Spring naar content

Roy Sandbergen (Hallo): “Wat vandaag veilig is, kan morgen alweer kwetsbaar zijn”

Veel mkb-bedrijven denken nog steeds dat cybercriminelen vooral geïnteresseerd zijn in grote organisaties. Dat ze zelf te klein zijn om interessant te zijn. Volgens Roy Sandbergen, CISO van ICT-dienstverlener Hallo, is dat een gevaarlijke misvatting.

“De vraag is niet wat een aanvaller bij je kan halen. De vraag is wat er gebeurt als je systemen morgen niet meer werken.”

Met ruim 12.000 klanten ziet Hallo dagelijks hoe afhankelijk bedrijven zijn geworden van digitale systemen. Van e-mail en facturatie tot planning en productie. Volgens Sandbergen komt dat besef van risico vaak pas als het te laat is. Wanneer een mailbox wordt overgenomen, klanten valse facturen ontvangen of medewerkers ineens niet meer bij hun systemen kunnen. “Dan merk je pas hoe afhankelijk je bent geworden.”

Cybersecurity is nooit af

Veel organisaties behandelen cybersecurity nog steeds als een project. Ze voeren een aantal maatregelen door, zetten MFA aan en denken vervolgens dat ze klaar zijn. Volgens Sandbergen werkt het niet zo.

“Wat vandaag veilig is, kan morgen alweer kwetsbaar zijn. Een paar jaar geleden hadden veel bedrijven bijvoorbeeld nog geen MFA. Als je dat implementeerde, maakte je het hackers direct een stuk moeilijker. Tegenwoordig zien we dat aanvallers ook mét MFA sessies kunnen overnemen nadat iemand succesvol heeft ingelogd. Dat laat zien hoe snel het speelveld verandert.”

Cybersecurity vraagt dus continue om aandacht. Nieuwe technologieën zoals AI zorgen er bovendien voor dat zowel verdedigers als cybercriminelen steeds sneller worden.

Begin met de basis

Volgens Sandbergen valt er bij veel mkb-bedrijven nog enorme winst te behalen met relatief eenvoudige maatregelen:

  • Multifactor-authenticatie (MFA)
  • Goede back-ups
  • Patchmanagement
  • Security awareness voor medewerkers
  • Duidelijke verantwoordelijkheden

Juist deze maatregelen voorkomen een groot deel van de incidenten.

Een praktische route voor het mkb

Als CISO van Hallo is Sandbergen verantwoordelijk voor informatiebeveiliging en kwaliteitsmanagement binnen een organisatie die zelf gecertificeerd is volgens onder meer ISO 9001, ISO 27001en NEN 7510. Hallo werkt samen met Samen Digitaal Veilig en behaalde zelf recent ook aanvullend het NIS2-SC30 certificaat.

Volgens Sandbergen zit de kracht van de aanpak in de praktische opbouw: NIS2-SC10 als basis voor mkb, NIS2-SC20 voor verdere professionalisering en NIS2-SC30 voor professionele organisaties met hogere risico’s

“Je hoeft niet alles tegelijk te doen. Je kunt aantoonbaar stappen zetten en steeds verder groeien.”

Certificering is een sterke basis, maar geen eindpunt

Steeds meer organisaties vragen leveranciers om certificeringen. Het halen van NIS2 Supply chain certificering is nodig maar Sandbergen waarschuwt om certificering niet als einddoel te zien.

“Een certificaat laat zien dat bepaalde zaken aantoonbaar zijn ingericht. Dat is heel waardevol.  Voor jezelf en voor je klanten. Maar toch moet je kritisch blijven kijken. Je kunt een uitstekend gecertificeerde leverancier hebben, maar als de dienstverlening niet aansluit op jouw behoeften, ontstaat er alsnog een risico. Daarom blijft het gesprek tussen klant en leverancier essentieel. Je moet periodiek blijven kijken naar wat je afneemt, wat je verwacht en of dat nog steeds bij elkaar past.”

NIS2 zet het mkb in beweging

Dat de nieuwe wetgeving steeds meer gaat leven, merkt Hallo dagelijks in gesprekken met klanten. Vooral grotere organisaties die straks rechtstreeks onder de NIS2 Cyberbeveiligingswetgeving vallen, zijn al volop bezig met hun voorbereidingen. Tegelijkertijd ziet Sandbergen dat de impact veel verder reikt dan die groep alleen.

Veel mkb-bedrijven leveren namelijk aan organisaties die onder NIS2 vallen. En juist daar ontstaat een belangrijke beweging. Grote bedrijven worden verantwoordelijk voor risico’s in hun toeleveringsketen en gaan daarom steeds vaker vragen stellen aan leveranciers.

Sandbergen: “Klanten willen weten: heb je je beveiliging op orde? Welke maatregelen heb je genomen? Kun je dat aantonen? Daardoor krijgen ook bedrijven die niet rechtstreeks onder de wet vallen ermee te maken, simpelweg omdat hun klanten erom vragen en je toont dat aan door certificering te halen”

Je kunt cybersecurity niet volledig uitbesteden

Volgens Sandbergen blijft de verantwoordelijkheid uiteindelijk altijd bij de organisatie zelf.

“Natuurlijk heeft een leverancier een verantwoordelijkheid, maar uiteindelijk gaat het om jouw bedrijfsvoering.”

Daarom moeten NIS2-organisaties en ook mkb-bedrijven regelmatig beoordelen: Welke leveranciers kritisch zijn, welke risico’s zij veroorzaken, welke afspraken zijn gemaakt en hoe zorg je voor goed bewijs hiervan.

Gerelateerde artikelen

CISO’s spelen een sleutelrol in een veilige supply chain

NIS2 Cyberbeveiligingswet mogelijk op 15 augustus van kracht

Steeds meer bedrijven vallen onder de NIS2, ook producenten van diervoeding

Waarom onze leveranciers tegelijkertijd fijn én gevaarlijk zijn

Meer dan de helft van bedrijven verliest binnen 24 uur omzet na cyberaanval
Interesse in dit onderwerp?

We houden je op de hoogte!

Terug naar overzicht