Hunt & Hackett is een gespecialiseerd cybersecuritybedrijf dat zich richt op het helpen van klanten bij het detecteren, voorkomen en mitigeren van cyberaanvallen. Marcel van Oirschot, Commercial Director bij Hunt & Hackett vergelijkt hun diensten vaak met een alarmsysteem voor de digitale omgeving, waarbij het belangrijk is om snel op de hoogte te zijn van eventuele inbraken. Hoewel ongeveer 80% van hun klanten internationale vestigingen heeft, zijn dit veelal Nederlandse bedrijven. Het bedrijf, gevestigd in Den Haag, is trots op zijn Nederlandse wortels. Men richt zich vooral op bedrijven waar de combinatie van IT en OT (operationele technologie) cruciaal is. Cybersecurityredacteur Jan Meijroos spreekt met Van Oirschot over netwerksegmentatie, stapsgewijs voldoen aan NIS2 én… tomaten!
Hoe breed of smal is de scope van jullie diensten?
Marcel: ‘Onze scope is zeer specifiek. We focussen ons primair op het monitoren en detecteren van aanvallen en het leveren van incident response capaciteit. Daarnaast zorgen we ervoor dat onze klanten voorbereid zijn op incidenten. Binnen het grote securitylandschap beslaan we maar een klein stukje, omdat we geloven in een gefocuste aanpak. We willen kwaliteit leveren op het allerhoogste niveau en dat kan alleen als je niet alles doet. Ik vergelijk dat vaak met bedrijven zoals V&D, die alles deden, maar daardoor nergens echt in uitblonken. Wij doen een paar dingen heel goed, voor de overige zaken hebben we een heel goed ecosysteem.’
En wat is het type klanten dat jullie bedienen?
Marcel: ‘Wij richten ons primair op vier sectoren: de maakindustrie, de landbouw, de logistieke sector en de maritieme sector. Dit zijn sectoren die we leuk vinden en waar belangrijke, maar soms minder zichtbare bedrijven in zitten. We doen ook werk voor de overheid, maar zijn selectief in welke klanten we bedienen. De meeste van onze klanten hebben tussen de 250 en 10.000 medewerkers. Bedrijven die groter zijn, kopen vaak zelf technologie en integreren die zelf. Wij willen echt een partner zijn voor bedrijven die groot genoeg zijn om interessant te zijn voor cybercriminelen, maar niet groot genoeg om alles zelf te doen.’
Werken jullie veel met bedrijven die in ketens opereren?
Marcel: ‘Zeker, ketenafhankelijkheid is enorm belangrijk, vooral in de sectoren waarin wij actief zijn. Neem bijvoorbeeld het Westland, waar we veel klanten hebben. Bedrijven daar zijn vaak onderdeel van een complexe keten van leveranciers, producenten en distributeurs. Niemand kan het meer alleen. Een voorbeeld is Agrocare, een grote tomatenkweker. Hun output is een tomaat, maar die moet verpakt en verhandeld worden, wat door andere bedrijven gebeurt. Als er ergens in die keten een zwakke schakel zit, kan dat leiden tot grote problemen. Bedrijven moeten zich daarvan bewust zijn.’
Het keten-denken is cruciaal én vaak onderbelicht?
Marcel: ‘Precies. Er is geen bedrijf meer in Nederland dat het allemaal zelf doet. Iedereen is 100% afhankelijk van toeleveranciers en klanten, die ook nog allemaal volledig digitaal verbonden zijn. Los hiervan weten bedrijven vaak niet welke programmatuur ze hebben, waar deze draaien, wat cruciaal is voor de continuïteit. Vaak worden hier aannames gedaan die na doorvragen niet blijken te kloppen.’
Hoe kijk jij in zijn algemeenheid tegen de cyberweerbaarheid van het mkb aan?
Marcel: ‘Het is heel verschillend. Sommige bedrijven zijn er heel actief mee bezig, terwijl anderen denken dat de soep niet zo heet gegeten wordt. Als ze ons bellen, is het vaak omdat er al iets is gebeurd. Soms is de voordeur al met een koevoet opengebroken.’
