Met Eric van Uden, Country Manager Nederland bij AVM, praten we over de oproep die de Cyber Security Raad, een onafhankelijk adviesorgaan voor het Kabinet, ondanks deed. De Raad spoort een nieuwe regering aan tot meer investeringen in cybersecurity. Een blog in onze reeks ‘Het Meest Opvallende Nieuws Van..’ waarin iemand uit de markt een week lang onze nieuwsberichten volgt.

Volgens het adviesorgaan zijn de huidige investeringen in cybersecurity niet genoeg om de groeiende digitale dreigingen vanuit statelijke actoren en cybercriminelen het hoofd te bieden. Allereerst vragen we Van Uden als IT- en telecomveteraan wat zijn advies aan de politiek zou zijn. “Eigenlijk is het voor het belangrijkste advies al te laat,” is zijn reactie. “Dat is namelijk: zorg voor voldoende kennis over telecom, datacom en cybersecurity in de Tweede Kamer.” Die kennis is in het nieuwgekozen parlement onvoldoende aanwezig. “Dat betekent dat Kamerleden voor veel belangrijke informatie moeten leunen op de input van externen. Daardoor kun je eigenlijk als toezichthoudend en controlerend orgaan onvoldoende beoordelen wat er gebeurt.”

De risico’s zitten in de versnippering van informatie, en de invloed van lobbygroepen. “Ik zie een toename van organisaties die inspringen op het gebrek aan kennis op het gebied van cybersecurity.” Terwijl veiligheid en beveiliging naar de mening van Van Uden juist zaken zijn dat je “simpelweg doet en uitvoert” en waar je verder niet te veel over vertelt. “Dus geen borstklopperij in allerlei gremia, maar in een hecht en deskundig overleg tot afspraken en controle komen.” Dat organiseert dan een richtinggevende groep mensen van professionals die niet alleen weten waar ze over hebben, maar ook in staat zijn de verschillende belangen van burgers, bedrijven en overheden af te wegen.”

Gekanaliseerd wantrouwen

In het artikel wordt gewezen op het belang van Europese wetgeving op het gebied van security. NIS2 wordt genoemd, maar daarnaast krijgen of hebben we te maken met de Cyber resilience Act en de CER-richtlijn. Waar die laatste het fysieke toezicht op objecten, zoals bijvoorbeeld datacenters, regelt, gaat het bij NIS2 om dataveiligheid en privacy. Van Uden: “Het zijn duidelijke richtlijnen, die eisen stellen en aangeven welke beveiligingsmaatregelen genomen moeten worden. Dit wordt gekoppeld aan handhaving, mogelijke boetes en persoonlijke aansprakelijkheid.”

De Cyber Resilience Act versterkt de impact van de andere regels, door heel duidelijk eisen te stellen aan het ontwerp van hard- en software. Ook die wet komt met onder meer een meldplicht bij incidenten. “Zo wordt gezond wantrouwen gekanaliseerd via drie stevige wetten,” stelt Van Uden. “Die denkrichting vind ik juist.”

Vergeet patches niet

Daarbij mag het volgens Van Uden niet blijven. “Nog steeds is het zo dat het installeren van software-updates en het uitvoeren van patches veel problemen voorkomt. Te vaak zeggen bedrijven dat het patchen een risico kan zijn, omdat elders in de stack problemen kunnen ontstaan. Wat dat betreft moeten we blijven leren van de zorgsector. ‘Treat first what kills first’, is hun motto. De risico’s van het niet doorvoeren van updates is in een IT-omgeving de meest bedreigende kwaal.”

Voor de leden van Dutch Cloud Community (DCC) waren afgelopen maand twee berichten meer dan interessant, blijkt uit de reactie van Ruud Alaerds (foto) en Simon Besteman. Samen vormen ze de directie van DCC. Een blog in onze reeks ‘Het Meest Opvallende Nieuws Van…’ waarin een autoriteit in de markt een week lang onze nieuwsberichten volgt.

Het eerste artikel dat de beiden opvalt gaat over het rapport de Staat van de Digitale Infrastructuur. ChannelConnect schreef erover op 22 januari. De redactie koos als kop ‘Nederland dreigt toppositie digitale infrastructuur te verliezen’.

