Samen Digitaal Veilig is een initiatief van MKB-Nederland en VNO-NCW

Veilig samenwerken
in de keten

Linda van Ruth-Prijs van The S-Unit: ‘Het is beter dat wij achter je kwetsbaarheid komen dan anderen die daar geen goede bedoelingen bij hebben’

bestuurstraining voor cyber security

Linda begon haar carrière als schoonheidsspecialiste, nadat ze haar diploma in dat vakgebied had behaald. Na enige tijd in Zuid-Amerika te hebben gewoond, besloot ze via een uitzendbureau een baan te zoeken. Dit leidde haar naar een IT-distributeur, een vakgebied waarvan ze aanvankelijk dacht dat het niets voor haar zou zijn. Echter, haar assertieve persoonlijkheid maakte indruk en ze werd aangenomen.

Haar carrière in de IT-sector begon als order administrator. Al snel ontdekte ze dat ze het werk erg leuk vond en groeide ze door naar functies als inside sales, teamleider inside sales, accountmanager en uiteindelijk businessunit manager. Tijdens haar carrière besloot Linda ook HBO Management te studeren. Via diverse banen en ervaringen belandde ze uiteindelijk bij The S-Unit.

Kun je in het kort iets over jezelf en je werkzaamheden vertellen?

Linda: ‘Ik werk bij een superleuk bedrijf als commercieel directeur. Als organisatie maken we kwetsbaarheden inzichtelijk bij bedrijven door onder andere op een ethische verantwoorde wijze te hacken. En vooral dat ethische, dat zeg ik er bewust bij, want anders krijg je nog wel eens scheve gezichten. We doen dat met een hecht team van gepassioneerde professionals en hebben daar heel veel plezier in. Ik voel me ook helemaal thuis bij The S-Unit. In mijn vrije tijd klus ik graag, ga ik graag uiteten en ben ik veel met onze kinderen bezig. Eén leert net lopen dus daar krijg ik binnenkort mijn handen vol aan’.

Stel, ik ben een bedrijf en ik huur jullie in. Jullie hacken mij om te kijken waar mijn kwetsbaarheden zitten in mijn infrastructuur. Daar komen een aantal dingen uit. En dan?

Linda: ‘In de kwalitatieve rapportage die we opleveren voor zowel technische- als niet technische mensen, staan tevens de mitigatieadviezen om de kwetsbaarheden op te lossen. De opdrachtgever gaat hiermee aan de slag en vervolgens doen wij een hertest op de opgeloste bevindingen. Voor high risk bevindingen wachten we niet tot de rapportage en escaleren we dit direct met de betreffende organisatie’.

Je wil natuurlijk dat die bedrijven dan ook echt actie ondernemen bij grote alerts, rode vlaggen en eventuele breaches. Stopt daar jullie dienstverlening of bieden jullie ook verdere ondersteuning?

Linda: De penetratietesten vormen ongeveer 70% van onze dienstverlening. Maar daarnaast doen we nog een heleboel andere zaken. Naast deze penetratietesten hebben we ook een sterke focus op security awareness, bijvoorbeeld via flexibele jaarprogramma’s die bestaan uit onder andere phishingcampagnes, cybercrisissimulaties, workshops en de Trends, Nieuws & Inzichtdienst. Stuk voor stuk ondersteunende diensten die ook voor NIS2 te gebruiken zijn. The S-University, onze trainingstak is ook volop in ontwikkeling. We bieden volop trainingen aan vanuit een offensieve blik gekeken. Met de kennisoverdracht zorgen we voor een hogere weerbaarheid van organisaties.

Wat zijn de reacties van bedrijven als ze hun kwetsbaarheden zien?

Linda: Ze zijn vaak dankbaar. Sommige bedrijven noemen het hun maandelijkse “buikpijndossier”. Ze schrikken soms van de bevindingen, maar realiseren zich dat het nodig is voor hun veiligheid.

Zijn jullie klanten actief in bepaalde branches of is jullie klantportfolio heel divers?

Linda: Het is echt heel divers. We hebben ervaring in vrijwel iedere branche. We zijn tevens specialist in het hacken van Mendix-applicaties. Dat is een low-code, no-code methodologie waarbij je zonder veel programmeerkennis applicaties kunt bouwen. De specialisatie zorgt ervoor dat we goed aansluiten bij Mendix-organisaties. Doordat we ook voor Mendix zelf testen, weten we continu wat de laatste ontwikkelingen zijn op dat vlak.

NIS2 komt eraan. Leeft dat al bij jullie klanten?

Linda: ‘We merken een toenemende vraag, maar er zijn ook serieuze internationale spelers die er nog nooit van gehoord hebben en nu echt aan de slag moeten. Het is wisselend, sommige partijen zijn er intensief mee bezig, anderen niet. Het uitstel van de Nederlandse wetgeving op dat vlak zorgt er helaas voor dat de urgentie wat minder wordt.’

Wat vind jij, vanuit jouw expertise, van het NIS2 Quality Mark, speciaal gericht op mkb’ers?

