Telindus biedt al ruim 35 jaar ICT-oplossingen zoals cloud, cybersecurity, netwerkbeheer en managed services aan bedrijven en overheden, en ondersteunt hen bij veilige digitale transformatie. Cybersecurity redacteur Jan Meijroos spreekt met Proposition Lead Security Jeroen Hentschke over kosten van security, cybervolwassenheid en de spreuk die in iedere bestuurskamer aan de muur zou moeten hangen.
Vat in het kort de werkzaamheden van Telindus eens samen?
Jeroen: ‘We zijn actief op drie domeinen: networking, cloud en security. Klanten benaderen ons in de regel het vaakst voor networking maar steeds vaker zoeken ze de combinatie met security. We hebben hiervoor een propositie met onder andere secure access service edge (SASE). De gecombineerde vraag groeit gestaag, maar het meeste werk doen we nog altijd op het gebied van networking.’
Jullie werken op verschillende domeinen en beginnen vaak met een scan om te zien hoe de zaken ervoor staan. Wat valt jullie op tijdens deze scans?
Jeroen: ‘Wat we zien, is dat cybersecurity nog steeds veel aandacht behoeft. We voeren assessments uit op basis van frameworks zoals CIS controls, standaarden zoals ISO en wet -en BIO, en we merken dat er op veel vlakken nog steeds veel werk aan de winkel is. Verschillende onderzoek toont aan dat bestuurders zich nog niet altijd voldoende bewust zijn van de urgentie van cybersecurity, zelfs niet in 2024.’
Hoe kan het dat cybersecurity nog altijd niet de aandacht krijgt die het zou moeten hebben?
Jeroen: ‘Er is een perceptie dat cybersecurity vooral een kostenpost is. Veel organisaties zien (nog) niet in dat goede cybersecurity ook de kwaliteit van je dienstverlening kan verhogen en je organisatie kan helpen nieuwe inzichten te verkrijgen.’
‘We werken veel samen met onder andere de overheid, het onderwijs en de zorg… sectoren die verantwoording moeten afleggen aan hun patiënten, burgers en cliënten. Je zou verwachten dat juist daar het belang van informatiebeveiliging goed doordringt, maar dat is nog niet altijd het geval. Het kost geld en tijd, en dat is vaak een obstakel, zeker in sectoren waar men gewend is om elk uur declarabel te maken.’
Het draait dus om budget? Of het gebrek daaraan?
Jeroen: ‘Kosten zijn natuurlijk een belangrijke factor, zowel direct als indirect. Daarnaast ontbreekt het vaak aan urgentiebesef. Met de komst van de Cyberbeveiliginswet (gebaseerd op de NIS2-richtlijn) zullen organisaties straks hoofdelijk aansprakelijk zijn voor incidenten, maar dat besef is er nog niet voldoende. De vertraging in de implementatie deze wet helpt ook niet mee; de deadline is verschoven naar medio volgend jaar, waardoor het urgentiebesef nog verder wordt afgezwakt.’
Kun je een voorbeeld geven van een cyberincident dat veel impact had?
Jeroen: ‘Binnen ons klantenportfolio heb ik gelukkig geen voorbeeld van een bedrijf dat volledig kopje onder ging door een cyberincident, maar er zijn zeker situaties geweest die nèt goed afliepen. Zo was er een klant die bijna slachtoffer werd van een phishing aanval. Het liep met een sisser af omdat de impact beperkt bleef tot het buitmaken van telefoonnummers. Maar de besefte op dat moment heel goed dat het veel erger had kunnen aflopen als er ook accounts waren buitgemaakt.’
‘Een ander bekend voorbeeld is de gemeente Alkmaar, die vorig jaar september in het nieuws kwam omdat ze 236.000 euro hadden overgemaakt aan een nep-directeur. Feitelijk een vorm van CEO-fraude. Dit soort incidenten benadrukt hoe belangrijk awareness en technische maatregelen zijn om dergelijke drama’s te voorkomen.’
Komt het vaak voor dat klanten bij jullie aankloppen als er al iets mis is gegaan, of komen ze ook preventief naar jullie toe?
Jeroen: ‘Gelukkig komen de meeste klanten preventief naar ons toe. Ze beseffen dat informatiebeveiliging belangrijk is en willen weten waar ze staan. We voeren dan vaak assessments uit om te bepalen hoe goed hun informatiebeveiliging op orde is. Daarnaast geven we ook webinars, bijvoorbeeld over NIS2, waarin we klanten helpen om te begrijpen wat ze moeten doen om aan de nieuwe regelgeving te voldoen. Klanten benaderen ons dus zowel voor preventieve scans als voor specifieke adviestrajecten en producten.’