Grote maatschappelijke impact

Onderzoeksbureau Ecorys onderzocht in opdracht van de minister de stand van zaken bij de digitale infrastructuur. Het gaat daarbij om telecomnetwerken, zeekabels, datacenters, hosting en internet exchanges. Volgens de minister heeft deze sector een grote maatschappelijke en economische impact. Samen met toeleveranciers – zoals bedrijven die glasvezel aanleggen of leveranciers van netwerkapparatuur – draagt de digitale infrastructuur-sector jaarlijks met 24,2 miljard euro bij aan het Nederlandse BNP. De sector omvat zo’n 200.000 banen. Tot zover het positieve nieuws.

Risico’s

Het rapport adresseert namelijk ook aandachtspunten. “Nederland heeft een hoogwaardige en toegankelijke digitale infrastructuur die behoort tot de internationale top. Maar deze positie staat onder druk vanwege weinig prioriteit voor nieuwe investeringen, onvoldoende capaciteit op het elektriciteitsnetwerk en lastig te vinden fysieke ruimte.”

Besteman en Alaerds stellen dat Dutch Cloud Community de conclusies van het rapport onderschrijft. “We willen benadrukken hoe belangrijk het is dat de regering ook op de lange termijn een consistent en voorspelbaar beleid voert,” zegt de directie van DCC. “Dit is belangrijk om investeringen mogelijk te maken en bedrijven in staat te stellen de juiste infrastructuur op te bouwen voor de langere duur.” Volgens DCC kan Nederland alleen zo de noodzakelijke digitalisering voortzetten die zowel de samenleving als de economie nodig hebben.

Jubileum AMS-IX

Wat dat betreft is het mooi om op te merken dat internetknooppunt AMS-IX afgelopen week 30 jaar bestond, We beschrijven dat in een ander artikel. Wat op 1 februari 1994 begon als een manier om lokaal data uit te wisselen, is inmiddels een van de belangrijkste schakels geworden in het internationale internetverkeer. Als een van de grootste internetknooppunten van de wereld heeft AMS-IX een sterke positie opgebouwd als digitale hun, en staat het symbool voor de kracht van de Nederlandse infrastructuur. Uit de reactie van de directie van DCC blijkt dat we alle zeilen moeten bijzetten om die positie niet te verliezen.

Op 27 februari vindt Kickstart Europe weer plaats in de Amsterdamse RAI, met een netwerkborrel op de avond van de 26ste. “De conferentie is uitgegroeid tot het belangrijkste internationale evenement voor deze sector.” Dat zegt organisator Stijn Grove, Managing Director van Dutch Datacenter Association (DDA). ChannelConnect sprak met hem.

“Door de jaren heen wist Kickstart Europe zich te vestigen als een bruisend en dynamisch evenement, dat steeds aan kwaliteit won. We zetten elk jaar een nieuwe stap. In de afgelopen zeven jaar won het evenement gestaag populariteit gewonnen. En dit jaar belooft het niet anders te zijn. Met 1500 deelnemers vorig jaar lijkt Kickstart Europe alleen maar in kracht toe te nemen.”

“Vanaf het allereerste begin was Kickstart Europe gericht op het brengen van topkwaliteit in events, vooral op het gebied van leiderschap. De mensen op het podium en de bezoekers in de zaal moesten vanaf de eerste editie vooral bestaan uit managers op C-niveau. Dit streven naar kwaliteit resulteert in het aantrekken van vooraanstaande keynote-sprekers. En van panelleden die deelnemers een diep inzicht bieden in belangrijke kwesties zoals strategie, investeringen en netwerken.”

Twan Huys als moderator

“Ook de manier waarop we deze topmanagers laten communiceren maakte een ontwikkeling door. Als je dan aansprekende mensen op het podium hebt, dan wil je ook echt informatie van hen horen en niet alleen jargon. Om die reden zal Twan Huys, die niet alleen een gerenommeerd journalist en gespreksleider is, maar ook iemand die als oud-correspondent goed Engels spreekt, de sessies modereren.”

“Net als bij de vorige edities, ligt bij Kickstart Europe ook dit jaar de kracht in de diversiteit aan panels. Met 18 panels, meer dan ooit tevoren, behandelen we een breed scala aan onderwerpen. Namelijk van digitale infrastructuur en financiën tot duurzaamheid en technologische ontwikkelingen. Naast die 18 panels zijn er nog drie keynotes.”

“Nieuw dit jaar in het programma is het Finance Forum. Hierin buigen acht panels zich over investeringen. Deelnemers zijn vertegenwoordigers van internationale banken, grote institutionele beleggers en equity-partijen. Deze focus op financiën weerspiegelt de groeiende relevantie van het financiële aspect in de snel evoluerende technologische sector.”

