René van Etten is sinds 1995 werkzaam in de ICT en in 2014 heeft hij ThreadStone opgericht. Cybersecurity redacteur Jan Meijroos spreekt met hem over de NIS2, verantwoordelijkheid van het hoger management en lacunes op het gebied van cyberveiligheid.
Wat voor bedrijf is ThreadStone?
René Van Etten: ‘Ons bedrijf helpt organisaties die te klein zijn om een eigen securityteam op te zetten, maar te groot zijn om het belang van informatiebeveiliging niet meer serieus te nemen. Over het algemeen zijn dit organisaties tussen de 10 en 1000 medewerkers, waarbij we inzicht, advies en oplossingen bieden op het gebied van informatiebeveiliging in de breedte. Hierbij richten we ons op beleid, bewustzijn van medewerkers en de techniek. We werken samen met een zestigtal IT-partners en verschillende verzekeraars zoals Centraal beheer, Avéro, Allianz en Zurich.’
‘Hiernaast zijn wij sinds 2023 onderdeel van de Techone-groep, waarbij we met zo’n 700 medewerkers vanuit 14 vestigingen door het hele land zo’n 65.000 MKB organisaties helpen op het gebied van ICT. De rol van ThreadStone is hierbij om zowel voor onze eigen organisatie als voor onze klanten informatiebeveiliging te verzorgen. Ons doel is om te voorkomen dat er ‘brand’ uitbreekt en als het onverwacht toch gebeurt, dat het beperkt blijft tot een smeulend vuurtje.’
Als je kijkt naar jullie klanten… zijn er een aantal sectoren waar jullie van oudsher prominent in opereren?
Van Etten: ‘Onze klantbasis is eigenlijk heel breed, mede omdat we in de driehoeksverhouding eindklant, IT-partner en ThreadStone samenwerken. In de financiële sector zijn de belangen rond informatiebeveiliging bijvoorbeeld heel anders dan in de maakindustrie. We kijken dus specifiek naar het risicoprofiel van een organisatie en hoe zij hun kroonjuwelen het beste kunnen beschermen. De ene keer ligt dit in aandacht op de vertrouwelijkheid van de gegevens, ofwel ervoor zorgen dat deze binnen de organisatie blijven, de andere keer ligt de nadruk veel meer op continuïteit van de processen.’
De NIS2 richtlijn komt eraan. Het moment voor bedrijven om nu toch echt werk te gaan maken van hun cybersecuritybeleid?
Van Etten: ‘We zijn al jaren bezig met het helpen van onze klanten met het verbeteren van cyberweerbaarheid, ook buiten de NIS2 om. We hebben in het verleden samengewerkt met MKB-Nederland en verschillende brancheverenigingen. Onze ervaring is dat een ondernemer een vorm van pijn moet ervaren voordat hij met informatiebeveiliging aan de slag gaat. “Pijn” is veelal een hack – dan is het urgent – of regelgeving zoals de AVG. Met de NIS2 komt er meer nadruk op de beveiliging binnen de keten, wat weer een andere vorm van “pijn” geeft, want daarmee kan de business werkelijk geraakt worden. Als een ondernemer wordt geconfronteerd met een klant die aangeeft te vertrekken als de informatiebeveiliging niet aantoonbaar op orde is, dan raakt het in de portemonnee. In mijn optiek de meest positieve vorm van pijn die een ondernemer kan ervaren, want door te investeren in informatiebeveiliging kun je dus ook nieuwe klanten aantrekken!’
Hoe staat het met de samenwerking met Samen Digitaal Veilig en de voortgang van jullie gezamenlijke projecten?
Van Etten: ‘We draaien een project met Bouwend Nederland, waarbij we een beeld geven van de beveiligingsstatus van organisaties op basis van openbare informatie. Dit doen we in samenwerking met MKB-Nederland en Samen Digitaal Veilig. We hebben een eerste meting gedaan en zullen een vervolgmeting uitvoeren om te zien of er verbeteringen zijn doorgevoerd. Hiernaast hebben we met de Techone-groep ervoor gekozen om Samen Digitaal Veilig actief te gaan inzetten bij onze klanten om ze te helpen naar de NIS2 keurmerken. Hierbij komt de kracht van samenwerking tussen eindklant, IT-partner, ThreadStone en SDV supermooi samen!’
