Lupasafe maakt grote stappen in de Europese cybersecuritysector met de introductie van one-click compliance voor de NIS2 richtlijn. Dankzij steun van onder andere de Europese Commissie, Mastercard Strive en de innovatieve aanpak van Lupasafe, positioneren zij zich als een leidende kracht in meetbaar digitale veiligheid voor mkb’ers. Litouwen en België zijn de eerste landen waar de compliance-oplossing wordt uitgerold, met Nederland en Spanje als volgende doelen. Cybersecurity-redacteur Jan Meijroos spreekt met Willemijn van de Lagemaat van Lupasafe over hoe Hollandse innovatie zich kan onderscheiden op Europees niveau.
Wat doet Lupasafe en wie is Willemijn?
Willemijn: ‘Lupasafe is een cybersecurity SaaS platform voor MSP’s, auditors en mkb in het algemeen. Wij bieden een platform dat bedrijven helpt bij het identificeren en beheren van digitale risico’s, van policies tot secure score en van netwerk scannen tot awareness. In gewone mensentaal: we kijken hoe een hacker bij jou binnen kan komen. Binnen Lupasafe geef ik leiding aan de productontwikkeling, met focus op de menskant.’
Kun je de menskant van Lupasafe eens nader toelichten?
Willemijn: ‘90% van aanvallen bij een mkb beginnen bij de medewerker. Wij bieden e-learning trainingen en (spear)phishingtesten aan bij onze gebruikers. Met name phishing is echt een groot risico. Gemiddeld 40% van de gebruikers deelt haar username en wachtwoord in een test. We zien dat dankzij AI phishing berichten sneller beter worden dan dat medewerkers die kunnen herkennen.’
‘Regelmatig krijgen we klanten die nog niet zoveel testen hebben gedaan of die bij ons aankloppen omdat ze het slachtoffer zijn geworden van phishing. Het gebeurt vaak en de gevolgen zijn groot. De visie van Lupasafe is dat we de mkb’er kunnen vertellen, direct of via de MSP, wat de impact zou zijn van een breach, is je zakelijke- of prive laptop veilig tegen malware, heb je zelf gekochte apparaten die IT niet beheert, hoe kwetsbaar zijn je kantoor netwerk en je cloud?´
‘Daarnaast nemen onze klanten deel aan onze awareness sessies, continue leren. Dat zijn korte maandelijkse trainingen over de basics van cybersecurity, zoals wachtwoorden, privacy, social media, AVG en wat te doen in geval van een incident. Deze training hebben we ontwikkeld met de support van Mastercard Strive.’
Wat doen jullie om NIS2 compliance toegankelijk te maken voor mkb´ers?
Willemijn: ‘We wachten in Nederland nog op de definitieve wetgeving. Om een voorbeeld te geven van de Cyber Essentials standaard in de UK, deze bevat een honderdtal vragen, zeventig zijn technisch van aard. Met Lupasafe draai je met één click een export met de voor-ingevulde vragen. Die zijn vrij lastig voor een ondernemer of IT-leverancier en kosten veel tijd: welke browsers en versies gebruik je, waar gebruik je firewalls, welke antivirus oplossingen heb je waar geïnstalleerd?’
Lupasafe maakt gebruikt van een dashboard dat – naast voortdurende monitoring van medewerkers, processen en technologie – een sectie ‘compliance’ bevat. Dit onderdeel biedt een overzicht van de naleving van wet- en regelgeving, waaronder de aankomende NIS2. Lupasafe levert zo een volledige analyse van cyberrisico’s en een methodologie voor integratie in een NIS2 applicatie. Gebruikers kunnen via het portal bedrijfsinformatie toevoegen, waarna een rapport wordt gegenereerd met gegevens die Lupasafe heeft verzameld. Dit rapport is afgestemd op de nieuwste NIS2 eisen. De ontwikkeling van deze functionaliteit wordt ondersteund door de Europese Commissie. Momenteel vindt de uitrol plaats in Litouwen, met Nederland later dit jaar. Daarnaast biedt Lupasafe deze tools al voor andere bestaande Europese en nationale certificeringsschema’s, zoals bijvoorbeeld Cyber Fundamentals in België en Cyber Essentials in het Verenigd Koninkrijk.
