet klaar voor zijn.”
Delen van ervaringen
Net als bij de AVG is een van de onderdelen van NIS2 een meldplicht. Wat verwachten de specialisten aan tafel daarvan? Bedrijven delen immers niet graag informatie over hacks en incidenten.
Van Geelen (Anovum) geeft aan heel regelmatig in het ‘bluswater’ te staan tijdens en direct na een security-incident bij bedrijven. “Dan dring ik er altijd al op aan dat ze openheid geven en moeten delen wat er gebeurd is.” Volgens hem is zwijgen geen optie. “Als het dan toch naar buiten komt, en die kans bestaat altijd, zeker als je in het kader van de AVG toch al een datalek moet melden, dan heb je als onderneming echt een probleem.”
Het opvallende is dan dat het delen van informatie doorgaans voor reacties zorgt als “Oh, maar dat hebben wij vorig jaar ook gehad.” Van Geelen (Anovum): “Maar we hebben ook meegemaakt, dat partijen het stil proberen te houden. En dat het toch uitlekt, en dat het vertrouwen tussen hen en partners, klanten of leveranciers voor lange tijd geschaad wordt.”
Volgens Maas (Thales) moet dit delen van informatie een onderdeel zijn van compliancy. “Je moet simpelweg communiceren naar betrokkenen, intern en extern, wat er gebeurd is.”
Van der Vaart (ESET) knikt. “Delen we genoeg informatie over incidenten in deze sector? Nee, en dat vind ik heel jammer.” Hij geeft aan best vaak met partijen te spreken die in geuren en kleuren vertellen wat er aan de hand was, maar dat niet met collega-ondernemers willen delen – terwijl men zoveel van elkaar zou kunnen leren. “Er is toch een bepaalde cultuur waardoor bedrijven zich nog steeds schamen om dit te doen.”
Van Geelen (Anovum) beaamt dit. “Ze zijn geen dader, maar slachtoffer. Ik zie heel vaak bestuurders die zichzelf de schuld geven, terwijl ze soms beslist de juiste dingen hebben gedaan. Er is toch steeds de angst voor reputatieschade.”
Zero Trust als basis
Tot slot komt het gesprek op Zero Trust. Van Geelen (Anovum) reageert als eerste. “Letterlijk is het natuurlijk ‘nul vertrouwen’. Dat betekent echter niet dat je geen vertrouwen hebt in een medewerker als mens, dat vergeten we wel eens.” Het gaat er volgens hem om zaken met elkaar goed te regelen. “Wat we met Zero Trust bedoelen is dat we maatregelen in place moeten hebben.”
Maas (Thales): “De kern van Zero Trust is precies de betekenis van de term. Je mag niets of niemand vertrouwen. Ook geen apparaten.” Segmentatie is daarbij volgens hem belangrijk, naast zaken als
authenticatie en privileged access management. “En natuurlijk awareness bij de mensen, een goede
educatie. Niet alleen bij het management, maar bij de volledige workforce van een bedrijf.”
Van Geelen (Anovum) stelt dat Zero Trust als
principe bedrijven dwingt om vooral goed na te denken. “En dat vertaalt zich niet alleen naar de mensen, maar ook naar de technische implementatie. En daarmee naar de ontwerpers die bezig zijn met het bouwen van een netwerk. Zero Trust moet dan vanaf het eerste ontwerp een rol spelen.”
Hij verwijst naar systeembeheerders. “Hun status is binnen security een onderwerp op zichzelf. Zij hebben vaak de hoogste rechten en houden die soms jarenlang.” Maas (Thales) reageert daarop. “Precies, en ze willen liefst zo min mogelijk moeite hoeven doen om in te loggen. We hebben daar vaak discussies met hen over en moeten uitleggen dat als zij zo makkelijk overal bij kunnen, dat een onverlaat die hun account hackt dat dus ook kan.”
Intern verkeer monitoren
Michael van der Vaart gaat kort terug in de historie. “Het begon er altijd mee de buitenkant heel goed te beveiligen, met firewalls. Collectief hebben we de stap gemaakt naar technologie als XDR, omdat het steeds belangrijker wordt het interne verkeer te monitoren. Niet omdat we de medewerkers niet vertrouwen, maar vooral omdat een hacker zich heel snel als medewerker voor kan doen.”
“Waarbij,” vult Van Geelen (Anovum) aan, “het monitoren van het interne netwerk er niet eenvoudiger op is geworden sinds we tijdens en na corona massaal thuis zijn gaan werken. Dat betekent nog meer focus op het endpoint, zowel door ons als security-specialisten, als door hackers.”
Maas (Thales) knikt instemmend. “Uiteindelijk komt alles neer op het beschermen van je data. Je data zijn de kroonjuwelen van een bedrijf en daarmee dat wat je moet beschermen.” Er zijn daarvoor verschillende manieren, resumeert hij. “Je hebt perimeter security, firewalls, gate-to-firewallings. Je hebt dataclassificatie, je hebt anonimisatie, je hebt encryptie. En je moet ook rekening houden met de vraag of de encryptie die je vandaag gebruikt future-proof is. Er is voorlopig nog veel mooi werk voor ons allen.”
Claranet was op het laatste moment verhinderd om fysiek aanwezig te zijn bij het Grotetafelgesprek, daarom geven we hen ruimte te reageren op het verslag.
Wij zien ook dat veel organisaties vaak niet zelf de expertise of middelen hebben om een solide beveiligingsstrategie te ontwikkelen en te onderhouden. En dat is logisch; het is een zeer specialistisch werkgebied dat vaak ver weg ligt van de core-business van de organisatie.”
Kennis en begrip
“Hierin ligt de sleutelrol van IT-partners: zij fungeren als experts die niet alleen technologieën implementeren, maar een stap verder gaan door ook bewustwording te creëren en strategisch advies te bieden. Een standaardoplossing zoals antivirussoftware is simpelweg niet voldoende, moderne dreigingen vereisen een aanpak op meer lagen en vlakken. IT-partners moeten organisaties begeleiden bij het adopteren van basishygiëne en het opvolgen van nieuwe ontwikkelingen zoals AI en Zero Trust-principes. Dit vereist niet alleen technologische kennis, maar ook een diep begrip van de veranderende bedreigingslandschappen en regelgeving.”
Waarde
“Daarnaast biedt de technologische complexiteit van onderwerpen zoals AI een duidelijke kans voor partners om waarde toe te voegen. AI-oplossingen kunnen krachtige hulpmiddelen zijn, maar vereisen validering en aanpassing aan specifieke bedrijfsomgevingen. Hier moet je organisaties helpen om niet alleen op technologie te vertrouwen, maar ook om het menselijke toezicht en de controle te waarborgen. Daar ligt ook een belangrijke rol voor partners door proactief met klanten in gesprek te gaan en hen bewust te maken van hun kwetsbaarheden. Dit vereist soms moeilijke gesprekken, zeker wanneer de kosten voor cybersecurity hoger uitvallen dan klanten hadden verwacht. Toch is het duidelijk dat zonder deze investeringen organisaties aanzienlijke risico’s lopen.”
“Kortom, IT-partners spelen een onmisbare rol in het creëren van een veilige digitale omgeving. Ze zorgen niet alleen voor de implementatie van de juiste technologieën, maar helpen organisaties ook strategisch navigeren door een complexe en steeds evoluerende cybersecurity-wereld. Hun advies, voortdurende begeleiding en aanpassingsvermogen maken hen cruciaal in het beschermen van organisaties tegen moderne dreigingen.”