Linda: ‘Wat ik heel fijn vind is dat Samen Digitaal Veilig, die de norm in licentie heeft, het zo makkelijk mogelijk maakt voor mkb’ers. Met heldere documentatie en checklists wordt meteen duidelijk wat het gat is tussen de huidige situatie en de benodigde NIS2-vereisten. Alle ingevulde gegevens kun je vervolgens eenvoudig overdragen aan de auditor voor het NIS2 Quality Mark. Eigenlijk zouden gewoon alle bedrijven hiermee bezig moeten zijn en niet alleen die door de EU zijn gedefinieerd’.

Waarom zijn jullie een samenwerking aangegaan met Samen Digitaal Veilig?

Linda: ‘We delen dezelfde visie wanneer het gaat om het beschermen van organisaties tegen cyberdreigingen. Door onze krachten te bundelen, versterken we het cybersecuritylandschap wat bijdraagt aan de verhoging van de digitale veiligheid van de samenleving. In deze samenwerking kunnen we samen een significante impact maken en onze missie verder realiseren: een veiligere digitale wereld voor iedereen.’

Wat zou de belangrijkste les moeten zijn voor ondernemers met NIS2 en de ketenzorgplicht in het achterhoofd?

Linda: ‘Begin nú. Nu kun je er echt nog de tijd voor nemen om kwalitatieve en gedegen documenten te maken en op te vragen en zorg dat je voorbereid bent.’

In dat licht, jullie hebben ook iets ontwikkeld speciaal voor directie, bestuur en management-leden?

Linda: ‘Klopt! We hebben de verplichte bestuurstraining voor cyber security ontwikkeld, specifiek voor directie en bestuursleden in lijn met NIS2. Hierin wordt o.a. de top van de organisatie bewust gemaakt van de gevaren voor de organisatie.
We houden de consultatie hiervan goed in de gaten. Mocht deze nog wijzigen, zullen wij ons programma ook aanpassen.’

Als je in het algemeen kijkt naar mkb-bedrijven, merk je dat IT vaak een bijzaak is voor hen?

Linda: ‘Ja, we zien een mix van mkb en Enterprise klanten in onze klantenset. Bij het mkb moet IT vaak erbij gedaan worden en vervullen medewerkers soms meerdere diverse rollen waardoor dit geen 100% focus heeft, terwijl bij Enterprise klanten vaak een CISO en/of ISO-medewerker werkzaam is. Zowel voor het mkb als voor Enterprise klanten hebben we diensten zoals Trends, Nieuws en Inzicht, om hen te ontzorgen en op de hoogte te houden van alles wat er in de markt speelt. De interesse voor deze dienst groeit flink.’

Waarvoor worden jullie het meest gebeld? Is het vaak als mensen denken dat er iets mis is, uit voorzorg of als het al te laat is?

Linda: ‘Als het te laat is, ben je eigenlijk ook te laat bij ons. Wij doen geen incident-response of forensics, maar richten ons echt op het preventieve stuk. We worden dan ook het meest gebeld voor onze offensieve preventieve diensten. Beter dat wij achter je kwetsbaarheid komen dan anderen die daar geen goede bedoelingen bij hebben.’

Wat zijn de meest voorkomende fouten die jullie bij klanten zien?

Linda: ‘Dat klanten niet bewust zijn van de verantwoordelijkheid die ze zelf houden voor veiligheid wanneer ze gebruik maken van technologieën die ze het leven makkelijker zouden moeten maken. Je ziet dit bijvoorbeeld in de wereld van de Low Code oplossingen, waar nieuwe ontwikkelaars vaak ervan uitgaan dat het low code platform automatisch alle veiligheidsproblemen oplost en daarbij vergeten dat ze zelf actief rechtenconfiguratie moeten doen of datavalidatie moeten implementeren.’

‘Je ziet het ook in cloud-omgevingen, waar ontwikkelaars en beheerders er vaak onterecht van uitgaan dat een virtuele omgeving ook direct een stukje isolatie en bescherming biedt en daarbij vergeten netwerkscheiding in te richten of software te updaten. Je ziet het nu zelfs bij de introductie van AI, waar nog veel bewustzijn mist met betrekking tot de eigen verantwoordelijkheid om veilig gebruik te maken van datasets en om prompt manipulatie te voorkomen. Een groot deel van de zaken die wij vinden, zijn uiteindelijk te herleiden naar dit soort misverstanden.’

Wat is tenslotte de grootste misvatting op het gebied van cybersecurity bij bedrijven?

Linda: ‘Sommige organisaties denken dat hun gegevens of systemen niet waardevol genoeg zijn om doelwit te worden voor cyberaanvallen. Dit is echter een gevaarlijke misvatting. Er is vaak meer gevoelige data beschikbaar dan mensen in eerste instantie verwachten en als ze geen primair doelwit zijn, kunnen ze een cruciale rol spelen in de toeleveringsketen van een groter doelwit.’

De toegankelijke taal van het NIS2 Quality Mark volgens cybersecurity redacteur Jan Meijroos
Automatische updates ontbreken bij veel kleine bedrijven
10 Miljard wachtwoorden gelekt
Cybersecuritymonitor 2023: kleinschalige bedrijven hebben werk te doenCybersecuritymonitor 2023: kleinschalige bedrijven hebben werk te doen
Internetconsultatie NIS2 afgerond