Kun je in algemene zin iets zeggen over jullie klantenportfolio?
Willemijn: ‘Onze twee oprichters, Han en Bas, zijn al jong begonnen als ethical hackers. Zij werkten daarna voor Nederlandse- en Britse banken en verzekeraars. Daar zagen zij, dat er in die wereld veel goed geregeld is qua security, maar voor het mkb nog niet.’
‘Hoe breng je cybersecurity aan de man bij mensen die het een ingewikkeld onderwerp vinden en het nut er niet van inzien? Die denken vaak: “Dit doet mijn IT-partner toch?” Vanuit dat idee hebben we Lupasafe opgezet, om cybersecurity onafhankelijk te beoordelen, de cybersecurity status van een bedrijf inzichtelijk te maken voor mkb’ers en om ondernemers bewust te maken van hun verantwoordelijkheden. Onze klanten zijn mkb´ers die graag iets aan cybersecurity willen doen, maar niet weten waar ze moeten beginnen, en volwassen bedrijven.’
Je ziet bijna wekelijks wel iets in het nieuws over bedrijven die gehackt zijn. Worden jullie pas gebeld als er iets is gebeurd?
Willemijn: ‘Ja, dat gebeurt helaas vaak. Mensen worden pas echt bewust van de risico’s als ze die onder ogen zien. Onze focus ligt echt op preventie. Voorkomen dat er brand uit breekt. Wij willen voorkomen dat er iets gebeurt, maar vaak komen klanten pas bij ons nadat er iets is gebeurd.’
‘We werken samen de IT-partijen om de klanten goed inzicht te geven in de maatregelen, risico’s en voortang. Omdat we onafhankelijk data verzamelen kunnen we regelmatig ook de IT partij verrassen met onverwachte risico’s.’
Jullie hebben een samenwerking met Samen Digitaal Veilig. Hoe kijk je als expert naar hun platform en wat zij doen?
Willemijn: ‘De waarde van Samen Digitaal Veilig ligt in hun brede netwerk en de kennis die ze verzamelen en delen. Samen sta je sterk. Dat merken wij ook in ons collectieve project, de Cybermonitor. Dat is, net als het NIS2 Quality Mark Basic, een goed startpunt voor bedrijven die niet weten waar ze moeten beginnen. Vooral voor mkb-bedrijven is het creëren van die awareness cruciaal. Veel mkb’ers voelen zich geïntimideerd door de gedachte dat ze dezelfde maatregelen moeten treffen als grote corporates, maar dat is vaak niet zo. Ze moeten wel een aantal basisregels naleven en daar helpt het NIS2 Quality Mark en de Lupasafe Cybermonitor bij.’
Wat zou jij als belangrijkste advies willen meegeven aan (kleinere) ondernemers?
Willemijn: ‘Zorg dat je back-up van gevoelige gegevens op orde is en aantoon baar werkt. Daarnaast, “Cyber doe je samen”. De hele organisatie is verantwoordelijk voor de veiligheid van het bedrijf, niet alleen de IT-partner. Alle medewerkers moeten zich betrokken voelen en alert blijven. Uiteindelijk is cybersecurity de verantwoordelijkheid van de CEO. Beslissingen over cybersecurity moeten in de bestuurskamer genomen worden, niet afgeschoven op de IT-manager. Kostbare gegevens wil je veilig stellen, net zoals je goud zou beveiligen. Gegevens zijn ook goud, en die wil je beschermen.’
Bij moderne bedrijfsvoering hoort dat cybersecurity in de bestuurskamer besproken wordt?
Willemijn: ‘Precies. Beslissingen over cybersecurity moeten worden genomen in de bestuurskamer. Als je als ondernemer zelf lekker wilt slapen, moet je in ieder geval ervoor zorgen dat je gegevens veilig zijn en je een goed werkende back-up hebt. Dat is een goed startpunt voor veel organisaties.’