Als ethisch hacker heeft Martin Jartelius al heel wat cybercrime-incidenten van dichtbij meegemaakt. Nu helpt hij als Chief Information Security Officer (CISO) bij Outpost24 organisaties om beveiligingslekken in netwerken, webapplicaties en cloudinfrastructuur te identificeren en te prioriteren. Cybersecurity-redacteur Jan Meijroos spreekt met hem over Russische hackersgroepen, breach passwords en het betalen van losgeld.
Hoe zou je, in een paar zinnen, jullie werk omschrijven?
Martin: ‘Ik ben de CISO bij Outpost24. Mijn rol bestaat uit het beschermen van de informatie van organisaties, het garanderen van de naleving van wettelijke normen en het minimaliseren van de gevolgen van beveiligingslekken. Ik ben zelf een ethische hacker geweest en heb organisaties geholpen om zich op een veilige manier te laten hacken, zodat anderen het niet op een slechte manier zouden doen. Ons bedrijf heeft een team dat infiltreert in hackersgroepen op het dark web om te leren wat ze doen.’
Om zo klanten beter te kunnen informeren en voor te bereiden?
Martin: ‘We controleren wat er bij organisaties mis is, om te zien wat hackers eventueel kunnen aanvallen. Meestal zijn er zoveel problemen dat het moeilijk is om deze allemaal op te lossen. Maar als we je – bijvoorbeeld – kunnen vertellen dat er momenteel een Russische ransomwaregroep actief is dat jouw type organisatie met jouw soort infrastructuur aanvalt, dan is dat een prioriteit om als eerste aan te pakken… afgezien van de vele andere problemen die je misschien als organisatie hebt.’
Wat voor soort klanten bedienen jullie?
Martin: ‘Vandaag de dag is cyberrisico relevant voor elke organisatie die afhankelijk is van IT. We hebben klanten in vrijwel alle sectoren. Financiële instellingen investeren meestal het meest in cybersecurity omdat zij het meest afhankelijk zijn van het beveiligen van hun omgevingen. Maar we werken met iedereen; van online detailhandel, productie en softwareontwikkeling tot bedrijven die tekeningen maken voor architecten en ga zo maar door…’
Wat is de meest gestelde vraag die je krijgt? En hoe cybervolwassen zijn jullie klanten?
Martin: ‘De meest gevraagde diensten zijn gericht op het helpen van organisaties om bij te houden wat “breach passwords” zijn. Dat zorgt ervoor dat je gebruikers niet iets kiezen waarvan hackers op de hoogte zijn. Maar de variatie is groot. We werken met enkele zeer bewuste organisaties; denk aan werelds grootste investeringsbanken, zij weten meestal wel wat ze doen. Kleinere organisaties denken vaak dat ze iets nodig hebben, maar soms moeten ze eerst beginnen met meer gestructureerd te werken. Kortom; klanten komen in allerlei niveaus van cybervolwassenheid.’
Wat vind je van initiatieven die tot doel hebben cyberbeveiligingsmaatregelen voor kleine bedrijven te vereenvoudigen, zoals bijvoorbeeld Samen Digitaal Veilig?
Martin: ‘Dergelijke platforms zijn heel goed, vooral omdat ze aanbevelingen en geaccrediteerde methoden voor naleving bieden. Deze aanpak helpt kleine bedrijven efficiënt om te gaan met cybersecurity en concurrerend te blijven.’
‘Voor mij is een dergelijk initiatief nieuw. Er is geen vergelijkbaar initiatief in Zweden waar ik vandaan kom. Gezamenlijke inspanningen hebben namelijk zin. Ze vereenvoudigen zaken voor iedereen die betrokken is en ondersteunen kleine organisaties die expertise missen. Nederlanders zijn pioniers in dit opzicht. Samenwerken stelt kleinere entiteiten in staat om efficiënt aan de regels te voldoen en in bedrijf te blijven, vooral gezien de mogelijke implicaties van richtlijnen zoals de NIS2 die anders frustrerend kunnen zijn.’
