Magere investeringen, maar wel heel veel aanbieders met vage marketingteksten. Op het gebied van cybersecurity valt er in Nederland nog zeer veel te verbeteren. Bram de Bruijn schreef er een boek over en komt met enkele adviezen.
Door Peter Passenier
Het was geen gemakkelijke tijd voor de ciso (chief information security officer). Welke site hij ook bezocht, steevast las hij over digitale dreigingen, maar als hij dan ging zoeken naar aanbieders van cybersecuritydiensten… Het waren er letterlijk honderden en zo te lezen deden ze allemaal hetzelfde. Hoe kon hij een keuze maken? Misschien was het beter om alles te houden zoals het was, en zijn bedrijf te omgeven met een muur. Het is een redenering die Bram de Bruijn vaker is tegengekomen. Hij is directeur van Beyond Products B.V. en hij schreef het boek Security Innovation Stories. Daarvoor interviewde hij twintig experts op het gebied van cybersecurity, over de innovatie in de Nederlandse markt. De conclusie: de markt is nog onvolwassen en het aantal investeringen blijft achter bij andere landen. Om de innovatie binnen de sector een slinger te geven, moet er het een en ander veranderen. Onder andere de mindset van bovengenoemde ciso.
> LEES OOK: Cybersecuritymonitor 2023: kleinere bedrijven nemen minder maatregelen
Conservatief of vooruitstrevend?
Volgens De Bruijn vallen ciso’s uiteen in twee groepen: conservatieve en vooruitstrevende. “De conservatieven zien overal dreigingen. Ze werken vanuit angst, onzekerheid en twijfel, en roepen dat alles gevaarlijk is. Als de organisatie een nieuw systeem wil implementeren, moeten zij – de ciso’s – eerst een oordeel vormen. Het gevolg: die ciso zit de hele dag te wachten tot het fout gaat. En de collega’s doen gewoon hun ding, want die hebben niks met cybersecurity. Dat is immers het domein van de ciso.”
En dat maakt de situatie volgens De Bruijn juist onveiliger. “Want wat zie je in de praktijk? Die collega’s kiezen vaak voor allerlei bypasses. Ze gaan mailen met hun eigen telefoon, of werken met verouderde systemen, die in ieder geval altijd hebben gefunctioneerd. De firewall is niet up-to-date, en er is beperkte segmentatie aangebracht, want iedereen moet bij de systemen kunnen. En geclassificeerde informatie, die ontbreekt al helemaal. Als iedereen blijft hangen in de werkwijzen uit het verleden, wordt alles met de dag onveiliger.”
> LEES OOK: Hoe gaan ondernemingen hun toekomst veiligstellen in een wereld vol dreigingen?
Andere boodschap
Het tegenovergestelde zie je bij progressieve ciso’s. Hun boodschap luidt heel anders: “Security is een onderdeel van de organisatie, van het primaire proces. Daarom kom ik naar jou toe en ga ik jou helpen om te kijken hoe we dat proces veiliger kunnen maken.” Een mooi voorbeeld hoorde De Bruijn van de directeur cybersecurity van NS. “Als ze daar nieuwe software laten ontwerpen, kijken ze vanaf het begin hoe ze veiligheid kunnen embedden. Dat gaat door middel van secure coding, waarmee je zorgt dat er zo min mogelijk zwakheden in zitten. Op die manier pak je de problemen aan bij de bron, en hoef je later niet te kiezen voor een gigantische muur. Bijkomend voordeel: het is ook nog eens goedkoper.”
Maar alleen sleutelen aan de mindset van de ciso – dat is volgens De Bruijn niet voldoende. Want volgens hem is het ook lastig om te kiezen voor goede technische ondersteuning, door de wildgroei aan aanbieders. “De markt van cybersecurity is nog niet helemaal volwassen. Dat zie je als je die vergelijkt met die van de reguliere security. Daar zie je flink wat regulering. Bovendien wordt de markt beheerst door drie grote aanbieders; alle kleintjes zijn langzamerhand failliet gegaan of overgenomen. Maar bij digitale security is dat nog niet gebeurd. Het gevolg: weinig regulering en veel aanbieders, die ook nog eens moeilijk van elkaar zijn te onderscheiden.”