En dan is het kwaad al geschied…
Marcel: ‘Soms wel. Security is een ongrijpbaar fenomeen. Er is denk ik geen enkel managementteam van een mkb-bedrijf dat security onbelangrijk vindt, maar de vraag is of het ook dringend is. Dringend wordt het pas als er iets misgaat of als er externe druk komt, bijvoorbeeld bij een hack, een overname, uitbreiding of wetgeving.’
Hoe belangrijk is die urgentie?
Marcel: ‘Het is altijd een uitdaging om het onderwerp zowel belangrijk als dringend te maken. In veel gevallen wordt een securityproject opgepakt, maar als er andere prioriteiten zijn, wordt het snel opzij gelegd. Dat is begrijpelijk, want directies hebben veel op hun bordje: mensen, investeringen, regelgeving en meer. Maar als je eenmaal gehackt bent, is het te laat. Soms komen we binnen als het huis al in brand staat en dan is er niet veel meer te doen.’
Zijn er specifieke situaties die je zijn bijgebleven, waarin je dacht: hoe is het mogelijk dat dit zo fout kon gaan?
Marcel: ‘Ik werk regelmatig aan projecten bij grote bedrijven waar een dag stilstand miljoenen kost. Dan blijkt dat de back-up faciliteiten niet goed geregeld zijn. Ze maken wel een back-up, maar niemand test deze en niemand weet eigenlijk zeker of de juiste data überhaupt wordt geback-upt.’
‘Waarom mensen zo laks zijn? Het probleem is vaak heel simpel: het is niet sexy. Één van mijn collega’s heeft een mooie uitspraak: “Security op orde krijgen is gewoon hard werken.” Het gaat om het heel goed uitvoeren van de basisdingen, zoals netwerksegmentatie, backups en software updaten. Maar dat werk is vaak saai en wordt niet gezien als uitdagend of innovatief. Bedrijven kopen liever nieuwe, geavanceerde technologieën of kijken naar de nieuwste AI-tools, terwijl de basis nog niet eens op orde is.’
Kun je dat eens concreet maken?
Marcel: ‘Een paar maanden geleden, was ik bij een middelgroot productiebedrijf in de Randstad met zo’n 200 tot 250 medewerkers. Ze hadden daar slechts twee wachtwoorden voor hun ERP-systeem: één voor het kantoor en één voor de fabriek. Iedereen gebruikte dezelfde wachtwoorden. In een ERP-systeem zitten je financiën, voorraadbeheer, productiebesturing… alles. Het is cruciaal voor een productiebedrijf. Toen ik dit zag, kon ik alleen maar denken hoe kwetsbaar ze waren.’
Waarom kiest een bedrijf daarvoor?
Marcel: ‘Omdat het makkelijk is. Dit bedrijf wilde geen gedoe met medewerkers die hun eigen wachtwoord moesten onthouden of instellen. Men wist zelf ook wel dat het anders moest, maar deed het niet omdat het verandering en waarschijnlijk ook weerstand zou opleveren. Maar als je niet weet wat je beheert in je netwerk, hoe kun je het dan beschermen?’
Kun je nog meer voorbeelden noemen?
Marcel: ‘En vier of vijf maanden geleden waren we bij een vitale infrastructuurorganisatie. Ze hadden geweldige technologie aangeschaft, echt high-end spullen, maar het was nog niet geïmplementeerd. Dat is alsof je een Ferrari koopt van een half miljoen, maar je hebt geen rijbewijs, of erger nog, je laat de auto buiten staan weg te roesten. Niets hield hen tegen om het goed te implementeren, maar het werd gewoon niet gedaan. Dit soort situaties laten zien hoe belangrijk het is om niet alleen te investeren in technologie, maar ook in het daadwerkelijk toepassen ervan.’
‘Een ander voorbeeld dat helaas vaker voorkomt dan je zou verwachten, is het niet segmenteren van een netwerk. Stel je voor dat je een cybercrimineel bent en je krijgt toegang tot het netwerk van een bedrijf. Als het netwerk niet gesegmenteerd is, heb je meteen toegang tot alles. Dat is echt een hoog risico! Het komt allemaal neer op het op orde hebben van de basis. Je kunt wel fancy AI-technologieën inzetten, maar als de fundering niet goed is, heeft dat geen zin.’
