Spring naar content

HOB ICT: “In de maakindustrie kan één gehackte machine de hele productielijn platleggen”

HOB ICT Security is gespecialiseerd in het leveren van securitydiensten aan het midden- en kleinbedrijf in Nederland, met een duidelijke focus op het middensegment. Het bedrijf richt zich volledig op het ontzorgen van klanten. Met een breed palet aan technische securitydiensten helpt HOB ICT Security organisaties hun digitale weerbaarheid te vergroten. Daarbij ligt de nadruk vooral op detectie en respons: 24/7 bescherming en tijdige detectie van dreigingen vormen de kern van hun dienstverlening. Cybersecurity redacteur Jan Meijroos spreekt met eigenaar en Security Consultant Arjan Benschop.

Arjan, wie zijn jullie klanten?

Arjan: “Een lokale bakker, om het onbeleefd te zeggen, is niet onze klant. Maar Unilever en Shell ook niet. Wij richten ons echt op het middensegment, waar we zien dat er een enorme behoefte is aan securitykennis. Die is vaak schaars aanwezig binnen zulke organisaties.”

“Binnen dat segment bedienen we in principe iedereen. Toch zijn we sterk vertegenwoordigd in de maakindustrie, logistiek en zorg. De eerste twee zijn groot in onze regio, en de zorg is een sector waar onze oplossingen van grote waarde zijn. Dus dat zijn wel drie sectoren die er voor ons uitspringen.”

Zijn er dingen die jullie níét doen?

Arjan: “Wij richten ons echt op technologie. ISO 27001-consultants leveren we niet zelf; daarvoor schakelen we partners in. Awareness-trainingen doen we beperkt. Onze kern ligt bij technische diensten zoals managed detection and response. We bieden ook traditionele diensten als managed firewall, vulnerability management en web- en mailsecurity. Steeds meer klanten koppelen hun omgeving aan ons SOC voor 24/7 monitoring.”

Wat maakt jullie anders dan vergelijkbare bedrijven?

Arjan: “Dat zit ‘m in onze cultuur. Wij werken met korte lijnen, persoonlijk contact, en zonder extern kapitaal. Sommige concurrenten zijn ook vijf jaar geleden begonnen, maar zijn nu met 160 man groot geworden door externe investeerders. Wij willen dat niet. Wij geloven in onze eigen visie. Onze stijl is direct en klantgericht. We hebben een handen-uit-de-mouwen-mentaliteit, en onze mensen komen uit het grootzakelijke segment. Zelf heb ik gewerkt voor klanten als NS en ABN AMRO. Die kennis gebruiken we nu voor het middensegment, waar we goed bij passen. Bedrijven van 100 tot 3000 FTE zeggen vaak: “Jullie spreken onze taal.” En dat horen ze niet vaak.”

Als je kijkt naar het cybersecuritylandschap – in Nederland, Europa, de wereld – dan lijkt er steeds meer aan de hand?

Arjan: “Twee jaar geleden las je af en toe iets over een grote hack, meestal in het buitenland. Russische hackers leken toen nog ver weg. Nu zijn er wekelijks of maandelijks grote incidenten, zoals universiteiten die met ransomware te maken krijgen of die Belgische bierbrouwerij die stilviel. Dagelijks worden er aanvallen gedaan. Niet allemaal succesvol, maar genoeg gaan wél door. En veel blijft buiten beeld.”

Is de angst bij mkb-bedrijven terecht?

Arjan: “Ja en nee. Wij zeggen altijd: het is niet óf je geraakt wordt, maar wanneer. Voorkomen kan niemand, tenzij je offline gaat. Wat wij wél kunnen, is zorgen dat je een aanval op tijd ziet aankomen.”

“Ik gebruik vaak de metafoor van een brand: als je het ziet smeulen, kun je het nog uittrappen. Dan blijft de schade beperkt. Maar als het al uit de hand loopt, is het te laat. Onze rol is klanten daarop voor te bereiden. Je wórdt geraakt – laten we zorgen dat het klein blijft.”

Komen jullie nog steeds blinde vlekken tegen op cybersecurity vlak? Of hebben bedrijven inmiddels hun zaakjes goed op orde?

Arjan: “Gelukkig steeds minder, maar we komen ze nog tegen. Soms stappen we bij bedrijven binnen met tientallen of honderden miljoenen omzet, en dan is de basis niet op orde. Segmentatie ontbreekt, MFA ontbreekt, back-ups zijn niet goed geregeld. Dan geven we ook gewoon eerlijk aan: je scoort een 2 op een schaal van 10. Je moet nú aan de slag.”

En wat als ze dat niet doen?

Arjan: “Dan is het wachten op ellende. Er zijn nog altijd bedrijven die ondanks onze waarschuwing niks doen. Die zijn hardleers. En uiteindelijk betalen ze dan de hoofdprijs. Soms letterlijk.”

“Tegelijkertijd wil ik hier niet negatief doen over het mkb – integendeel. Die mensen werken keihard en dat is de kurk waar Nederland op drijft. Alleen: ze zijn vooral bezig met hun corebusiness, hun dagelijkse bedrijfsvoering. En cybersecurity blijft dan vaak een abstract, lastig onderwerp dat snel op de achtergrond raakt.”

Binnenkort komt de NIS2 richtlijn eraan. Leeft dat al bij jullie klanten?

