Ekco is een van Europa’s meest toonaangevende managed cloud serviceprovider. Cybersecurity- redacteur Jan Meijroos sprak met Commercieel Directeur Rody van Egmond over blinde vlekken, warrooms en toeleverancier zijn in een kritische keten.
In het kort; waar bestaan jullie werkzaamheden uit?
Rody: ‘Wij leveren cloud – en securityoplossingen aan mkb-bedrijven met tussen de 50 en 750 werkplekken. Tegenwoordig vooral in abonnementsvormen, waarbij we bedrijven helpen om niet alleen een IT-infrastructuur te bouwen en te beheren, maar vooral ook om deze veilig te houden. De uitdaging die we hebben, is klanten bewust te maken dat security geen “set and forget” is. Klanten denken vaak: “Ik heb mijn IT-project afgerond, dus nu is het klaar en kan ik doorgaan met mijn dagelijkse werkzaamheden.” Maar met security moet je dagelijks bezig zijn. We hebben nog wel wat evangeliewerk te doen om bewustzijn te creëren, niet alleen bij de IT’ers en gebruikers, maar ook bij management en directie. Ik merk nog dat er veel wordt gedacht “IT regelt dit wel”.’
Maar is het een blinde vlek of is het ook gewoon van: “Ja, Rody, ik snap het, maar ik heb geen tijd. Ik moet mijn zaak draaiende houden.” Ondernemers snappen dat het nodig is, maar het blijft abstract voor veel mensen?
Rody: ‘Ik denk dat het een combinatie van veel dingen is. In de 25 jaar dat ik meeloop, is security eigenlijk altijd de sluitpost van het IT-budget geweest. Maar ik zie langzaam een kentering bij bedrijven. De gedachte van “wij zijn een klein bedrijf, we zijn niet interessant voor hackers” leeft nog steeds bij velen. Maar hackers kijken daar niet naar. Ze kijken gewoon waar ze binnen kunnen komen en breiden op basis daarvan hun aanvalsplan uit. Onze rol is om veel uit te leggen, voorbeelden te geven en bewustzijn te creëren.’
‘Een leuke manier om dit te doen, is bijvoorbeeld door warrooms voor management te organiseren, waarin we een simulatie van een ransomware-aanval spelen. Het is altijd mooi om te zien, want het eindigt altijd met huiswerk. Waar klanten van tevoren denken “ja, maar dat hebben we wel geregeld,” blijkt in zo’n ransomware warroom dat er veel aannames zijn en veel niet geregeld is.’
Wat komt er aan het eind van zo’n dag naar voren? Wat zijn de vaak gehoorde kreten of learnings die ze met jou delen?
Rody: ‘We maken altijd een gap-analyse. Een belangrijke learning is dat, op het moment dat zoiets gebeurt, men denkt “maar IT regelt dat toch?” IT heeft echter niet zoveel te regelen bij een ransomware-aanval. IT moet wel dingen doen, maar die heeft niet altijd het mandaat. Beslissingen zoals “gaan we wel of niet betalen”, communicatie naar klanten en het inschatten van de impact op de business, zijn management- en directiebeslissingen. Bij een ransomware-aanval is IT zeker belangrijk maar veel zaken zijn ook management en directie gerelateerd.’
‘Een andere learning is: beter een beslissing dan geen beslissing, omdat tijd cruciaal is bij een ransomware-aanval. Het is duidelijk dat een plan noodzakelijk is. In theorie moet je een incident response plan hebben, maar tijdens zo’n simulatie blijkt vaak dat als er al een plan is, dat het nog wel voor verbetering vatbaar is.’
De nieuwe Europese cyberwet, NIS2, maakt ketenzorgplicht belangrijk. Grote bedrijven moeten nu met hun toeleveranciers afspreken hoe zij cybersecurity regelen. Voorheen was de boodschap simpelweg je cybersecurity op orde te hebben, maar nu riskeren grote klanten boetes als hun toeleveringsketen onveilig blijkt. Dit vergroot de urgentie, omdat klanten eerder zullen kiezen voor toeleveranciers die hun zaken wel op orde hebben. Wat is jouw mening hierover?
Rody: ‘Het is heel goed dat dit gebeurt. Wat me verbaast is dat veel bedrijven in de toeleveringsketen nog niet eens van NIS2 hebben gehoord. Dat vind ik zorgelijk. Dit soort maatregelen doe je niet even op een vrijdagmiddag. Dat vraagt tijd. Het verbaast me dat veel bedrijven die in de keten zitten niet weten wat er moet gebeuren en als ze het al weten, met hun handen in het haar zitten van: waar moet ik beginnen en wat moet ik doen? Ook onze overheid is nog onduidelijk over wat het voor Nederland gaat betekenen. Desalniettemin het kan nooit minder zijn dan de Europese richtlijn en daar kunnen bedrijven zeker mee aan de slag.’
‘Ik sprak onlangs nog een bedrijf dat toeleverancier is aan een raffinaderij voor brandstof en olie. Een kritische keten om een land draaiende te houden, maar ze hadden nog nooit van NIS2 gehoord, laat staan dat ze zich ervan bewust waren dat ze een toeleverancier in een kritische keten zijn. Dus ja, we hebben te weinig tijd om het hele mkb in Nederland op tijd gereed te maken en te helpen. Maar ik denk dat het goed is als bedrijven beginnen. Ik verwacht niet dat iedereen op tijd klaar is als de wet begin volgend jaar ingaat, maar liever gisteren beginnen dan morgen. Dat is het advies.’
