Bitsight is een cybersecuritybedrijf dat zich richt op het meten en monitoren van cyberrisico’s door middel van security ratings. Ze bieden inzicht in de veiligheidsprestaties van organisaties, helpen risico’s te beoordelen, en ondersteunen bedrijven bij het verbeteren van hun beveiligingsstandaarden. Met hoofdkantoren in de Verenigde Staten, Lissabon en de Asia-Pacific-regio komen hun klanten uit zeer uiteenlopende sectoren: overheden zoals het Centrum voor Cybersecurity België, maar ook bedrijven in de maakindustrie, banken, transportbedrijven en hightech bedrijven. Cybersecurity redacteur Jan Meijroos spreekt met Lennart Pikaart, Strategic & Key Accounts over de unieke aanpak van het bedrijf.
Kun je kort uitleggen wat Bitsight doet?
Lennart: ‘Bitsight is een soort Centraal Bureau voor de Statistiek, maar dan voor de cybersecurity prestaties van bedrijven wereldwijd. We bieden organisaties inzicht in hun eigen securitypositie en die van hun leveranciers. Daarnaast kunnen bedrijven zichzelf vergelijken met hun peers op het gebied van cybersecurity.’
Hoe helpen jullie organisaties precies?
Lennart: ‘We lossen eigenlijk twee belangrijke problemen op met ons platform en onze data. Ten eerste helpen we organisaties met het beheren van security risico’s in hun supply chain. Ten tweede kunnen bedrijven visualiseren hoe een hacker van buiten hun organisatie ziet. Soms komt de vraag vanuit het bestuur: “Hoe doen wij het dan vergeleken met onze concurrenten?” Dat antwoord kunnen wij volledig datagedreven geven.’
Wat is jullie aanpak?
Lennart: ‘Dertien jaar geleden hadden we het idee om een soort credit rating te creëren, maar dan op het gebied van cybersecurity. Dat concept werkt alleen als je wereldwijd elke organisatie op exact dezelfde manier kunt beoordelen. Dat betekent dat we alleen waarnemingen van buitenaf doen. Als je toestemming nodig hebt om systemen te scannen, zal de helft nee zeggen. Dus we hebben we gekozen om het van buitenaf te doen. We zeggen wel eens dat we de “Criminal’s Eye View” bieden op twee miljoen organisaties wereldwijd, en we scannen, monitoren en updaten die informatie dagelijks.’
Hoe verzamelen en verwerken jullie die data?
Lennart: ‘We hebben een platform ontwikkeld waarmee we wereldwijd data verzamelen via ons eigen scanningsplatform en een groot aantal externe bronnen. We richten ons op verschillende bedrijven, zoals bijvoorbeeld de Nederlandse High Tech Sector die over de hele wereld actief zijn. De data moet consistent zijn en van dezelfde kwaliteit. Vervolgens verpakken we die informatie in 25 security deelgebieden. Het interessante is dat we deze data oprollen tot KPI’s, zodat organisaties zichzelf kunnen benchmarken ten opzichte van hun peers of intern.’
Kun je enkele van die deelgebieden noemen?
Lennart: ‘Zeker. Enkele voorbeelden zijn:
- Open Port Management: hoe zijn je openstaande poorten geconfigureerd?
- Cryptografie Defense: beheer van SSL-certificaten en configuratie.
- E-mail Security: implementatie van DKIM, DMARC of Sender Policy Framework (SPF).
- Patch Management: hoe snel past jouw organisatie beveiligingsupdates toe?
- Malware Infections: detectie en reactie op malware-infecties.
Voor elk van deze gebieden creëren we KPI’s die volledig datagedreven en dus objectief zijn. Bedrijven kunnen zo inzicht krijgen in hun huidige risicoblootstelling.’
Hoe leiden deze KPI’s tot een security rating?
Lennart: ‘We rollen al deze data en KPI’s op tot een algemene security rating. Deze rating is gebaseerd op het Amerikaanse credit ratingsysteem en loopt van 300 tot 850. Het geeft een eenvoudig te begrijpen cijfer dat de algehele cybersecurityprestaties van een organisatie weergeeft.’
Stel dat je bij een organisatie komt met een rating van 600. Ze zitten boven het gemiddelde en doen het relatief goed. Willen de meeste klanten dan streven naar die 850-rating, of zijn ze tevreden met een voldoende?
Lennart: ‘Dat hangt sterk af van de security awareness en maturiteit van de organisatie. Meestal is de eerste reactie: “Laat maar zien dan”. Iedereen wil natuurlijk verbeteren, maar het is ook belangrijk om te realiseren dat niet elke organisatie dezelfde middelen heeft. Daarom is het zo belangrijk om dit in de supply chain te bekijken. Security gaat niet alleen over willen en ambitie, maar ook over of je de middelen hebt om het te realiseren. Banken investeren bijvoorbeeld al tientallen jaren in security en presteren daarom vaak beter. Middelgrote bedrijven hebben die mogelijkheden misschien niet.’
Grote corporates zijn vaak ISO 27001-gecertificeerd, maar dat betekent niet dat ze per se een rating van 850 halen, toch?
