Samen Digitaal Veilig is een initiatief van MKB-Nederland en VNO-NCW

Veilig samenwerken
in de keten

Rick Swinkels van MindYourPass: ‘Op weg naar 100% wachtwoordveiligheid!’

Rick Swinkels

MindYourPass is een Nederlands cybersecurity softwarebedrijf dat organisaties helpt met het beveiligen van hun systemen door het gebruik van kwetsbare wachtwoorden onmogelijk te maken. Ze bieden een innovatieve passwordmanager aan die gebruiksvriendelijk en veilig is, zonder wachtwoorden op te slaan in een kluis. Cybersecurity redacteur Jan Meijroos spreekt met hen over menselijk gedrag, basishygiëne en Eindhovense vriendelijkheid.

Rick Swinkels is – als Business Development Manager bij MindYourPass – verantwoordelijk voor het bevorderen van de groei en het ontwikkelen van zakelijke kansen. Hij werkt nauw samen met partners en klanten om de innovatieve cybersecurityoplossingen van MindYourPass te implementeren en te optimaliseren binnen verschillende sectoren. Deze oplossingen richten zich op zowel zakelijke als particuliere gebruikers, met de missie om de online veiligheid van iedereen te verbeteren en organisaties te beschermen tegen cyberaanvallen.

Klopt het dat veel problemen in bedrijven terug te brengen zijn tot het gebruik van onveilige wachtwoorden?

Rick: ‘Dat klopt. Dit blijkt al jaren uit tal van onderzoeken. Zwakke en gestolen wachtwoorden zijn oorzaak nummer 1 van cyberaanvallen. Recent bracht Kaspersky weer een rapport uit waarin wachtwoorden hoog op de lijst staan als oorzaak van data breaches en cyberincidenten. Verizon komt jaarlijks met vergelijkbare resultaten, waaruit blijkt dat in 80% van de cyberaanvallen een zwak wachtwoord één van de oorzaken is. Ook forensische partijen geven aan dat een groot deel van incidenten voorkomen kan worden door het naleven van basishygiëne, waar wachtwoorden natuurlijk bij horen.’

‘Wachtwoorden zijn vaak laaghangend fruit voor hackers omdat ze niet sterk of voor het oprapen liggen op het darkweb, bijvoorbeeld vanwege een datalek waarbij ook databases met wachtwoorden openbaar zijn geworden. Daarbij is het aantal wachtwoorden de laatste jaren exponentieel toegenomen, voornamelijk omdat tegenwoordig bijna elke applicatie in de cloud staat. Voor al die applicaties heb je een aparte gebruikersnaam en wachtwoord nodig. Misbruik van wachtwoorden is dus een makkelijke manier voor hackers om binnen te komen en data te stelen of ransomware te installeren. Maar voor organisaties is dit óók het laaghangende fruit om cyberweerbaar te worden.’

Hoe verschilt jullie passwordmanager van andere aanbieders?

Rick: ‘Daarvoor hebben we een oplossing voor eindgebruikers; onze passwordmanager. Deze is gebruiksvriendelijk en gebaseerd op innovatieve technologie waarop we meerdere patenten hebben. Onze passwordmanager slaat wachtwoorden niet op in een kluis. Zo’n kluis is een kwetsbaarheid. Dit is een andere aanpak dan andere aanbieders hanteren. Echter, een passwordmanager alleen biedt schijnveiligheid. Het moet ook daadwerkelijk gebruikt worden en alleen sterke wachtwoorden moeten worden toegestaan.’

Hoe werkt jullie technologie precies?

Rick: ‘We hebben een dashboard op organisatieniveau ontwikkeld dat inzicht geeft in het wachtwoordgebruik binnen de gehele organisatie door een scan uit te voeren. Gemiddeld blijkt dat 25% van de wachtwoorden gestolen is, 60% hergebruikt wordt en 45% niet sterk genoeg is. Dit toont aan dat het probleem daadwerkelijk bestaat. Met onze technologie kun je eenvoudig beleid afdwingen, sterke en unieke wachtwoorden verplicht stellen, waardoor je zwakke wachtwoorden volledig kunt uitbannen en grip krijgt op wachtwoordbeheer binnen je organisatie, inclusief een ROI in de vorm van sterk verbeterde veiligheid’.

