MMOX is een bedrijf in de cybersecurity-sector, gespecialiseerd in cyberrisk- management voor mkb’ers. Hun specialisme? Zaken net even anders aanpakken dan anderen. Door te focussen op het werkelijke cyber risico voor een specifiek bedrijf. MMOX gebruikt moderne technologie en veel data om organisaties te helpen bij het beschermen van hun digitale infrastructuur tegen steeds complexere cyberdreigingen. Cybersecurity-redacteur Jan Meijroos spreekt met CEO Maarten Roerink.
Maarten: ‘Wat veel organisaties doen, is lukraak technische oplossingen aanbevelen. Niet toevallig vaak oplossingen die zij ergens inkopen en verpakken met extra diensten, zoals een SOC (Security Operations Center). Dit wordt vervolgens vaak zo ingewikkeld gepresenteerd dat ondernemers daar niks van begrijpen. Met als gevolg dat ondernemers niet in beweging komen’.
Wat maakt jullie aanpak dan anders?
Maarten: ‘In plaats van meteen met technische oplossingen te komen, kijken wij eerst naar het unieke risicoprofiel van de klant. Dit doen we op basis van data van onze Cyber Sensor, data van de klant zelf en data van vergelijkbare bedrijven in dezelfde sector. Vervolgens bepalen we samen met de klant waar zij staan en waar zij naartoe willen op het gebied van cybersecurity. De strategie die we opstellen is dan gericht op het overbruggen van die kloof op de meest efficiënte manier voor de klant, zowel qua kosten als tijd. Wij rekenen hiervoor een vast bedrag per jaar, zodat de klant weet waar hij aan toe is.’
Hoe cybervolwassen zijn jullie klanten?
Maarten: ‘Dat verschilt heel erg. Soms kom je bij bedrijven binnen waarvan je denkt: “Het is een wonder dat jullie nog niet gehackt zijn.” Sommige bedrijven hebben niet eens de basis op orde, zoals een goed back-up beleid of gescheiden netwerken voor gasten. Laat staan dat ze hun medewerkers opgeleid hebben om cyberveilig te werken en processen zijn vastgelegd om als gehele organisatie cyberveilig te handelen. De bewustwording is er meestal wel, maar het ontbreekt vaak aan een gestructureerde aanpak.’
Wat zijn de meest voorkomende problemen die je tegenkomt?
Maarten: ‘Wat ik net zeg; het meest hardnekkige probleem is dat er geen gestructureerde aanpak is. Ieder bedrijf doet wel iets aan cybersecurity, maar het is vaak ad hoc en onsamenhangend. Ze vertrouwen vaak op hun IT-partner, maar hebben zelf geen helder plan of overzicht van wat ze daadwerkelijk nodig hebben.’
Jullie werken met Samen Digitaal Veilig samen. Waarom hebben jullie daarvoor gekozen?
Maarten: ‘Ik werd op het pad van Samen Digitaal Veilig gezet door ABN AMRO waar wij veel mee samenwerken. Wat mij meteen aansprak, was dat SDV, net als wij, beseffen dat cybersecurity geen eenmalige taak is, maar een doorlopend proces. Het idee dat je continu bezig moet zijn met plannen, uitvoeren, controleren, en bijstellen – de zogenaamde plan-do-check-act-cyclus – is essentieel voor duurzame veiligheid. Dit sluit naadloos aan bij onze eigen aanpak.’
Dat komt overeen met waar het NIS2 Quality Mark voor staat; het keurmerk dat SDV in licentie heeft.
Maarten: ‘Ja, dat is precies wat zo’n keurmerk in de kern is. Hoewel het nog te vroeg is om te zeggen hoe dat in de praktijk zal werken als je eenmaal dat keurmerk hebt en de wereld verandert, is het idee dat je een gestructureerde aanpak hebt, wel heel waardevol. Dat is ook wat wij proberen te doen met onze klanten.’
Wat zijn verder de voordelen van de samenwerking?
Maarten: ‘Er zijn drie belangrijke redenen waarom wij het initiatief en het NIS2 Quality Mark ondersteunen. Ten eerste biedt het een kapstok voor gestructureerde aanpak. Ten tweede is er een getrapte aanpak met drie niveaus, wat betekent dat je stap voor stap kunt werken aan verbetering. En ten derde, het schept duidelijkheid in een complex en soms verwarrend vakgebied. Dit kan voor mkb’ers een groot verschil maken in hoe ze omgaan met cybersecurity.’
Wat zijn jouw gedachten over bestaande normen zoals ISO 27001 en Cyber Essentials?
Maarten: ‘ISO 27001 wordt vaak door externe factoren zoals grote klanten of internationale partners opgelegd aan mkb’ers. Zelden kiest een mkb’er uit eigen beweging hiervoor. Cyber Essentials uit de UK vind ik ook een goede norm, omdat het zich richt op praktische en technische cybermaatregelen. Het is een goede basis, maar NIS2 gaat nog een stap verder, vooral als het gaat om ketenverantwoordelijkheid en zorgplicht.’
Is NIS2 überhaupt iets waar jullie klanten mee bezig zijn?
Maarten: ‘Het begint nu door te dringen. Wij brengen het proactief ter sprake bij klanten waarvan we weten dat ze er waarschijnlijk mee te maken zullen krijgen. Het is nog geen enorm groot topic, maar het begint op de radar te komen, mede dankzij de aandacht die alle partijen eraan gegeven in de markt.’
Heb je het idee dat NIS2 kan bijdragen aan die meer gestructureerde aanpak van bedrijven die je nu soms nog mist als je bij hen over de vloer komt?
