Doordat steeds meer (security) systemen gekoppeld zijn, nemen de risico’s voor organisaties toe. En daarmee ook het belang van cybersecurity. Tegelijkertijd bieden deze ontwikkelingen ook kansen voor de branche, stelt Gerard Otterspeer, Sales Manager Netherlands bij Bosch Security Systems.
Hoe ben jij in ‘security’ terechtgekomen?
“Mijn interesse lag bij techniek. Die achtergrond heb ik ook. In 2004 kwam ik bij Bosch terecht. Zij begonnen toen net met de eerste IP-camera’s. Tegenwoordig omvat ons productportfolio videobewaking, inbraakbeveiliging, brandmeld- en ontruimingssystemen, en toegangscontrole- en managementsystemen.”
Wat houden jouw werkzaamheden in?
“Ik stuur het Nederlandse sales team aan. Dat zijn district managers die onze oplossingen verkopen.”
Praten we over security, dan gaat het al snel over cybersecurity. Wat houdt dit voor Bosch in?
“Cybersecurity zit standaard in ons DNA. Alles moet veilig zijn. Zo veilig, dat kwaadwillenden zich geen toegang tot een systeem kunnen verschaffen. Doordat alles tegenwoordig IP is, is dit erg belangrijk. We zien steeds meer incidenten in de markt.”
Hoe beveiligen jullie de systemen tegen cybercrime?
“De laatste versie van firmware – software die in hardware ingeprogrammeerd is – verplicht bijvoorbeeld onze camera’s om een password aan te maken, voordat je ook maar iets anders kunt doen. Installateurs vinden dit enigszins irritant. Het is voor hen extra werk, maar wel noodzakelijk. Doe je dit niet, dan is het alsof je je deur open laat staan.”
> Lees ook Bewakingscamera’s: Goudmijn voor hackers
Otterspeer vertelt verder dat Bosch camera’s al jarenlang een trusted platform module hebben. “Een soort chip, waar wij alle sleutels voor de encryptie in opslaan. Vergelijk het met een chip op je creditcard. Alles wat erin zit, zit erin. Je kunt er niet bij. Stel iemand trekt een camera die is bevestigd op de buitengevel van een bank van de muur, dan kan hij nooit via deze camera de instellingen/security codes van het netwerk achterhalen.”
Bosch test ook alle software die zij in de markt zet uitgebreid. “We proberen dan op allerlei manieren in te breken. Zo weten we of onze producten aan de laatste beveiligingsstandaarden voldoen.”
> Lees ook Wat motiveert hackers?
Wat zie jij als de grootste algemene bedreiging?
“Tegenwoordig staat alles met elkaar in verbinding. Daarbij komt dat steeds meer mensen toegang hebben tot gegevens via bijvoorbeeld een website. Dat hoeft niet tot criminaliteit te leiden, maar het kan wel een inbreuk op privacy zijn. Daar word je overigens als bedrijf met de GDPR-wetgeving (red.: General Data Protection Regulation is per 25 mei 2018 van kracht) aansprakelijk voor gesteld.”
En wat zijn volgens jou de bedreigingen specifiek voor de branche?
“We hebben steeds meer systemen die op enigerlei wijze aan het internet hangen. Ik noemde het al eerder. Dat kan ‘dreigend’ zijn. De klant wil zaken centraal regelen. Overzicht hebben vanuit één punt. Daarom moeten alle gekoppelde systemen het hoogste level van beveiliging hebben, evenals de netwerken.”
> Lees ook Cyber Security Raad pleit voor certificering IoT-apparaten
Maar bedreigingen creëren ook kansen?
“Laat ik het anders zeggen. Het feit, dat alles steeds meer remote beschikbaar is en kan – ik heb het dan over video- en bewakingssystemen, systemen voor toegangscontrole en brandmelding – geeft de markt de kans veel service te bieden. Bijvoorbeeld een installateur heeft een afspraak voor onderhoud bij een klant. Technologie maakt het mogelijk, dat hij vooraf een vervuilde brandmelder op kamer 214 op de derde etage constateert. Hij licht de klant in, bestelt een nieuwe detector en vervangt tijdens de al gemaakte afspraak de brandmelder.”
‘Cybersecurity is vaak nog knip- en plakwerk’
Zijn cyberdreigingen ernstiger dan fysieke dreigingen?
“Eerlijk gezegd wel. Fysiek zien we dat beveiliging heel veel aandacht krijgt en goed geregeld is. Cybersecurity is echter vaak nog knip- en plakwerk tot aan de post-it op het scherm met het password. Hoe dat komt? Het is een langzaam proces. Nog steeds zeggen klanten: ‘Ik heb slechts 20 camera’s aan de muur hangen. Het netwerk is goed beveiligd. Ik heb een goede firewall’. Mijn eerste reactie is dan altijd: ‘Is die wel up-to-date?’ Is dit het geval, dan is mijn volgende vraag: ‘Waar kijk je de beelden uit?’ Vaak blijkt dit dan in het ‘hok’ van de nachtportier op de daar aanwezige pc te zijn. Vergeten wordt dat de nachtportier zijn telefoon via de usb-poort van de pc oplaadt. Is die telefoon wel veilig? Daar heeft de klant dan geen idee van. Conclusie: zijn systeem is dus niet veilig. Nadenken over al deze lagen komt nog in weinig organisaties voor.”
Bewustzijn is dus belangrijk?
“Ja. Vanuit onze organisatie proberen we awareness te creëren bij onze klanten en eindgebruikers. En ook bij alle bedrijven die software voor onze systemen schrijven. Alle integraties moeten encrypt plaatsvinden. Gebeurt dit niet, dan zullen we wellicht besluiten niet-encrypte software in de toekomst te weigeren. Dat vertellen we ze al ruim een jaar. Het is een langzaam proces. Snel kan niet, want dan werkt de helft van de integratie niet meer.”
Heeft de overheid hierbij ook een taak?
“Zeker. Langzaam maar zeker wordt er gekeken naar kwaliteitsnormen. Maar er is nog een weg te gaan.”
Security is je vakgebied. Ben je hierdoor privé extra alert?
“Mijn werk maakt me inderdaad extra alert, ook privé. Zeker na een aantal sessies van ethische hackers. Als we hen moeten geloven, dan lijkt het wel of heel Nederland zijn voordeur open laat staan. Dus dan ga je nadenken. Heb ik wel voldoende verschillende passwords? Heb ik mijn wifi goed beveiligd? Enzovoort. Ja, ik ben er heel alert van geworden.”
Betty Rombout is freelance journalist
> Lees ook Fysieke beveiliging en cybersecurity: integrale aanpak vereist
> Download de gratis whitepaper Trends in cybersecurity