Hoe kijk je naar het NIS2 Quality Mark vanuit jouw rol als expert, een norm speciaal gericht op dat mkb?
Rody: ‘Ik ben blij met de introductie van deze norm. Wij misten een gelaagd model. mkb-bedrijven verschillen in grootte en volwassenheid. De NIS2 eisen komen dicht bij een ISO 27001-normering, wat voor kleine bedrijven te veel is om in korte tijd te regelen. De norm die Samen Digitaal Veilig in licentie heeft biedt een groeimodel zodat bedrijven niet ineens van niks naar ISO 27001 hoeven. Dit model vertaalt maatregelen naar praktische niveaus die elke mkb’er begrijpt. Het combineert techniek, proces en mensen, en maakt het behapbaar.’
Wat is het voordeel van het NIS2 Quality Mark volgens jullie?
Rody: ‘Het is fijn dat dit model onafhankelijk is. Nu kunnen wij op onderdelen aanhaken en zijn we meer een gesprekspartner voor de klant.’
Hoe is de samenwerking met Samen Digitaal Veilig tot stand gekomen?
Rody: ‘We wilden de NIS2 materie niet alleen technisch aanvliegen. We kwamen continu in de juridische sector uit, waar het veel ging over wetgeving en de negatieve consequenties van niet voldoen. Het NIS2 Quality Mark is veel positiever: eerst helpt men je naar een basisniveau en daarna kun je verder groeien. Dit trapsgewijze model toont toeleveranciers dat je ermee bezig bent en dat je in een groeimodel zit., inclusief een audit en erkend Quality Mark. Dat is veel waard, omdat bedrijven begrijpen dat je niet in één keer op bijv. niveau ISO 27001 kan komen.’
Kun je een voorbeeld van een recent cyberincident noemen die bij een klant speelde?
Rody: ‘Twee jaar geleden belde een klant dat hij onze hulp nodig had… Echt een serieuze aanval, en de directeur zei ’s avonds om negen uur: “ik ga naar huis, ik moet hier echt een nachtje over slapen.” Hij zag zijn hele bedrijf ten onder gaan en besloot: “ik ga naar huis en morgen ben ik er weer.” Dat is begrijpelijk, maar natuurlijk niet de beste actie om twaalf uur lang niets te doen. Men was gewoon niet goed voorbereid op wat er kon gebeuren. Zo was er was geen draaiboek en geen besef dat bij een herstel er nog de nodige tijd overheen gaat. Dan slaat blinde paniek toe.’
Hij had zoiets van: “Dit komt nooit meer goed. Ik zie het niet meer zitten”?
Rody: ‘Ja, en dan kom je op een cruciaal punt: hebben we goede backups en hebben we het vertrouwen dat die werken? Of komt er een moment waarop we moeten beslissen of we gaan betalen? Iedereen zegt van tevoren: “nee, we betalen nooit,” maar als je zaken niet goed geregeld hebt, is er bijna geen andere optie. Het is je bedrijf ten onder zien gaan of betalen.’
‘Daarom is NIS2 zo belangrijk. De nieuwe cyberwet geldt voor essentiële en belangrijke bedrijven, maar eigenlijk zou ieder bedrijf die richtlijnen moeten volgen om je maatregelen beter op orde te hebben. Ik zeg altijd tegen onze klanten en directies: het is niet de vraag of je gehackt wordt, maar wanneer. Het is een utopie om te denken: mij overkomt dat niet. De ervaring leert dat met de juiste maatregelen de impact kleiner is. Wees dus goed voorbereid!’
Kun je nog meer concrete voorbeelden noemen van vervelende incidenten bij klanten?
Rody: ‘Phishing veroorzaakt veel schade. Bedrijven denken vaak: “daar trap je toch niet in?” Maar ik ken voorbeelden van bedrijven die rekeningen op verkeerde rekeningnummers betaalden door aangepaste mails en facturen. Het vier-ogen-principe ontbrak. Ik heb gevallen gezien waar tweeënhalve ton werd betaald aan een verkeerde partij. Dat is een hard gelag. En als je kijkt hoe criminelen dat voor elkaar krijgen, dat is best vernuftig.’
Het is bijna niet meer van echt te onderscheiden…
Rody: ‘Ja, onlangs hadden we nog een voorbeeld van nagemaakte inlogpagina’s van Microsoft met de juiste icoontjes, inclusief die van het bedrijf zelf. Je moet echt heel goed kijken om te zien of het echt is. Hoe train je eindgebruikers om dit te herkennen? In de waan van de dag en met snel klikken op je mobiel, gaat het in een split second fout.’
Wat is tenslotte jouw belangrijkste advies voor mkb’ers op het gebied van cybersecurity?
Rody: ‘Security is niet set and forget. Het is een dagelijkse bezigheid. Misschien zou ik moeten zeggen: assume breach. Simuleer maar eens een aanval en je zult versteld staan van de gaten in je beveiliging. Daarnaast is het belangrijk dat de markt erkent dat ook mkb-bedrijven kwetsbaar zijn. Tenslotte wil ik benadrukken dat security niet alleen een IT-aangelegenheid is, maar ook een management- en board-aangelegenheid. Management moet beseffen dat security ook hun verantwoordelijkheid is.’