Hoe implementeer je dit in een bedrijf?

Rick: ‘We bieden een licentiemodel per gebruiker. Het installeren gebeurt centraal, zodat iedere medewerker de passwordmanager op zijn apparaat heeft. Onze manager waarschuwt voor zwakke wachtwoorden en hergebruik, wat bewustwording creëert. Vervolgens kan een organisatie beleid afdwingen en zo op een gecontroleerde manier naar een hoger veiligheidsniveau werken. MindYourPass ondersteunt haar klanten tijdens het gehele implementatietraject op weg naar 100% wachtwoordveiligheid.’

En hoe zit het met kleinere bedrijven en zelfstandigen?

Rick: ‘Voor zelfstandigen en kleinere bedrijven hebben we een abonnementsvorm waarbij je per jaar betaalt. De prijzen van de passwordmanager zijn vergelijkbaar met onze concurrentie. Voor onze risicomanagement-oplossing, waarmee je sterke wachtwoorden voor elke online applicatie afdwingt, betaal je nog een paar euro per maand extra.’

Jullie werken samen met Samen Digitaal Veilig. Hoe is deze samenwerking ontstaan?

Rick: ‘Het contact is ontstaan via BDO Nederland, waar ik eerder werkte als cybersecurityconsultant. Via dat netwerk ben ik in contact gekomen met Samen Digitaal Veilig. We herkenden ons sterk in hun visie, zeker met de aanstaande NIS2 wetgeving. Onze doelgroep overlapt voor een groot deel, zoals mkb-bedrijven en brancheorganisaties. We zijn een Nederlandse oplossing, wat niet gebruikelijk is voor passwordmanagers en wilden ons aansluiten bij dit belangrijke initiatief om de BV Nederland veiliger te maken.’

Leeft de NIS2 al bij jullie klanten of is dat iets wat jullie moeten aanjagen?

Rick: ‘We zoomen daar nadrukkelijk op in, ja. We geloven sterk dat de NIS2 richtlijn effect gaat hebben. Naast bestaande normenkaders zoals ISO27001 en afgeleiden daarvan, is het belangrijk dat cybersecurity op de agenda blijft staan. De nieuwe cyberwet legt nadruk op risicomanagement en verantwoordelijkheden van bestuurders en directie. Wij staan volledig achter die benadering.’

Het NIS2 Quality Mark – een keurmerk dat Samen Digitaal Veilig in licentie heeft – biedt een toegankelijke manier voor kleinere organisaties om met cybersecurity aan de slag te gaan. Hoe kijken jullie vanuit jullie expertise daar tegenaan?

Rick: ‘Het NIS2 Quality Mark is heel toegankelijk, vooral met de drie niveaus die deelnemende partijen kunnen behalen. Het helpt kleinere organisaties om makkelijker in te stappen, en is tegelijkertijd een manier om naar ISO 27001 toe te werken. Maar dan in een lightversie, als het ware. Onze oplossing past daar perfect bij, omdat we risicomanagement op het gebied van online toegangsbeveiliging en wachtwoordveiligheid oppakken. Hiermee kunnen organisaties aantonen dat ze stappen zetten in cybersecurity.’

NIS2 legt ook nadruk op de ketenzorgplicht en meldplicht. Hoe zien jullie dat?

Rick: ‘Enorm belangrijk. De ketenzorgplicht zorgt ervoor dat organisaties niet alleen hun eigen beveiliging op orde hebben, maar ook afspraken maken met hun toeleveranciers en klanten. Dit voorkomt dat een leverancier met slechte beveiliging een risico vormt voor de hele keten. Het is belangrijk te erkennen dat de wereld niet bij je voor- of achterdeur stopt en dat je verantwoordelijkheid neemt voor de hele keten.’

Er zijn wekelijks nieuwsberichten over data breaches en ransomware. Heeft dat altijd met slechte wachtwoorden te maken?