Arjan: “Wij zijn er uiteraard mee bezig en organiseren binnenkort een event. Maar leeft het al bij klanten? Mwah. Het doet denken aan de AVG. Bedrijven voelen zich overbelast door regels. Sommigen denken: ‘Daar gaan we weer’. Geen gelatenheid, maar wel afwachten. En eerlijk? Dat snap ik.”

Hoe krijgen jullie bedrijven toch in beweging?

Arjan: “Wij geloven niet in angst verkopen. We zeggen niet: “Je móét dit doen vanwege NIS2.” Onze dienstverlening verandert niet fundamenteel. We praten al jaren over risico’s, meldplicht en zorgplicht. Met onze managed detection & response voldoe je al aan veel eisen. Klanten hoeven dus niet ineens alles anders te doen, maar urgentie is wél belangrijk.”

De NIS2 legt nadruk op ketenzorgplicht. Hoe kijk jij daar tegenaan?

Arjan: “Terecht. Het gaat niet alleen om je eigen beveiliging, maar ook om je toeleveringsketen. Onze klanten zíjn vaak die leveranciers – niet Unilever, maar wel partijen die aan hen leveren. Het is logisch dat daar hogere eisen aan worden gesteld. Je bent onderdeel van een digitaal ecosysteem en dus deels verantwoordelijk voor de veiligheid van die keten.”

Wat zeg je tegen zulke toeleveranciers?

Arjan: “Zorg dat je het op orde hebt. Als jij het niet regelt, kiest een grote klant misschien voor je concurrent.”

Hoe kijk je aan tegen het NIS2 Quality Mark?

Arjan: “Heel waardevol. Wetgeving is vaak lastig te begrijpen. Een keurmerk maakt het concreet. Dan kun je zeggen: ik zit op QM10 (Basic) en dit wordt van me verwacht. We hebben onze diensten daarop geplot. Zo kunnen we gericht helpen – en ook aangeven waar we niet passen. Klanten begrijpen dan: “Ik moet een risicoanalyse doen, inventariseren wat ik heb, en me technisch laten ondersteunen.” Daarmee kun je aantonen dat je voldoet.”

ISO 27001 is een goede norm maar zwaar. Past dat bij het mkb?

Arjan: “ISO is degelijk maar intensief, en niet altijd passend. Vanuit commercieel oogpunt zou begeleiding naar ISO interessant zijn, maar zo werken wij niet. Wij geven aan wát je moet doen, niet hoe. Een risicoanalyse móét – hoe je dat doet, bepaal je zelf. Of dat nu met een systeem is of op een bierviltje: als het werkt en aantoonbaar is, is het prima.”

Dus bedrijven moeten in beweging komen, ongeacht het pad?

Exact. “Het draait om bewustwording en aantoonbaarheid. Wie ISO wil, zit vaak al op een hoger niveau – dat helpt het gesprek. Maar voor veel mkb’ers is het NIS2 Quality Mark een prima alternatief om gestructureerd aan cybersecurity te werken.”

Kun je goed inschatten wanneer NIS2 Quality Mark beter past dan ISO?

Arjan: “Absoluut. Dat is hoe wij werken: kijken naar wat past, zonder het groter te maken dan nodig. Sommige partijen willen alles standaard in een groot pakket stoppen, maar dat werkt niet altijd. Het draait om risico’s afdekken. Als een bedrijf op een vlak écht geen risico ziet, moet het wel praktisch en relevant blijven.”

Wat spreekt je nog meer aan in het Quality Mark?

Arjan: “Het is geen verdienmodel, maar een hulpmiddel. Laagdrempelig en concreet – daar ben ik voorstander van. Zoals gezegd: wij verkopen geen angst. We leggen het helder uit: wat is nodig, wat is ‘nice to have’, en wat móét – in gewone taal. Ik noem het: Jip-en-Janneke-security.”

Stel je mag één tegelwijsheid ophangen over cybersecurity – wat zou erop staan?

Arjan: “Je kunt niet beschermen wat je niet ziet.” Dat is de basis. Veel bedrijven weten niet eens precies wat er draait. Ze denken: “200 werkplekken,” maar er hangen nog 500 apparaten in het netwerk – printers, machines – soms cruciaal voor productie. In de maakindustrie kan één gehackte machine de hele productielijn platleggen. Dus: begin met inzicht.”

“Een simpele scan of inventarisatie laat zien wat er speelt. Dan ontdek je bijvoorbeeld dat HR cloudtools gebruikt zonder MFA, waar gevoelige data doorheen gaat. Als je weet wat er is, kun je risico’s in kaart brengen, prioriteren en kosten inschatten. Zonder inzicht tast je in het duister.”

Gerelateerde artikelen

Microsoft integreert Security Copilot in Microsoft 365 Enterprise

Duitse NIS2-wetgeving versnelt bij Nederlandse foodbedrijven de NIS2-certificering

ENISA NIS Investments-rapport 2025: Investeringen, uitdagingen en risico’s in de keten

Allinco en Samen Digitaal Veilig bundelen krachten voor toekomstbestendige cybersecurity

Lupasafe en Samen Digitaal Veilig kondigen strategische samenwerking aan voor NIS2 en NIS2 Quality Mark-compliance
Interesse in dit onderwerp?

We houden je op de hoogte!

Terug naar overzicht