Maarten: ‘Ja, dat denk ik wel, maar het hangt er sterk van af hoe je ermee aan de slag gaat. In de basis is het positief dat er nu een wet is die er voor zorgt dat je na moet denken over cybersecurity. Alle aandacht hiervoor is welkom, zeker gezien de druk op de Europese welvaart. NIS2 is overigens slechts één van de elf (!) richtlijnen die momenteel vanuit de EU worden ontwikkeld om dit probleem aan te pakken.’
Maar hoe effectief kan NIS2 zijn, denk je?
Maarten: ‘Dat hangt af van de implementatie. Ik geloof dat de NIS2 Quality Mark aanpak, als die goed wordt uitgevoerd, bedrijven echt kan helpen veiliger te worden. Vooral omdat het een gestructureerde aanpak biedt en focus legt op ketenaansprakelijkheid, iets wat we elke dag terugzien bij onze klanten. Veel bedrijven zijn kwetsbaar omdat ze onderdeel zijn van een keten en dat brengt risico’s met zich mee.’
Kun je een voorbeeld geven van zo’n risico binnen een keten?
Maarten: ‘Een recent voorbeeld is een klant die serieuze financiële schade leed doordat een e-mailaccount van een cruciale leverancier werd gehackt. De hacker kreeg toegang tot het e-mailaccount van iemand binnen dat bedrijf en wachtte geduldig tot het juiste moment om een frauduleuze e-mail te sturen. Onze klant kreeg een verzoek om een bankrekeningnummer te wijzigen en omdat er onvoldoende controle was, werd er een groot bedrag overgemaakt naar de verkeerde rekening. Het was een internationale transactie, waardoor het geld niet meer kon worden teruggehaald.’
Wat waren de gevolgen voor die klant?
Maarten: ‘Dat is waar het ingewikkeld wordt. Hoewel onze klant wellicht juridisch in zijn recht staat om de schade bij de leverancier te leggen, is dat in de praktijk niet eenvoudig. Zeker als het om een belangrijke relatie gaat, wil je die niet zomaar onder druk zetten. Dit illustreert heel goed hoe kwetsbaar bedrijven zijn binnen hun keten en hoe belangrijk het is om niet alleen technische maatregelen te nemen, maar ook om na te denken over de relaties en processen binnen die keten.’
Cybersecurity gaat verder dan technische maatregelen…
Maarten: ‘Absoluut. Het gaat om een holistische aanpak waarbij je kijkt naar het volledige plaatje: van de technische beveiliging tot de processen en relaties binnen je keten. Wij bieden niet alleen technische oplossingen, maar een complete aanpak die bedrijven helpt om hun risico’s op een gestructureerde manier te beheersen.’
Wat is nou de grootste misvatting die veel mkb-bedrijven hebben op het gebied van cybersecurity?
Maarten: ‘De grootste misvatting is dat bedrijven denken dat cybersecurity allemaal draait om ingewikkelde technische maatregelen waar ze niets van begrijpen. Veel bedrijven raken de weg kwijt door moeilijke Engelse termen en complexe technologieën en denken dat dat de essentie van cybersecurity is. Maar dat is dus niet zo. Wij zijn er om onze klanten hierin te helpen door het begrijpelijk en toepasbaar te maken voor hun organisatie.’
Kun je dat toelichten?
Maarten: ‘Een voorbeeld dat ik vaak gebruik, is hoe we data verzamelen over onze klanten. Dit doen we bijvoorbeeld met een sensor aan de buitenkant van hun netwerk. We zouden dat heel technisch kunnen uitleggen als een “polymorphic intelligence sensor network” dat “threat intelligence” uitvoert. Maar dat maakt het alleen maar ingewikkelder voor de klant. Wat we eigenlijk doen, is simpelweg controleren wie er bij je netwerk aanklopt, alsof we een extra camera boven je deur plaatsen. Dat is iets wat iedereen begrijpt en zo kunnen we onze klanten op een eenvoudige manier uitleggen wat we doen zonder hen te overladen met jargon.’
Dat klinkt verfrissend en toegankelijk. Denk je dat veel cybersecurity bedrijven daar moeite mee hebben?
Maarten: ‘Cybersecurity bedrijven zijn vaak opgericht door mensen met een sterke IT-achtergrond die veelal in de techniek en het jargon blijven hangen. Dit kan ervoor zorgen dat mkb’ers, zoals een transportbedrijf uit Brabant met 300 vrachtwagens op de weg, afhaken omdat ze het gewoon niet begrijpen. Ze doen daardoor vaak niets, of ze nemen de verkeerde maatregelen. Dat is precies het probleem dat wij proberen op te lossen door alles praktisch en begrijpelijk te houden.’
Hoe zorgt MMOX ervoor dat klanten niet in die valkuil trappen?
Maarten: ‘Wij benaderen cybersecurity vanuit een roeping om het mkb echt te beschermen. Hoewel we natuurlijk ook een bedrijf zijn dat winst moet maken, ligt onze missie in het beschermen van zoveel mogelijk mkb’ers, niet alleen in Nederland, maar door heel Europa. Daarom sturen we geen techneuten naar de klant die met ingewikkelde termen aankomen zetten, maar mensen die het verhaal helder en begrijpelijk kunnen uitleggen. Dat zorgt ervoor dat klanten niet alleen weten wat ze moeten doen, maar het ook daadwerkelijk doen!’
Een onalledaagse aanpak dus als ik jou moet geloven…
Maarten: ‘Ja, ik denk dat het goed is om te benadrukken dat we van ABN AMRO weten dat klanten die onze diensten gebruiken, significant minder vaak aanspraak maken op hun verzekering. De cijfers laten zien dat klanten die MMOX gebruiken, veel minder incidenten hebben. Dit is een duidelijk bewijs dat onze aanpak werkt en dat het echt verschil maakt voor bedrijven.’