Netwerkborrel in de RAI

“Kickstart Europe benadrukt een dag lang niet alleen de zakelijke aspecten, maar hecht ook waarde aan netwerkmomenten. De avond voorafgaand aan het evenement biedt deelnemers al de gelegenheid om te netwerken en bij te praten, waarbij de nadruk ligt op een informele sfeer. Vorig jaar wisten 700 tot 800 deelnemers de weg naar de borrel in de RAI te vinden. De deelnemers zijn dan vaak toch al in de stad en ik denk dat de kracht van een evenement moet zijn het netwerken daar mogelijk te maken waar de rest van het programma zich een dag later ook afspeelt.”

“De betrokkenheid van regionale spelers vergeten we niet, ook al groeide Kickstart Europe sterk. De datacenter-sector kent immers naast enkele grote, vooral veel regionale partijen met een doorgaans platte organisatiestructuur. De managers van al die ondernemingen treft elkaar jaarlijks in de RAI.”

AI: kans en uitdaging

“De kansen en uitdagingen waarmee de sector wordt geconfronteerd, zoals de groei van AI en Cloud, energietransitie en ruimtebeperkingen in belangrijke steden als Amsterdam, Frankfurt, Londen en Parijs, worden op Kickstart Europe nadrukkelijk besproken.”

”AI neemt een centrale plaats in als hoofdthema, waarbij de link tussen verschillende onderwerpen wordt gelegd. De impact van AI op duurzaamheid, de arbeidsmarkt en investeringen wordt grondig besproken, evenals de rol van AI in de datacenters zelf, waar het kan bijdragen aan efficiënter energie- en milieubeheer.”

Grotetafelgesprek

Het ChannelConnect-team is druk bezig met de voorbereidingen van het Dossier Datacenter & Cloud, dat op 28 maart verschijnt. Het is nog tot en met 1 maart mogelijk om te reserveren voor deze editie.

In deze eerste editie vind je onder meer een verslag van een prikkelend Grotetafelgesprek rond het thema Datacenter & Cloud, waarbij 0ok Stijn Grove aanschuift.

Benieuwd naar hoe het Grotetafelgesprek eruit ziet? Klik hier voor de video voor vorig jaar. Het dossier Datacenter & Cloud wordt gebundeld met het maartnummer van ChannelConnect, maar is een eigen uitgave (back to back). Het dossier wordt ook online los aangeboden en gepromoot, zodat je profiteert van optimale zichtbaarheid.

Arwen Vink, solution specialist digital workplace bij SoftwareOne las op 17 januari het nieuws over het onderzoek van Ricoh, waaruit bleek dat werknemers ontevreden zijn over verouderde technologie op werkplek. Een blog in onze reeks ‘Het Meest Opvallende Nieuws Van..’ waarin iemand uit de markt een week lang onze nieuwsberichten volgt.

“De uitkomsten van het onderzoek van Ricoh zijn zorgwekkend voor werkgevers. Het is duidelijk dat medewerkers behoefte hebben aan nieuwe technologieën om hun werk goed te kunnen doen. Als werkgevers deze behoefte niet vervullen, lopen ze het risico om medewerkers te verliezen.”

Wat wil de werknemer?

Er is volgens Vink een aantal belangrijke redenen waarom werknemers ontevreden zijn over de huidige technologie op de werkplek. ”Vaak is de technologie verouderd en niet meer geschikt voor de huidige manier van werken. Ook zien we dat de middelen voor werken op afstand vaak niet toereikend zijn. Een derde reden is dat er teveel tijd wordt besteed aan administratieve taken. Deze kunnen vaak makkelijk door technologie worden geautomatiseerd, dat bespaart tijd en kosten.”

Een aantal concrete tips voor werkgevers zijn:
– Start met een duidelijke visie op hoe de technologie de werkplek kan verbeteren.
– Betrek werknemers bij het proces en luister naar hun feedback.
– Bied training en ondersteuning aan om werknemers te helpen de nieuwe technologie te leren gebruiken.
– Maak de nieuwe technologie gebruiksvriendelijk en toegankelijk.

AI helpt bij verbeteren van werkprocessen

“Een goed voorbeeld van het inzetten van technologie waar werkgevers baat bij hebben, zijn oplossingen gebaseerd op kunstmatige intelligentie (AI). Dit is een belangrijke trend die relevant is voor werknemers. AI heeft het potentieel om de werkplek te transformeren en de productiviteit, creativiteit, efficiëntie én tevredenheid van werknemers te verbeteren.”

