TechOne biedt als bekende speler in de IT-branche totale ICT-ontzorging in Nederland, van hardware tot cloudbeheer, als een One-Stop-Shop. Cybersecurityredacteur Jan Meijroos spreekt met Peter Vorstenbos en Nathalie Verkade over cybervolwassenheid, gestolen data op het darkweb en ‘tegeltjeswijsheden’.
Peter Vorstenbos werkt al 13 jaar bij Lancom, waarvan 5 jaar als directeur. Lancom is een Managed Service Provider (MSP) en maakt sinds 3 jaar deel uit van Techone, waar Peter verantwoordelijk is voor Product Development. Techone biedt totale ICT-ontzorging in Nederland, van zowel hardware tot cloudbeheer, als een One-Stop-Shop. Nathalie Verkade is Compliance Officer bij Techone en implementeert wet- en regelgeving, variërend van diversiteit en duurzaamheid tot privacy en cybersecurity. Ze focust op interne naleving van de NIS2, terwijl Peter de commerciële haalbaarheid voor klanten waarborgt. Samen vormen ze een complementair team.
Hoe maken jullie deze diensten toegankelijk voor jullie klanten?
Peter: ‘Wij richten ons op het mkb en voor hen betekent haalbaar vaak ook betaalbaar. Wij hebben bij TechOne met ThreadStone onze eigen Cybersecurityspecialisten in huis, wat waardevol is, want de meeste van onze klanten hebben dat niet. Daarom proberen we onze diensten zo op te zetten dat het voor hen ook realistisch is om te beschikken over deze kennis en kunde, zonder dat het financieel te zwaar meeweegt. Dit is cruciaal om concurrenten buiten de deur te houden en onze klanten volledig te ontzorgen.’
Hoe hebben jullie de veranderingen qua cybercriminaliteit ervaren in jullie tijd bij deze organisatie?
Peter: ‘Vroeger was een hacker vaak een jongen op zijn zolderkamer, maar tegenwoordig is het een compleet geolied bedrijf met een verdienmodel. We moeten nu bijna wekelijks reageren op incidenten. Vroeger was dit misschien een paar keer per jaar.’
Wat voor incidenten zijn dat dan?
Nathalie: ‘Dat varieert van ransomware tot identiteitsfraude en het inbreken in systemen om data te stelen en te verkopen. Dit is vooral een nachtmerrie voor mkb-bedrijven, die nu vaker doelwit zijn dan grote organisaties.’
Bellen klanten jullie vaak te laat, als het al mis is gegaan, of zijn er ook die preventief handelen?
Peter: ‘Meestal gaan ze ervan uit dat alles al geregeld is en bellen ze pas als het al te laat is. En vaak is de eerste reactie een soort van schuldtoewijzing, of soms zwijgen ze uit schaamte omdat ze wisten dat ze maatregelen hadden moeten treffen maar dat niet hebben gedaan. Ze willen dat we het zo snel mogelijk fixen, vaak zonder al te veel vragen te stellen. Ze willen gewoon door met hun werk, ongeacht de oorzaak van het probleem.’
Hoe is in algemene zin de cybervolwassenheid van jullie klanten?
Nathalie: ‘Het is heel divers. Veel bedrijven willen zich gewoon focussen op hun core business en zien cybersecurity dan soms als een extra last. Ze zijn er wel mee bezig, maar het heeft vaak niet de hoogste prioriteit. Met de komst van NIS2 zie ik wel dat dit langzaam verandert.’
Peter: ‘Veel ondernemers denken dat cyberdreigingen hen niet zullen raken omdat ze zichzelf niet als interessant genoeg zien. Wat helpt, is dat we basismaatregelen kunnen voorstellen en snel implementeren zonder dat ze uitgebreide rapportages nodig hebben. Dit gaat veelal op vertrouwen, gezien onze langdurige relaties met klanten.’
Denk je dat er een verschuiving plaatsvindt in hoe klanten cybersecurity zien, van een noodzakelijke last naar iets waarin ze zelf actief willen investeren?
Peter: ‘Deels. Het is nog steeds een uitdaging. Veel klanten zien cybersecurity nog altijd als iets wat hen kan overkomen, maar niet als noodzakelijk iets waar ze zelf proactief in moeten zijn. Het besef groeit wel, vooral omdat de bedreigingen toenemen en meer zichtbaar worden.’
