Helixis is een Information Security Agency met een missie om de informatiebeveiliging bij bedrijven en organisaties continu te verbeteren. Cybersecurityredacteur Jan Meijroos sprak met Certified Information Security Manager Gregor Abbas over Multi-Factor Authentication, risico’s in de keten en basis cyberhygiëne.
Hoe zou je jullie dienstverlening in het kort omschrijven?
Gregor Abbas: ‘Wij zijn Helixis en wat wij doen is dat wij bedrijven grip geven op hun informatiebeveiliging. Wij werken langs de lijn van ISO 27001 en 27002, omdat deze veel handvatten bieden voor maatregelen om risico’s af te dekken. Dit sluit ook voor een groot gedeelte aan bij de NIS2 richtlijn die binnenkort in Nederlandse wetgeving wordt vertaald. Wij kiezen voor een pragmatische aanpak, dus geen dikke rapporten, maar snel over tot realisatie. Wij doen consultancy, project- en programmamanagement. Daarnaast leveren wij as-a-service diensten op het gebied van CISO en ISO.’
Bedienen jullie een specifiek type klant in bepaalde sectoren, of is jullie klantenportfolio vrij breed?
Abbas: ‘Onze klantenportefeuille is vrij breed. We werken momenteel in de retail en e-commerce, maar we hebben ook ervaring in de verzekeringssector. Daarnaast willen we ons gaan richten op woningcorporaties om hen te helpen. In die laatste sector zien we veel behoefte om dingen beter, slimmer en anders te doen. Met onze kennis en ervaring denken we dat we hen goed kunnen helpen. We werken met organisaties van 60 tot enkele duizenden medewerkers.’
Benaderen bedrijven jullie veelal preventief of als het al te laat is?
Abbas: ‘Wat wij nu zien, is dat bedrijven ons vooral preventief benaderen. De aandacht voor informatiebeveiliging neemt toe, mede door nieuws en compliance vereisten.
Vaak vragen klanten ons om hulp bij het inrichten van hun informatiebeveiliging omdat ze zelf niet de kennis en ervaring in huis hebben. Ze willen zicht krijgen op hun risico’s en zorgen dat ze daar regelmatig bij stilstaan, evenals passende maatregelen treffen.’
Wat zie je de komende jaren gebeuren op het gebied van cybersecurity? Wordt het steeds belangrijker?
Abbas: ‘In Nederland doen we al veel, maar we moeten echt nog veel meer doen. Cybercriminelen ontwikkelen hun methoden continu. Het is een wapenwedloop waarbij je als organisatie weerbaar moet zijn en de impact van incidenten zoveel mogelijk moet beperken om daarna weer snel operationeel te zijn na een incident.’
Kun je iets vertellen over vervelende, precaire situaties die jullie zijn tegengekomen?
Abbas: ‘Soms zien we verouderde software en – systemen, soms wel een decennium oud, waar weinig tot geen updates op zijn uitgevoerd. Dit is een grote kwetsbaarheid waardoor criminelen makkelijker kunnen binnendringen. Dit gebeurt bij klanten vaak onbewust; bedrijven zijn er altijd niet mee bezig en hebben geen alternatief voor de verouderde systemen, waardoor deze kwetsbaarheden blijven bestaan.’
Een cyberongeluk zit in een klein hoekje?
Abbas: ‘Het kan zomaar voorkomen én het kan bij iedere organisatie gebeuren, maar bij verouderde systemen is de kans aanzienlijk groter. Het is ook gewoon schieten met hagel. Als cybercrimineel kun je duizenden e-mails versturen naar bedrijven. Er hoeft maar één iemand bij een bedrijf te zijn die een corrupt bestand opent en vervolgens weet een crimineel toegang te verschaffen als de juiste beveiligingsmaatregelen niet zijn getroffen.’
‘Het is zo eenvoudig als een medewerker die op een bijlage van een e-mail klikt of opent van een persoon waarvan hij dacht dat het een betrouwbare bron was, omdat hij er al vaker contact mee had gehad. En dan zie je dat een crimineel in de mailbox van een particulier terechtkomt en van daaruit contact zoekt met het bedrijf, met een corrupt bestand erbij. Op die manier weet een crimineel toegang te krijgen.’
Wat is eigenlijk het eerste wat jullie doen bij bedrijven? Wat proberen jullie mee te geven in dat eerste contactmoment, dat eerste gesprek waarbij jullie een kijkje in de keuken krijgen?
Abbas: ‘We hebben een aantal basisvragen om te kijken of mensen daar aandacht voor hebben. Zoals “Kennen jullie de risico’s die je als organisatie loopt?” en “Zijn jullie je bewust van deze risico’s bij de realisatie van je strategie?” Vervolgens kijken we naar de maatregelen die in de praktijk zijn getroffen. Doe je als bedrijf aan Endpoint Detection and Response (EDR)? Is Multi-Factor Authentication (MFA) ingeschakeld voor je systemen? Beschik je over back-ups en weet je ook hoe je die succesvol terugzet?’
‘Als je MFA altijd hebt ingeschakeld voor je systemen, dan is het voor een hacker veel moeilijker om binnen te komen. Ze hebben dan altijd een extra code nodig, die jouw authenticatie nodig heeft, om ergens in te loggen.’
Wat wordt de grootste uitdaging voor mkb’ers en bedrijven de komende tijd, ook met het oog op de aankomende NIS2 richtlijn? Voor sommige bedrijven is die ISO 27001 -certificering misschien wel te zwaar. Hoe kijk jij daar vanuit jullie expertise tegenaan?
Abbas: ‘Het allerbelangrijkste is dat je je als bedrijf bewust bent van jouw risico’s, dat je onderdeel bent van een keten en dat je samenwerkt met leveranciers die ook onderdeel zijn van één of meerdere ketens.
‘In een keten is er soms maar één kwetsbaarheid nodig. We hebben voorbeelden gezien van hacks waarbij één stukje software door honderden, zo niet duizenden bedrijven werd gebruikt. Als daar een kwetsbaarheid in zit, kan een hacker bij al die organisaties binnenkomen. Het feit dat je in een keten zit, is heel belangrijk om te beseffen. Dan moet je kijken waar in die keten potentieel kwetsbaarheden aanwezig zijn en hoe je ervoor zorgt dat je daar grip op krijgt en de risico’s in voldoende mate afdekt.’
Door NIS2 komt het ketenverhaal meer op de agenda te staan?
Abbas: ‘Ja, absoluut. NIS2 zorgt ervoor dat essentiële en belangrijke dienstverleners hun keten in kaart moeten brengen. Informatiebeveiliging of cybersecurity wordt noodzakelijk voor bedrijven die leveranciers zijn voor andere organisaties. Ik hoop dat er een kruisbestuiving ontstaat waarbij leveranciers in de basis maatregelen treffen en daarmee ook de benodigde maatregelen hebben getroffen voor andere klanten die ze hebben.
Tot slot, wat is de belangrijkste ‘tegelwijsheid’ die ieder bedrijf op het gebied van digitaal veilig werken tot zich zou moeten nemen?
Abbas: ‘De mens is de sterkste schakel.’