Een aantal veelvoorkomende toepassingen van AI op de werkplek zijn:
– Automatisering van taken: Men kan AI gebruiken om taken te automatiseren die momenteel door werknemers worden uitgevoerd. Dit kan leiden tot tijdwinst en een vermindering van fouten.
– Data-analyse: AI kan worden gebruikt om grote hoeveelheden data te analyseren en nieuwe inzichten te identificeren. Dit kan helpen bij het nemen van betere beslissingen en het verbeteren van de bedrijfsprestaties.
– Klantenservice: AI kan worden gebruikt om klanten te helpen via geautomatiseerde kanalen. Dit helpt werknemers zich te richten op andere kernactiviteiten.

Copilot maakt werk ook leuker

Vink legt uit: “Neem als voorbeeld de nieuwe AI-technologie van Microsoft voor Microsoft 365-toepassingen, Copilot. Gebruikers besteden dankzij deze toepassing minder tijd aan het zoeken naar informatie, en e-mails verwerken wordt een stuk gemakkelijker. Wanneer Teams-besprekingen en actiepunten voor werknemers worden samengevat en Copilot ze snel op weg helpt met nieuwe projectvoorstellen, kunnen werknemers veel efficiënter werken. Er komt meer tijd vrij voor kernactiviteiten. Bovendien kunnen werknemers data-gedreven werken omdat ze via Copilot creatief kunnen omgaan met de eigen bedrijfsdata.”

Use cases zijn essentieel

Maar met de introductie van nieuwe AI-technologie alleen red je het niet, zegt Vink. “Een goede adoptiestrategie op basis van de geïdentificeerde use cases is van groot belang. Als medewerkers zomaar een licentie krijgen zonder bijgaande uitleg over het gebruik en de toepassing, dan is de kans groot dat het geen goede ervaringen oplevert. Werknemers schuiven de oplossing dan aan de kant. Om de adoptie van nieuwe technologie op de werkplek te bevorderen, is het ook belangrijk om een goede aanpak van change management te hebben.

Dit betekent dat werknemers moeten worden meegenomen in het proces en dat ze de voordelen van de nieuwe technologie moeten begrijpen. Door de use case centraal te stellen en onze tips op te volgen, kunnen werkgevers inhaken op een belangrijke trend (AI) én de tevredenheid van werknemers verbeteren, zodat zij zich op de leuke, uitdagende, strategische kernactiviteiten kunnen richten.”

Wouter Goed, Senior Country Manager Benelux voor Jamf, las het nieuws over het 2023 Global Risks Report dat het World Economic Forum in Davos heeft gepresenteerd. De opstellers van dit rapport benadrukken dat cybersecurity een topprioriteit moet worden. Een blog in onze reeks ‘Het Meest Opvallende Nieuws Van..’ waarin iemand uit de markt een week lang onze nieuwsberichten volgt.

“Dit nieuwe rapport van het WEF maakt opnieuw duidelijk dat zowel organisaties als particulieren cybersecurity echt serieus moeten gaan nemen. Natuurlijk had het eigenlijk allang een topprioriteit moeten zijn. De cyberrisico’s blijven toenemen en de gevolgen van een succesvolle aanval kunnen ernstig zijn. Bedrijven kunnen enorme financiële en reputatieschade lijden en particulieren kunnen het slachtoffer worden van identiteitsdiefstal of fraude. Dus het is echt een zaak van iedereen.”

Phishing blijft uitdaging

“Het rapport besteedt onder andere aandacht aan de risico’s die bedrijven lopen door phishing. In 2022 was maar liefst 90% van de Nederlandse organisaties slachtoffer van ten minste één succesvolle phishing-aanval. Waar ik mij nu veel zorgen over maak, is de groeiende inzet van allerlei AI-tools door cybercriminelen. Die maken het voor vrijwel iedereen heel makkelijk om een geavanceerde phishing campagne op te zetten, compleet met overtuigende e-mailteksten en met de vormgeving van organisaties die we allemaal kennen en vertrouwen.

Daar komt bij dat deze phishing aanvallen zich steeds vaker richten op mobiele telefoons, waarop het bijvoorbeeld lastiger is te zien of een link wel legitiem is. De inzet van AI gaat echter veel verder dan alleen goed lopende en grammaticaal correcte teksten. We hebben de eerste gevallen al gezien van deepfake fraudepogingen waarbij een stem van een directeur levensecht werd nagebootst en waarin deze opdracht gaf om een groot bedrag over te maken. Met de snelle ontwikkeling van realtime deepfake video’s worden dit soort risico’s nog groter. Want als een niet van echt te onderscheiden directeur in een videocall een betaalopdracht geeft, dan zullen de meeste mensen daar niet verder iets achter zoeken.”