Hoe kijk je naar de uitdagingen die bedrijven hebben met betrekking tot NIS2?
Marcel: Als sector denken we vaak dat iedereen begrijpt wat NIS2 is en wat het inhoudt, maar dat is verre van de waarheid. Als je vijftien CFO’s van mkb-bedrijven zou uitnodigen, zou het merendeel niet weten wat NIS2 is. Misschien zelfs meer. Er is nog veel werk te doen op dit gebied.’
Hoe kijk je naar jullie samenwerking met Samen Digitaal Veilig?
Marcel: ‘Ik zie het als een maatschappelijke verantwoordelijkheid. Digitalisering is een fenomeen dat ons allemaal aangaat, vooral in een land als Nederland, dat zeer gedigitaliseerd is. Mijn sector maakt het echter vaak ingewikkeld door in onbegrijpelijke termen te praten, wat niet helpt om het toegankelijk te maken voor leken. Maar we moeten de risico’s van digitalisering wel onder ogen zien. Sommigen zeggen dat we minder moeten digitaliseren, maar dat is gewoon niet mogelijk. Het is een trein die niet te stoppen is, net zoals AI. Het is overal en we moeten ermee leren omgaan.’
Wat vind je van initiatieven zoals het NIS2 Quality mark dat Samen Digitaal Veilig in licentie heeft?
Marcel: ‘Ik vind het een heel pragmatische aanpak. Veel certificeringen zijn kostbaar en duren lang en ze zijn vaak niet praktisch toepasbaar voor kleinere bedrijven. Het NIS2 Quality Mark is daarentegen een checklist-achtige benadering die bedrijven helpt om stapsgewijs te voldoen aan de eisen van NIS2. Het past goed bij kleinere bedrijven die niet de middelen hebben om grootschalige investeringen in security te doen en voor wie zware normen soms ook helemaal niet passend zijn.’
‘Dit soort initiatieven zijn vooral nuttig voor bedrijven in ketens, zoals bijvoorbeeld de kwekerijen die lid zijn van telercoöperaties. Het keurmerk helpt niet alleen de kwekerijen zelf, maar ook de coöperaties die hen ondersteunen, om hun digitale weerbaarheid te verbeteren. Zonder je gek te laten maken door de hypes van de dag.’
Denk je dat bedrijven vaak worden verleid door buzzwords zoals AI?
Marcel: ‘Absoluut. AI is nu het buzzword, maar twee jaar geleden was het machine learning, en daarvoor hadden we Internet of Things. Over twee jaar komt er weer iets anders. Het probleem is dat de sector vaak vooruit loopt op wat bedrijven en klanten daadwerkelijk kunnen absorberen. Ze lopen vaak vijf tot acht jaar achter, niet omdat ze dat willen, maar omdat ze gewoon te veel andere dingen hebben die ook belangrijk zijn.’
De focus op de basis is ook de gedachte achter het NIS2 Quality Mark?
Marcel: ‘Ja, precies. Het keurmerk begint met de basis op orde brengen. Eerst de fundamenten goed hebben en dan kun je in stappen verder groeien. Het is belangrijk om binnen je eigen organisatie scherp te blijven en continu te verbeteren.’
En naar buiten toe?
Marcel: ‘Bedrijven moeten uitzoomen en nadenken over hun positie in de keten. Neem bijvoorbeeld een tomatenkweker: die is misschien goed beveiligd, en het veilinghuis ook, maar de tomatenverpakker in het midden? Die denkt vaak: “Het zal wel.” Maar als die verpakker stilvalt, heeft dat enorme gevolgen voor de hele keten. De kweker kan zijn product niet kwijt en het veilinghuis heeft niets om te verkopen.’
‘Of pak een groot logistiek bedrijf. De IT-werkplekken zijn misschien belangrijk, maar het warehouse-managementsysteem is hier de kritische asset. Dat systeem zorgt ervoor dat alles in het magazijn op de juiste plek staat. Ligt dat plat dan staat alles stil.’
‘Kortom; bedrijven moeten veel beter kijken naar wat echt bedrijfskritische applicaties en processen zijn en daar hun beveiliging op richten.’