“Het komt ook ons commercieel niet slecht uit, maar alle aandacht voor de aanstaande invoering van de AVG is natuurlijk bizar.” Aan het woord is Lieuwe Jan Koning, founding partner van de Nederlandse cybersecurityspecialist ON2IT. “Alsof organisaties het zich de afgelopen jaren konden veroorloven om beveiliging en risk management links te laten liggen.”
Koning begrijpt dat de invoering van de nieuwe Europese privacywetgeving per 25 mei van dit jaar een mooi moment is voor dreigende AdWords campagnes en e-mails van juristen en consultants. Maar praktisch gezien voldoen de meeste klanten van ON2IT al veel langer aan het grootste deel van alle eisen die de AVG stelt. “Het klinkt wrang, maar het overtreden van de AVG is voor onze grotere klanten een relatief klein probleem in vergelijking met de operationele schade die ze kunnen oplopen door inbraken of datalekken. De technische en organisatorische beveiligingsmaatregelen die ze daarvoor al jarenlang moeten nemen, zijn als het goed is een solide fundament om ook AVG-compliant te zijn.”
Klein onderdeel
Koning: “Het klinkt natuurlijk lekker afschrikwekkend in de communicatie rond de AVG: stevige boetes voor bestuurders bij privacy-overtredingen. In de praktijk zijn de consequenties van serieuze hacks vele malen groter. De CEO’s van grote ondernemingen als Target en Sony moesten vertrekken als gevolg van inbraken door hackers, en beursanalisten vreesden destijds dat Sony Pictures de reputatieschade niet te boven zou komen.”
ON2IT heeft internationale klanten die in complexe juridische transacties verwikkeld zijn, weet Koning. “Kun je je voorstellen wat de schade is wanneer de advocaten van de tegenpartij alle dossiers konden inzien?” De boetes voor de AVG zijn volgens hem ‘peanuts’ in vergelijking met de business impact van gestolen intellectuele eigendom, klantgegevens, sabotage of inbraken in de systemen van banken of energiebedrijven. Kortom: in de context van de voortdurende strijd tegen cybercrime moesten veel grote ondernemingen – meestal in samenwerking met externe security specialisten – hun databeveiliging de afgelopen jaren al naar een hoger niveau tillen.
Wapenwedloop
Koning wil het belang van de AVG niet bagatelliseren, maar hij ziet de snelheid waarmee het technologisch landschap versnelt als een veel ingewikkelder probleem voor vrijwel alle organisaties waaraan zijn onderneming cyberbeveiligingsdiensten levert. “Het is een open deur om te stellen dat hackers, vooral zij die voor overheden werken, steeds geavanceerder te werk gaan. Maar ook commerciële malware exploitanten worden met de maand slimmer. Tegelijk hebben de it-organisaties van onze klanten te maken met de onverminderde migratie naar clouddiensten, de versnelde verschuiving naar het software-defined datacentrum. De omgeving en de data die we moeten beveiligen zijn voortdurend in beweging onder druk van technologie en concurrentie.”
Koning signaleert twee duidelijke marketingtrends in de wapenwedloop tussen it-afdelingen en hackers: automatisering en artificial intelligence (AI). “Het klopt dat het inrichten en onderhouden van cyberbeveiliging en risk management rapportages niet langer op de bestaande, bijna ambachtelijke manier is vol te houden. Daar hebben we de specialisten niet voor en is het probleem te groot.” Maar volgens hem beperken veel hardware- en softwareaanbieders de automatisering tot hun eigen producten en diensten.
Zero Trust
Volgens Koning zijn wij de afgelopen tien jaar tot de conclusie gekomen dat de technologie zo snel verandert, dat het door ons ontwikkelde automatiseringsconcept boven al die aanbieders moet hangen. “Daar ligt onze meerwaarde. Wanneer een nieuwe veelbelovende startup op basis van AI continu zogeheten penetratietesten kan uitvoeren (en dus niet twee keer per jaar), dan moet dat direct kunnen integreren in al onze bestaande geautomatiseerde workflows en audits.”
Om te illustreren hoe snel en onvoorspelbaar ontwikkelingen kunnen gaan wijst Koning op de opkomst van de zogeheten Zero Trust aanpak in cybersecurity. “Wij hadden de visie, en eerlijk gezegd ook wel wat geluk, om een paar jaar geleden te gaan samenwerken met John Kindervag, de uitvinder van Zero Trust. Destijds was hij een roepende in de woestijn, nu gebruiken de FBI, Google en Facebook zijn concepten als basis voor hun databeveiliging. Of neem Palo Alto Networks. We integreerden hun producten bij onze klanten toen ze een kleine maar veelbelovende startup met razend slimme producten waren. Nu is Palo Alto Networks 17 miljard waard op de beurs en scoren ze torenhoog als marktinnovatie-leider bij Gartner en IDC. Vanuit Silicon Valley en Israël zie je nu letterlijk honderden cybersecurity startups, met veelbelovende concepten om security en risk management met AI-technologie te automatiseren. Wij moeten ervoor zorgen dat onze klanten die technologie – zodra die zich bewezen heeft – kunnen gebruiken.
Traffic scan
Visibility, zichtbaarheid van alle datastromen, is een sleutelconcept in databeveiliging, zegt Koning. “Als je niet ziet wat er in je netwerk en in het dataverkeer naar buiten gebeurt, dan ben je blind.” Ook hier is het door specialisten laten zoeken naar verdachte patronen in duizenden logbestanden niet langer een optie. En ook hier bieden automatisering en artificial intelligence oplossingen. ON2IT biedt bijvoorbeeld een zogeheten traffic scan aan waarmee je volgens Koning met enkele dagen verkeersanalyse van al je netwerkverkeer meer te weten komt dan voorheen met een leger aan analisten van verschillende leveranciers.
“Die CEO of zorgbestuurder maakt zich inmiddels toch zorgen over zijn of haar risicoprofiel bij het in werking treden van de AVG”, zegt Koning. Hij begrijpt dat er organisaties zijn die door een combinatie van oorzaken nog geen optimale cybersecurity strategie hebben ontwikkeld, laat staan geïmplementeerd. “De AVG is dan een logische aanleiding om aan de hand van een verkeersanalyse van je werkelijke dataverkeer zichtbaar te maken waar je kwetsbaarheden liggen. Eerst door eenmalig een controlemeting uit te voeren. Doel is uiteindelijk om structureel te meten. Elke goede cybersecuritystrategie voorziet erin dat je doorlopend kunt aantonen dan je in control bent. Natuurlijk zijn checklists, protocollen en procedures belangrijk. Maar je moet ook actief en 24/7 dreigingen in de gaten houden, zoals de in je netwerk gevonden malware, het gebruik van risicovolle applicaties en het afwijkend gedrag van je ict-systemen.”