Rick: ‘Dat weet je natuurlijk niet zeker. Maar kijk naar rapporten van Verizon en Kaspersky. Wachtwoorden zijn vaak wel een onderdeel van de reden waarom zo’n lek is ontstaan. Soms is het de hoofdreden. Uiteindelijk zie je vaak dat er ergens een wachtwoord wordt ontvreemd. Dat wil niet zeggen dat dit direct tot ransomware leidt, want er moeten nog wel een aantal andere obstakels worden overwonnen. Maar vaak zie je dat wachtwoorden ergens in de schakel voorkomen hoe een cybercrimineel binnen is gekomen. Dit kunnen admin wachtwoorden zijn die criminelen achterhalen, of ze beginnen bij een gebruiker en werken zich via die weg naar adminrechten toe. Dat heet lateral movement: hoe kwaadwillende figuren binnenkomen en zich vervolgens bewegen om uiteindelijk de boel te versleutelen.’

Waarom denk je dat mensen, ondanks alle waarschuwingen en trainingen, nog steeds zo slordig omgaan met wachtwoorden?

Rick: ‘Dat heeft te maken met het ervaren risico. Het voelt anders om een zwak wachtwoord te gebruiken dan om je voordeur niet op slot te doen. Die analogie maken we vaak omdat het tastbaar is. In een zakelijke context is een wachtwoord minder zichtbaar en mensen zijn zich vaak niet bewust van waar dat wachtwoord allemaal toegang toe geeft. Het zit vooral in de risicoperceptie: hoe groot is het risico van zwak wachtwoordgebruik?’

‘Maar zelfs als mensen zich bewust zijn van het risico, leidt dat niet altijd tot veilig gedrag. Dat komt doordat mensen vaak niet in staat zijn om veilige wachtwoorden te maken en te onthouden. Zelfs als ze een sterk wachtwoord maken, gaan ze dat vaak hergebruiken omdat het moeilijk is om meerdere sterke wachtwoorden te onthouden. Dat hergebruik van wachtwoorden is minstens zo’n groot risico.’

Zeg je eigenlijk ook: bedrijven kunnen gewoon niet meer zonder een passwordmanager?

Rick: ‘Ja, dat is absoluut wat wij zeggen. Mensen kunnen denken dat dit is omdat wij de slager zijn die zijn eigen vlees keurt, maar ik denk oprecht dat het zo is. Eigenlijk is het praktisch onmenselijk om zonder technologie veilige wachtwoorden te beheren. Of je het nu een passwordmanager noemt of iets anders, technologie is noodzakelijk om dit probleem te fixen. We vergelijken het soms met de beveiliging van je kantoor. Je zorgt ervoor dat er goede sloten en camera’s zijn om je kantoor te beveiligen. Je zegt dan ook niet: “Bepaal zelf maar welke sleutel je gebruikt en of die veilig is.” Dat zou raar zijn. Hetzelfde geldt voor wachtwoorden; technologie maakt het mogelijk om echt veilige wachtwoorden te gebruiken, iets wat mensen zonder hulpmiddelen niet lukt.’

Jullie particuliere versie is gratis. Is dat omdat jullie zo aardige mensen zijn?

Rick (knipogend): ‘Ja, zo zijn we in Eindhoven. Maar het heeft ook te maken met onze visie om de wereld veiliger te maken, en dat begint vaak privé. Bij ons kun je de volledige passwordmanager gratis gebruiken, zonder beperkingen of later moeten betalen. Dit helpt mensen om routine op te laten bouwen in het gebruik van de passwordmanager, wat ook weer helpt in een zakelijke context. Daarnaast willen we, vanuit privacy oogpunt, geen persoonsgegevens verwerken. Dit realiseren we door de dienst gratis aan te bieden, waardoor we geen betalingsgegevens van gebruikersnodig hebben’.

Is MindYourPass ook gericht op internationale klanten?

Rick: ‘Het product is universeel en te gebruiken door iedereen, ook buiten Nederland. We hebben nu al enkele klanten uit het buitenland. Maar vooralsnog richten wij ons voornamelijk op Nederland, waar nog veel te winnen valt. De ambitie om internationaal te gaan is er zeker, maar we zetten daar nu nog niet vol op in.’

Interview Forvis Mazars: ‘Cybersecurity moet een doorlopend proces zijn, net zoals je wekelijkse financiële status’
ABN AMRO peilt cyberveiligheid in de bouwsector
Bestel hackers online! Serieus gevaarlijk
De Europese Commissie verzoekt 23 lidstaten volledige implementatie van NIS2 richtlijn
Interview Lupasafe: one-click compliance voor NIS2