> LEES OOK: DTC bereikte in 2023 meer ondernemers met cybersecuritymaatregelen
In het boek delen twintig experts hun visie op innovatie in de cybersecurity
Vaagheid
Dat laatste komt volgens De Bruijn vooral door hun vaagheid. “Als je de commerciële teksten van die partijen doorspit, struikel je over begrippen als AI, machine learning en digitale oplossingen. Ook wemelt het van de loze beloftes: ‘wij detecteren alles, je bent bij ons 100 procent veilig, koop ons product en al je lekken behoren tot het verleden’. Maar deze aanbieders moeten de overstap maken van promised based naar evidence based. Kun jij werkelijk aantonen dat jouw product al die positieve resultaten gaat bewerkstelligen? Pas dan onderscheid je je van je concurrenten.”
En dat is niet het enige wat De Bruijn stoort. Want volgens hem sluit het overgrote deel van deze producten ook niet aan bij de vraag van de klant. “Een mooi voorbeeld is een toepassing van een SIEM die op basis van loginformatie afwijkend gedrag kan detecteren. Dat is een hele mooie technische oplossing, maar soms mis je de voice-over of in ieder geval de begeleiding bij de implementatie. Daardoor kunnen organisaties er geen goed gebruik van maken. Ze krijgen namelijk een ongelofelijk aantal alerts waar ze helemaal niets mee kunnen. Een heel dure oplossing die zonder goede begeleiding en implementatie niet altijd past bij de organisatie.”
De risico’s van AI zag je ook bij de komst van het internet
‘Fear of missing out’
Innovatie in cybersecurity – hierbij denk je automatisch aan AI. En volgens De Bruijn zie je in de AI-markt dezelfde problemen als hierboven – maar dan nog enkele malen uitvergroot. “Er zijn nog meer aanbieders, er is nog minder regulering. En ook zie je bij veel ciso’s een fear of missing out. Ze lezen dat aanvallers AI gebruiken om hun hacks te optimaliseren, bijvoorbeeld door ze te automatiseren. Dus moeten die ciso’s ook wat met AI, en wel snel. Die haast is natuurlijk wel te begrijpen: nog steeds zie je in deze sector grote krapte op de arbeidsmarkt, en het zou dus mooi zijn als AI in ieder geval de simpele werkzaamheden zou kunnen overnemen. Maar aan de andere kant, door die snelheid is er weinig oog voor de mogelijke risico’s. Risico’s die je nu nog moeilijk kunt voorspellen, maar die je bijvoorbeeld ook zag bij de opkomst van het internet.”
> LEES OOK: Hoe gaat Europese wetgeving de cyberdreiging tegen?
Anticiperen op een hack
Terug naar de ciso in het begin van dit artikel, de man die zijn bedrijf wilde beveiligen door een muur. Volgens De Bruijn kan die beter kiezen voor een alternatief: zorg dat je organisatie beschikt over een grotere weerstand. “Kijk, dat je een keer wordt gehackt, dat is een gegeven. Belangrijk is hoe je daarop anticipeert. Beschik je over een goede netwerksegmentatie, en staan je essentiële assets op een plek waar niemand bij kan? Als je wordt aangevallen, moeten je codes in principe veilig zijn, en je patches gewoon ge-updatet. Denk bijvoorbeeld aan de 3-2-1-oplossing. Zorg dat je drie back-ups hebt op twee verschillende soorten media waarvan één offside of in de cloud.”
Meer veerkracht betekent ook minder afrekencultuur
En let wel: meer veerkracht betekent ook: minder afrekencultuur. En dat is volgens De Bruijn niet alleen goed voor het betreffende bedrijf, maar voor de hele branche. “Klikt iemand per ongeluk op een verkeerde link? Dan moet je er niet alleen voor zorgen dat je dat snel kunt isoleren, maar ook dat de betreffende persoon weet waar die zich moet melden – zonder dat hij meteen op zijn sodemieter krijgt. En misschien nog belangrijker: zonder dat het incident angstvallig geheim wordt gehouden. Want het is belangrijk dat organisaties hun ervaringen met elkaar delen, en van elkaars incidenten kunnen leren. Ook dat is een voorwaarde voor echte innovatie.”
Klik hier voor meer informatie en bestellen van het boek
Volg Security Management op LinkedIn