Lennart: ‘Dat klopt. Veel mensen denken: “Ik heb mijn ISO 27001-certificaat behaald, dus ik ben veilig”. Maar zo werkt het niet helemaal. Je kunt het vergelijken met een voetballer die een jaar geleden bij Ajax 1 is aangenomen en daarna dacht dat hij niet meer zo hard hoefde te trainen. In cybersecurity kunnen dingen heel snel veranderen. Het kan zijn dat tijdens de audit alles op orde was, maar als er daarna mensen vertrekken of processen veranderen, kunnen er snel gaten ontstaan. Daarom benadrukken regelgevers steeds meer het belang van continu monitoren. Je moet met je leveranciers afspraken maken over je security-eisen, deze vastleggen in KPI’s en die vervolgens actief monitoren.’
Dus jullie helpen organisaties niet alleen inzicht te krijgen in hun eigen securitypositie, maar ook die van hun leveranciers?
Lennart: ‘Precies. Door een continu en objectief beeld te geven van de securityprestaties in de hele keten, kunnen organisaties beter risico’s beheren en samenwerken met leveranciers om verbeteringen door te voeren. Met de groeiende complexiteit van digitale ecosystemen en strengere regelgeving is het essentieel om continu inzicht te hebben in je eigen securitypositie én die van je ketenpartners. We blijven ons platform ontwikkelen om nog meer waarde te bieden aan onze klanten en om hen te helpen bij het navigeren door het steeds veranderende cybersecuritylandschap.’
Hoe zit het met het abonnementsmodel? Wat als een bedrijf zegt: ‘We zijn gecertificeerd en onze rating is goed, dus we hebben jullie niet meer nodig’?
Lennart: ‘Elk bedrijf kan sowieso zijn eigen rating inzien om te valideren of ze op de juiste manier worden vertegenwoordigd, zonder dat ze daarvoor hoeven te betalen. Als je echter dagelijks, boven op ons Freemium model, gebruik wil maken van onze diensten, kun je een abonnement afsluiten. We willen ook de drempel laag houden voor leveranciers. Bedrijven kunnen hun supply chain uitnodigen voor een gratis periode van 45 dagen, inclusief een uitleg van 30 minuten. Zo begrijpen ze hoe de rating tot stand is gekomen en waarom hun klant wellicht bezorgd is.’
Waarom heeft Bitsight besloten om samen te werken met Samen Digitaal Veilig?
Lennart: ‘Samen Digitaal Veilig heeft een gedegen framework ontworpen waarmee bedrijven zich kunnen laten auditen en certificeren. Door samen te werken, kunnen onze Bitsight-klanten hun supply chain nog beter monitoren. De 25 securitygebieden die wij monitoren, kunnen we visualiseren binnen het framework van het NIS2 Quality Mark. Zo begrijpen onze klanten hoe deze twee tools samenhangen.’
Hoe kijk je naar het NIS2 Quality Mark vanuit je expertise?
Lennart: ‘Ik vind het NIS2 Quality Mark een sterk initiatief, vooral omdat het een groeimodel met drie niveaus biedt. Bedrijven hoeven niet meteen een enorme sprong te maken, maar kunnen geleidelijk groeien naar een voor hen haalbaar niveau. Het biedt eenduidigheid en helpt bij de vertaling en het begrip van cybersecuritynormen in een bepaald geografisch gebied. Mijn enige zorg is dat Europa mogelijk overspoeld wordt met verschillende standaarden, wat verwarrend kan zijn. Maar het NIS2 Quality Mark maakt direct de koppeling met verschillende frameworks, wat helpt bij het begrip en de implementatie.’
Hoe integreren jullie die twee tools precies?
Lennart: ‘Wij integreren het NIS2 Quality Mark in de Bitsight-portal. Gebruikers kunnen direct zien hoe de 25 security-KPI’s die wij monitoren binnen dat framework passen. Je kunt zien waar je goed in bent en waar je kunt groeien, en het verhoudt zich precies tot je niveau binnen het NIS2 Quality Mark. Als een leverancier bijvoorbeeld zegt dat ze level 3 hebben behaald, maar onze data laat iets anders zien, wordt dat contrast direct zichtbaar. Dit helpt bedrijven om eventuele discrepanties te begrijpen en actie te ondernemen.’
Is de NIS2 richtlijn iets dat speelt bij jullie klanten?
Lennart: ‘Absoluut. We zien dat steeds meer organisaties die onder NIS2 vallen, naar ons toe komen. Ze willen hun ketenbeveiliging op orde hebben, maar met de huidige complexiteit is dat lastig. Ze kunnen niet overal audits uitvoeren of vragenlijsten sturen. Wij helpen hen om hun keten datagedreven in kaart te brengen en te monitoren.’
Kunnen jullie ook data ophalen van toeleveranciers voor grote klanten, net als een hacker dat zou kunnen doen?
Lennart: ‘Dat is precies wat we doen. We kunnen klanten helpen om inzicht te krijgen in de cybersecuritystatus van hun toeleveranciers. Als een mkb-ondernemer bijvoorbeeld minder goed scoort op cryptografie dan dat hij zelf denkt, kan onze klant hem uitnodigen om naar zijn Bitsight-rating te kijken. Niet om met het vingertje te wijzen, maar om samen te kijken of er verbeterpunten zijn en hoe we kunnen helpen.’
Waarom zijn Bitsight en het NIS2 Quality Mark zo’n goed duo?
Lennart: ‘Het behalen van het NIS2 Quality Mark is een geweldige stap, maar het is belangrijk om daarna te blijven trainen en verbeteren. Met Bitsight kun je continu in de spiegel kijken en zien hoe je ervoor staat. Je kunt eenvoudig toegang krijgen tot ons platform om te zien of je verwachtingen overeenkomen met de realiteit. Daar kun je alleen maar van leren.’
