Hoffmann heeft een mooie missie: organisaties helpen om een veilige en integere werkomgeving te realiseren, zodat zij optimaal kunnen blijven functioneren. Van Slooten, wiens expertise ligt bij het assisteren van bedrijven bij het beheersen van veiligheidsrisico’s, deelt inzichten over de huidige staat van cybersecurity en hoe bedrijven zich kunnen wapenen tegen de toenemende dreigingen.
In het kort, wat doet Hoffman?
Van Slooten: ‘We helpen bedrijven in algemene zin met het beheersen van risico’s. Risico’s op het gebied van fysieke veiligheid (inclusief fraude), sociale veiligheid en digitale veiligheid. Mijn persoonlijke focus ligt op het voorkomen van cyberdreigingen zoals hacks en ransomware. We proberen altijd preventief te werken en zien daarbij de mens als cruciale schakel maar soms moeten we reageren op incidenten, zoals recent op een vrijdagavond toen een ICT-bedrijf ons benaderde omdat ze dachten gehackt te zijn.’
Hoe pakken jullie dergelijke situaties aan?
Van Slooten: ‘Wij zijn als bedrijf ISO 27001 gecertificeerd en nemen onze eigen risico’s zeer serieus. Met eenzelfde soort ernst werken we voor onze klanten. We proberen altijd alles te doen om cyberincidenten te voorkomen, maar 100% garantie kun je nooit geven. Bij deze specifieke ICT-partij was de kwetsbaarheid uiteindelijk terug te voeren naar een laptop van een medewerker. Ons doel is dan om de schade zoveel mogelijk te beperken. Een ongeluk zit vaak in een klein hoekje. Ook nu dus.’
Kun je iets vertellen over het soort klanten dat jullie bedienen?
Van Slooten: ‘Onze klanten zijn heel divers. Naast het bedrijfsleven werken we veel voor overheidsinstellingen, onderwijsinstellingen – van basisscholen tot universiteiten- en zorginstellingen, van thuiszorgorganisaties tot academische ziekenhuizen. We bedienen alle organisaties in Nederland, niet alleen grote multinationals.’
Welke trend valt jou het meest op in het cybersecuritylandschap?
Van Slooten: ‘. Hackers en fraudeurs maken over het algemeen weinig onderscheid in hun doelwitten; ze zijn op zoek naar de makkelijkste manier om geld te verdienen. Dat kan bijvoorbeeld ook een notaris zijn vanwege het geld op hun derdenrekening. Daarbij komt dat ransomware-aanvallen een constante dreiging vormen. Alle bedrijven, ongeacht de grootte of sector, moeten serieus gaan investeren in cybersecurity.’
Zijn mkb’ers genoeg bezig met bewust veilig werken?
Van Slooten: ‘Het kan en moet beter. Bewustwording is cruciaal. We gebruiken bijvoorbeeld phishing en social engineering technieken om organisaties te testen om zo hun medewerkers op te leiden en bewust te maken van de aanwezige risico’s. Het is schrikbarend hoe snel mensen vertrouwelijke informatie delen als ze denken dat het verzoek van een collega of een autoriteit komt.’
Wat is jullie rol bij het adviseren over normeringen als het gaat om cyberveiligheid zoals bijvoorbeeld ISO 27001?
Van Slooten: ‘We adviseren bedrijven regelmatig over het belang van certificeringen en normen voor informatiebeveiliging. We merken dat proactieve stappen en begrip van de eigen omgeving, systemen en risico’s essentieel zijn. Niet elk bedrijf heeft de middelen voor een ISO 27001 certificering, dus kijken we samen naar wat haalbaar en passend is. Met als doel om de weerbaarheid van medewerkers en de organisatie tegen aanwezige risico’s in de digitale (kantoor)omgeving te vergroten.’
Hoe kijk je naar initiatieven zoals Samen Digitaal Veilig?
Van Slooten: ‘Dergelijke initiatieven zijn enorm belangrijk voor het verhogen van het bewustzijn rondom cybersecurity. Samen Digitaal Veilig biedt een platform voor bedrijven om stappen te zetten naar betere cybersecurity, ook voor kleinere toeleveranciers. Bovendien biedt het NIS2 Quality Mark een toegankelijke manier voor bedrijven om zich voor te bereiden op NIS2. Voor veel mkb-bedrijven is ISO 27001te zwaar om mee te starten. Met name voor kleinere leveranciers die wellicht niet de middelen hebben om aan uitgebreide externe audits te voldoen, biedt dit een uitkomst.’
‘Het concept achter het NIS2 Quality Mark voor certificering – met een ladderconstructie met drie niveaus – stelt bedrijven in staat om stapsgewijs hun cyberveiligheid te verbeteren. Dat is wat mij betreft een effectieve manier om bedrijven aan te moedigen in hun groei naar hogere niveaus van beveiligingscertificering.’
Zie je een verschuiving in hoe bedrijven omgaan met cybersecurity?
Van Slooten: ‘Ja en nee. Enerzijds is er een groeiend bewustzijn, mede dankzij de toename in berichtgeving over cyberaanvallen en nieuwe wetgeving. Bedrijven beginnen steeds meer te begrijpen dat investeren in cybersecurity niet alleen nodig is ná een incident, maar essentieel is voor preventie. Het is belangrijk dat dit besef blijft groeien. Tegelijkertijd is besef alleen niet genoeg. Ieder bedrijf, groot en klein, moet veel actiever verantwoordelijkheid nemen voor hun eigen cyberveiligheid. En ja, dat betekent het aangaan van de uitdagingen die gepaard gaan met de steeds strenger wordende eisen in de digitale wereld. Dit vereist een cultuuromslag waarbij cyberveiligheid als een voortdurende prioriteit wordt beschouwd.’