Met de Online Werkplek op maat en verschillende securityoplossingen voor mkb-bedrijven wil GTS Online organisaties optimaal laten functioneren. Cybersecurity-redacteur Jan Meijroos spreekt met commercieel directeur Johan de Haan over de aankomende NIS2, versleutelde back-ups en het belang van het NIS2 Quality Mark.
Stel je komt op een feestje en raakt in gesprek met iemand die je nog niet kent. Wat zeg jij dan in een paar zinnen over wat je doet?
Johan: ‘Meestal begin ik met “Ik zit in de ICT.” Als mensen dan doorvragen, leg ik uit dat we eigenlijk alles doen rondom de digitale werkplek. Dat varieert van traditioneel werkplekbeheer en systeembeheer tot het veilig hosten van applicaties, inclusief Microsoft 365. De kern is altijd dat de eindgebruiker zijn werk goed kan doen. We zijn vooral gericht op het veilig maken van die digitale werkplek, iets wat nu belangrijker is dan ooit. We hebben de digitale werkplek inmiddels wel onder de knie na 25 jaar, maar de uitdaging ligt nu in het waarborgen van de veiligheid, zonder dat dit de eindgebruiker belemmert.’
Hoe kenmerkt zich jullie klantenportfolio? Zijn jullie sterk in een bepaalde branche of bedienen jullie een breed scala aan klanten?
Johan: ‘We komen uit een tijd dat Citrix groot werd en waren een van de grotere spelers in het implementeren van Citrix- en terminal serveromgevingen. Dat bracht ons bij sectoren zoals de zorg en lokale overheden, echt de grotere Enterprise-omgevingen. Sinds 15 jaar bieden we dezelfde digitale werkplek ook voor het mkb, en dat is een zeer diverse klantenkring. Voor hen is de veilige, up-to-date werkplek de basis waarop ze hun eigen specifieke applicaties en processen bouwen.’
Als klanten jullie benaderen, vragen ze dan direct om veilig werken, of brengen jullie dat onderwerp zelf ter tafel?
Johan: ‘Dat onderwerp komt meestal in het kielzog mee. Het is zelden het eerste dat klanten zelf aanstippen. De meeste organisaties hebben nog geen volledig beeld van wat er nodig is voor goede beveiliging. Ze hebben misschien een firewall, een virusscanner en praten eens in de zoveel tijd met hun IT-afdeling. Pas als er vanuit wetgeving zoals NIS2, klantvragen, of een onderbuikgevoel van “We moeten dit structureler aanpakken” komt, gaan ze stappen zetten. En dan eventueel in de richting van certificeringen zoals ISO 27001 of NEN 7510, maar meestal op basis van een nulmeting die we aanpassen aan de grootte van de organisatie.’
Hoe kijk jij vanuit jouw expertise aan tegen het NIS2 Quality Mark dat speciaal in het leven is geroepen voor (kleinere) mkb’ers voor wie de huidige normen vaak te zwaar zijn?
Johan: ‘Die is juist perfect voor die kleinere organisaties die niet weten waar ze moeten beginnen. Omdat er verschillende niveaus zijn, is de drempel laag genoeg om ermee te starten. Afhankelijk van de eisen van hun afnemers zullen er daarna nog extra maatregelen moeten volgen. En omdat de eisen in NIS2 Quality Mark Basic goed in lijn liggen met de basismaatregelen cybersecurity van het NCSC heb je hier ook eigenlijk geen discussie over: dit gaan we gewoon doen!’
Wat spreekt je aan in de samenwerking met Samen Digitaal Veilig?
Johan: ‘Dat is tweeledig. Het belangrijkste is dat het een goed bereikbare organisatie is die altijd voor je klaarstaat met antwoorden op onze vragen en ook goede lijntjes heeft met relevante andere organisaties. Daarnaast heeft Samen Digitaal Veilig een mooi portaal ontwikkeld waarmee ieder bedrijf dat iets met de NIS2 Quality Mark wil gaan doen, mee uit de voeten kan. Het systeem helpt je heel goed om te bepalen waar je zelf nog stappen moet zetten op het gebied van informatiebeveiliging. Daarnaast kun je ook heel goed je leveranciers in kaart brengen, beoordelen en administreren.’
Soms wordt er door bedrijven pas aan de bel getrokken als het al te laat is, bijvoorbeeld bij een ransomware-aanval. Hebben jullie dat meegemaakt?
Johan: ‘Ja, we hebben een klant gehad die te maken kreeg met ransomware. Ze probeerden eerst zelf de boel op te lossen, maar kwamen uiteindelijk bij ons terecht. We konden ze uit de brand helpen door de back-up te ontsleutelen en te herstellen. Daarna hebben we verdere stappen gezet om hun omgeving veiliger te maken.’
Dat moet een opluchting voor hen zijn geweest. Hebben jullie ook achterhaald hoe die aanval heeft kunnen plaatsvinden?
Johan: ‘We hebben destijds geen diepgaand onderzoek gedaan, omdat het al een week speelde voordat ze ons inschakelden. Later hebben we wel gekeken naar welke gaten er in hun netwerk zaten en ja, er waren genoeg kwetsbaarheden waardoor iemand binnen kon komen. Vaak denken bedrijven dat ze veilig zijn, maar in werkelijkheid zijn er toch nog veel risico’s.’
Wat zou je dan tegen de mkb’er willen zeggen om hen bewust te maken van het belang van goede beveiliging?
Johan: ‘Goede beveiliging heeft twee kanten: zorgen voor continuïteit voor als er iets misgaat, maar ook het beveiligen van je gegevens tegen criminaliteit. En dus is dit onderwerp ook voor kleinere bedrijven van groot belang. Criminelen worden namelijk steeds slimmer, denk aan geavanceerde phishing-mails. Maar aangezien alles digitaal is, kun je ook gemakkelijker data verliezen. Een voorbeeld: voor een videoproductiebedrijf dat een belangrijke opname verliest kan dit een grote verstoring zijn. Het risico op verstoring van je belangrijkste bedrijfsprocessen is dus steeds groter. Het gaat erom dat je nadenkt over je risico’s en daarop passende maatregelen neemt, zelfs als het om relatief eenvoudige dingen gaat.’
Heb je tenslotte nog een tegelwijsheid voor het mkb in Nederland op het gebied van IT-beveiliging of cybersecurity?
Johan: ‘Zeker, ik citeer graag onze oud-eigenaar Henk Bloemendal, die helaas recent is overleden: “Doe het liever één keer goed dan drie keer half.” Kwaliteit is de kern van wat we doen. Het is belangrijk om altijd de juiste maatregelen te nemen en bewust te zijn van de risico’s die je loopt. Dat helpt om alles in perspectief te houden en concreet te maken voor je eigen business.’