‘Als kleine bedrijven door leverancierskeuzes uit de markt worden gedwongen, bijvoorbeeld bij het kiezen tussen leveranciers, zullen degenen die basisveiligheidseisen kunnen aantonen altijd de voorkeur hebben boven degenen die willen bespreken of onderhandelen.’
En hoe kijk je aan tegen normen in het cybersecurity landschap zoals het NIS2 Quality Mark?
Martin: ‘Het gaat altijd om het zorgen voor jezelf en anderen. Deze benadering is nog crucialer wanneer je verantwoordelijk bent voor anderen. Een norm of certificering die door de industrie wordt gerespecteerd – zoals het NIS2 Quality Mark – heeft veel waarde. Het kan het proces voor kleine organisaties vergemakkelijken, die misschien de grondige beoordeling of kwantificeringsproces van zware normen te ontmoedigend en papierintensief vinden. Een toegankelijkere benadering, hetgeen het NIS2 Quality Mark voorstaat, gericht op de kernonderdelen van een cybersecurity standaard én het kunnen tonen van auditresultaten, kan veel van deze last verlichten.’
Heb je ooit een situatie meegemaakt waarin aanval of een breach het einde van een bedrijf voor een kleinere organisatie betekende?
Martin: ‘Niet direct na een inbraak, maar we hebben organisaties gezien die, nadat ze waren aangevallen… een jaar of twee later niet meer bestonden. De kosten, de impact en het verminderde vertrouwen van klanten kunnen bedrijven in een neerwaartse spiraal doen belanden.’
‘Daarom kan wetgeving die het betalen van losgeld verbiedt zorgen voor discussie en onenigheid. Het is alsof iemand mijn kind ontvoerd heeft en de verantwoordelijke criminelen losgeld eisen. Moet mijn principe dan zijn dat ik nooit betaal? Het is aanmatigend om iemand te bekritiseren die in zo’n situatie wel betaalt.’
‘Het slachtoffer kan iemand zijn die 20 jaar heeft besteed aan het opbouwen van een bedrijf en nu geconfronteerd wordt met ofwel het betalen van €100.000 om hun levenswerk terug te krijgen of het weggooien van al die jaren.’
Wat zijn stappen die (kleinere) bedrijven sowieso zouden moeten regelen?
Martin: ‘De belangrijkste stappen voor kleine bedrijven om veiliger te werken, zijn het gebruik van multifactor-authenticatie op alles wat mogelijk is, een wachtwoordmanager om hergebruik van wachtwoorden te voorkomen én het up-to-date houden van software. Als updaten niet mogelijk is, moeten bedrijven kiezen voor beheerde infrastructuur of diensten, omdat het beter is om op professionals te vertrouwen dan om zelf een onbeveiligd platform te onderhouden. Bovendien is het cruciaal dat back-ups niet toegankelijk zijn via reguliere operaties. Deze aanpak voorkomt dat ransomware back-ups versleutelt of vergrendelt. Een externe, back-upoplossing is zeer aanbevolen voor herstel in geval van een aanval.’
Is dat relatief eenvoudig te implementeren?
Martin: ‘Ja, hoewel updates uitdagend kunnen zijn. Een andere cruciale praktijk is ervoor te zorgen dat back-ups apart worden gedaan van andere operaties én anders worden opgeslagen, om te voorkomen dat ransomware-aanvallen alles vergrendelen en versleutelen. Het kiezen van de juiste externe back-upoplossing is van vitaal belang voor de veiligheid.’
Tot slot, heb je een leidend principe voor bedrijven die zich bezighouden met cybersecurity?
Martin: ‘Voor individuen geldt: als je één sterk wachtwoord hebt die je veel gebruikt, dan doe je het waarschijnlijk verkeerd omdat je meerdere robuuste wachtwoorden nodig hebt. Tegen organisaties zeg ik altijd: richt je niet alleen op toekomstige risico’s, maar pak ook huidige kwetsbaarheden aan. Vaak vormt wat eerder niet is opgelost de grootste bedreiging. Deze problemen tijdig aanpakken is effectiever dan je zorgen maken over potentiële zero-day exploits.’