Vanuit jouw expertise, hoe kijk je naar het NIS2 Quality Mark; de norm voor cybersecurity dat ontwikkeld is door de Stichting Kwaliteitsinnovatie, een samenwerkingsverband van brancheorganisaties?
Van Etten: ‘Wij zijn enthousiast over dit keurmerk, omdat het de leemte opvult tussen niets en ISO27001. Wij denken dat, door te werken met dit keurmerk, er duidelijkheid in de markt ontstaat over de wijze waarop maatregelen zijn getroffen. Organisaties die onder de NIS2 gaan vallen kunnen hiermee ook, op basis van een risicobeoordeling van de leveranciers, vragen om te gaan voldoen aan één van de niveaus. Dit geeft duidelijkheid in de markt en ook vanuit bijvoorbeeld verzekeraars hoor ik positieve reacties, omdat ze hiermee de intake en risicobeoordeling op toekenning voor een verzekering veel eenvoudiger kunnen maken zonder allerlei lange vragenlijsten.’
Wat is de belangrijkste rol van het NIS2 Quality Mark in jouw optiek?
Van Etten: ‘Beveiliging kan nooit 100% gegarandeerd worden, maar met duidelijke richtlijnen en normen kunnen bedrijven wel een basisniveau van beveiliging garanderen. Dit keurmerk helpt bedrijven daarbij. Om op een gestructureerde manier te groeien in hun cybersecurity aanpak, van basic, via substantial naar high of zelfs ISO27001, en biedt uiteindelijk een pad naar verbeteringen. Daarmee komen we direct op een statement dat we vaak maken; “informatiebeveiliging is geen project, maar een proces!”’
Wat valt je op als je bij klanten over de vloer komt? Waar zit veelal de pijn?
Van Etten: ‘Helaas zien veel organisaties nog steeds het risico niet en is het wachten op een incident. Ook zien wij dat er bij veel organisaties nog steeds de gedachte heerst dat de IT-partner verantwoordelijk is voor informatiebeveiliging, maar dit is maar deels waar.’
‘Vergelijk het met verkeer; het gaat om het samenspel van de verkeersregels, de kennis, het bewustzijn en het gedrag van bestuurders die de verkeersregels kennen en daarnaar handelen. En tenslotte natuurlijk de techniek, in dit geval bijvoorbeeld de auto of de motor. Een IT-partner is vooral verantwoordelijk voor het laatste: als gebruikers laks omgaan met wachtwoorden (omdat er geen afspraken over zijn gemaakt), overal (bedrijfs)gegevens op internet delen of niet weten te handelen op bezoek dat eigenlijk niet in de bedrijfshal hoort te zijn, dan is het dweilen met de kraan open. Die verantwoordelijkheden kun je niet doorschuiven naar een IT-partner. Het begint dus vooral bij het hoger management met het bepalen van risico’s en het opzetten van beleid.’
‘Als ik een specifiek voorbeeld moet geven van een punt waar een organisatie snel het beveiligingsniveau sterk kan verbeteren… dan betreft dat het gebruik van multifactor authenticatie (MFA). Wij zien in de praktijk dat het overgrote deel van de aanvallen start met het overnemen van een gebruikersaccount van bijvoorbeeld een Microsoft-omgeving. In de praktijk blijkt dat in meer dan 90% van deze gevallen de betreffende gebruiker geen MFA gebruikt. Hierdoor ben je afhankelijk van de omgang van wachtwoorden door de gebruikers. Door de opkomst van onder andere AI kunnen aanvallers veel sneller en volledig geautomatiseerd aanvallen uitvoeren. Dergelijke kwetsbaarheden leiden vaak tot incidenten en laten duidelijk zien dat de basisbeveiliging nog niet overal op orde is. Dit is typisch iets waarvan ik denk dat het in deze tijd echt niet meer zou moeten mogen gebeuren.’