Nathalie: ‘Ja, en ik denk dat nieuwe regelgeving zoals de aankomende NIS2 wetgeving helpt om het belang van cybersecurity op de agenda van de directie te zetten. Het zorgt ervoor dat bedrijven niet alleen vanuit een compliance-oogpunt actie moeten ondernemen, maar ook gaan inzien dat het een integraal onderdeel van hun bedrijfsvoering moet zijn. Als hun grote klant (een NIS2 bedrijf) het eist moet je wel anders raak je die klant kwijt. Die druk helpt.’
Dat gezegd hebbende, hoe zien jullie de aankomende NIS2 wetgeving?
Peter: ‘Je zou kunnen zeggen dat het zowel een vloek als een zegen is. Aan de ene kant brengt het meer regels, vooral voor grote en essentiële bedrijven, maar aan de andere kant brengt het ook een ketenzorgplicht met zich mee. Grote bedrijven hebben vaak honderden toeleveranciers die nu ook hun cybersecurity op orde moeten hebben. Dat verandert het speelveld aanzienlijk.’
Nathalie: ‘Het is zeker iets waar we onze klanten over moeten blijven informeren. Veel bedrijven hebben misschien wel van NIS2 gehoord, maar denken dat het niet voor hen geldt omdat ze bijvoorbeeld niet de vereiste omvang hebben in personeel of omzet en dus niet binnen de scope vallen.’
En hoe reageren ze als je uitlegt dat het wel degelijk relevant kan zijn voor hen?
Peter: ‘Vaak zien ze het belang in als we uitleggen dat als hun klanten moeten voldoen aan NIS2, zij zelf ook moeten voldoen. Het gaat erom dat je klaar moet zijn, niet alleen voor de wet maar ook voor je klanten.’
Nathalie: ‘En daar komt ook bij dat sommige van onze klanten al de druk van hun leveranciers voelen om de zaken op orde te krijgen omdat deze leveranciers in landen opereren waar de wet al snel zal ingaan. Dus de druk is zeker aanwezig.’
Als we kijken naar hacks of andere incidenten… kunnen jullie een voorval noemen dat jullie is bijgebleven?
Peter: ‘Vorig jaar aan het einde van de zomer was er een organisatie met een fabriek die 24/7 moest draaien en getroffen werd door ransomware. Alles lag compleet plat. Ze werden geadviseerd niet te betalen en niet te onderhandelen met de hackers. Echter, het bedrijf ontving dreigtelefoontjes waarin werd geëist dat ze zouden betalen, anders zou hun personeelsbestand online gepubliceerd worden. Uiteindelijk hebben ze niet betaald, en de data werd op het dark web gevonden.’
Heeft dat bedrijf zich kunnen herstellen van deze aanval?
Nathalie: ‘Ja, ze zijn erbovenop gekomen. We konden ze vrij snel weer operationeel krijgen, maar de impact was groot, vooral omdat je niet weet wat er daarna nog kan komen. Reputatieschade is een groot risico, net als de onvoorspelbaarheid van verdere aanvallen.’
Peter: ‘Het bleek uiteindelijk een technisch probleem te zijn bij de beheerders, niet iets wat de eindgebruikers fout deden. Dit toont aan hoe complex cybersecurity kan zijn en dat zelfs wanneer het probleem is opgelost, het risico op verdere schade blijft bestaan.’
Nathalie: ‘Wat we vaak zien is dat bedrijven niet altijd beseffen hoe kwetsbaar ze zijn tot het te laat is. Een risicoanalyse is essentieel; je moet weten wat je kroonjuwelen zijn en hoe je deze beschermt. Veel aanvallen beginnen met iets simpels als een phishing link of een zwak wachtwoord. Het is cruciaal om te weten waar je risico’s liggen om preventieve maatregelen te nemen.’
Tot slot, als jullie een tegeltjeswijsheid zouden moeten geven over cybersecurity voor mkb’ers, wat zou dat dan zijn?
Peter: ‘Technisch gezien zou ik zeggen: Het is niet de vraag óf, maar wanneer het fout gaat. Zorg dus altijd voor een goede back-up. Het is essentieel om gegevens op een externe, beveiligde locatie op te slaan, zodat je altijd kunt herstellen na een incident.’
Nathalie: ‘En vanuit gedragsperspectief zou ik zeggen dat bewustzijn net zo belangrijk is. Je beveiliging is zo sterk als je zwakste schakel. Zorg dat iedereen binnen het bedrijf weet wat de risico’s zijn en hoe ze zich moeten gedragen om de veiligheid te waarborgen.’