Je stipt het al even aan… NIS2 is een belangrijk thema. Leeft dat al bij jullie klanten?
Jeroen: ‘NIS2 begint steeds meer te leven, maar er is nog veel te weinig awareness. In sommige sectoren, zoals de zorg, zien we dat mensen zich er wel bewust van zijn en ermee bezig zijn. Maar in andere sectoren, zoals de levensmiddelensector, leeft het veel minder. Daarom zijn we ook blij met samenwerkingen die helpen om de awareness te vergroten en de wereld een veiligere plek te maken. De reden dat NIS2 zo in de spotlight staat is dat ook bedrijven die niet direct aan NIS2 onderhevig zijn er toch mee te maken krijgen. Als zij toeleverancier zijn van organisaties die NIS2 compliant moeten zijn dan zal die organisatie ook een bepaalde mate van volwassenheid op het gebied van informatiebeveiliging eisen van de toeleverancier.’
Wat vind je van het nieuwe NIS2 Quality Mark voor mkb-bedrijven; het keurmerk dat Samen Digitaal Veilig in licentie heeft?
Jeroen: ‘Ik denk dat het een uitstekende ontwikkeling is om bedrijven op verschillende niveaus te laten instappen, met de drie niveaus Basic, Substantial en High, afhankelijk van hun omvang en de rol die ze spelen in hun keten. Risicogestuurd werken is hierbij essentieel; je moet als organisatie niet alleen naar je eigen risico’s kijken, maar ook naar de risico’s die je ketenpartners met zich meebrengen. Voor minder ervaren ketenpartners, vooral de kleinere bedrijven die volgens NIS2 een sleutelrol spelen, is zo’n Quality Mark Basic een goed startpunt. Hiermee kunnen ze aantoonbaar aan de slag met NIS2, wat zowel hen als hun hoofdaannemers helpt om de gehele informatiestroom veilig te houden.’
Hoe zie je de rol van deze keurmerken in de toekomst?
Jeroen: ‘Uiteindelijk geloven wij dat bedrijven zich steeds verder zullen ontwikkelen richting de Substantial en High niveaus. Informatiebeveiliging is een continu proces van kwaliteitsverbetering, en als organisatie blijf je jezelf ontwikkelen om aan de hoogste normen te voldoen. Het aanbieden van een framework en handvaten om hiermee aan de slag te gaan, is daarom ontzettend waardevol. Het solide framework van het NIS2 Quality Mark met drie niveaus, waarmee organisaties echt stappen kunnen zetten in hun digitale weerbaarheid, doet dat!’
Hoe kan Telindus bedrijven hierin helpen?
Jeroen: ‘Wij richten ons als organisatie voornamelijk op de High variant van het NIS2 Quality Mark. Vanuit onze eigen readiness scans zien we duidelijke raakvlakken en mogelijkheden om hierbij aan te sluiten. We willen dan ook graag samenwerken om bedrijven te ondersteunen bij het behalen van keurmerken, vooral als ze binnen onze gezamenlijke doelgroep vallen. We zien dergelijke keurmerken dan ook als een mooie stap om bedrijven veiliger en weerbaarder te maken, en wij dragen daar graag ons steentje aan bij.’
‘Onze samenwerking (met Samen Digitaal Veilig.- red) is daar op gericht. Dat is natuurlijk ook het doel van de wetgeving zoals de nieuwe Cyberbeveiligingswet (NIS2 richtlijn). We hebben een gezamenlijke vijand, de cybercrimineel, en ik geloof dat we elkaar kunnen versterken in de strijd tegen deze bedreigingen. Binnen de cybersecuritywereld is samenwerking cruciaal. Ik heb regelmatig intervisie met collega-CISO’s en security professionals omdat we allemaal hetzelfde doel hebben: elkaar helpen en van elkaar leren om de best mogelijke beveiliging te realiseren.’
Welke spreuk of wijsheid zou wat jou betreft moet in iedere bestuurskamer aan de muur hangen?
Jeroen: ‘Dat is een leuke vraag! Ik geloof sterk in het prioriteren van de juiste dingen om effectief maatregelen te kunnen nemen. Je moet risicogestuurd werken, niet alleen op het gebied van informatiebeveiliging, maar ook als het gaat om privacy en andere compliance-eisen. Kijk naar het grote geheel van compliance en kwaliteit, en zorg ervoor dat je prioriteiten stelt op basis van risico’s. Zo werk je het meest effectief aan informatiebeveiliging als onderdeel van een breder kader.’
‘Een goede spreuk zou wat mij betreft zijn: “Begin met risicomanagement en bewustzijn in alle lagen van je organisatie.” Dit is waar het echt om draait; een geïntegreerde aanpak die niet alleen vinkjes zet, maar daadwerkelijk waarde toevoegt.’