Desinformatie grote zorg

“De risico’s van AI voor onze samenleving gaan echter verder dan alleen financiële cybercrime. Het WEF-rapport noemt door AI-gegenereerde desinformatie als de op één na grootste zorg in het wereldwijde risicolandschap in 2024. Generatieve AI wordt steeds meer ingezet om zeer geloofwaardige desinformatie te genereren en te verspreiden, met een snelheid en een volume die voorheen niet mogelijk waren. Dit jaar wordt een belangrijk politiek jaar, met in ons land de kabinetsformatie en in de VS natuurlijk de presidentsverkiezingen. AI zal zeker ingezet worden om stakeholders en stemmers – en daarmee de uitslag – te beïnvloeden. Met alle gevolgen van dien. Het is dan ook goed dat er nu zowel vanuit de EU als door de Nederlandse overheid visie en regels komen om de verdere ontwikkeling en vooral ook het gebruik van AI in goede banen te leiden.

Hoe dan ook, cybercrime, desinformatie en andere schadelijke activiteiten hebben onze aandacht echt nodig en zullen, zoals het WEF zegt, een topprioriteit moeten worden. Niet alleen voor IT- en securityteams, maar ook bij particulieren, medewerkers en vooral ook voor de directie. Want het businessmodel van cybercrime is intussen zo lucratief, dat het in de toekomst misschien wel aantrekkelijker gaat worden voor criminelen dan bijvoorbeeld de handel in drugs. Er is dus werk aan de winkel als het gaat om bescherming tegen cybercrime, voor ons allemaal. Want iedereen kan het slachtoffer worden.”

Deze week las Dyon De Bruijne, Principal Consultant bij Commvault, berichten op deze website. Het nieuws dat dat de Europese Centrale Bank de cyberweerbaarheid van 109 Europese banken gaat testen viel hem op. Een blog in onze serie ‘Het Meest Opvallende Nieuws Van…’.

De Bruijne: “Iedereen heeft baat bij deze test, omdat de cyberweerbaarheid van ons financiële stelsel cruciaal is voor onze samenleving. Maar als databeschermingsprofessional ben ik ook gewoon nieuwsgierig naar wat hieruit gaat komen. Niemand weet nu waar het systeem precies tekortschiet.”

Miljarden puzzelstukjes

De test door de ECB heeft alles te maken met de aankomende Digital Operators Resilience Act (DORA): Europese wetgeving die eisen stelt aan de cyberweerbaarheid van financiële instellingen. De Bruijne: “Financiële instellingen zijn vervlochten met de haarvaten van onze maatschappij. Ligt het betalingsverkeer stil, dan komt vrijwel alles tot stilstand. Dat maakt financiële instellingen aantrekkelijke doelwitten voor partijen die chaos willen veroorzaken. Genoeg reden dus om bijzondere eisen te stellen aan de cyberweerbaarheid van financiële partijen. De ECB gaat nu een deel van de DORA-eisen testen: recovery readiness. Dat is maar goed ook, want DORA zal begin 2026 ingaan en het is momenteel niet duidelijk of de financiële sector er tegen die tijd klaar voor zal zijn.”

Veel databronnen

“Financiële instellingen staan voor een aantal specifieke uitdagingen als het gaat om het herstellen van hun data. Om het betaalverkeer te regelen putten hun business applications uit een grote aaneenschakeling van databronnen. Voor een simpele betaling moeten de gegevens van verschillende personen, rekeningen en andere zaken in een fractie van een seconde in de juiste volgorde aan elkaar geknoopt worden. Het voltooien van een transactie is daarmee bij uitstek een proces met veel ‘afhankelijkheden’, oftewel onmisbare schakels, op het gebied van data. Dat is een puzzel die elke dag voor miljarden transacties moeten worden gelegd ”

De Bruijne vervolgt: “Die schakeltjes moeten op precies het juiste moment worden vastgelegd om recovery uit te kunnen voeren. Stel dat ik een betaling doe bij de supermarkt en er herstel wordt uitgevoerd, alleen besluit mijn bank een andere momentopname te herstellen dan de bank van de supermarkt. Zo kan mijn betaling makkelijk kwijtraken. Als zoiets zou gebeuren in het internationale betalingsverkeer, wat om honderden miljoenen euro’s per seconde gaat, heb je een onmetelijk grote puinhoop. Financiële partijen zijn voor DORA zelf al met hun cyberweerbaarheid aan de slag gegaan, waardoor er geen standaarden zijn. In feite weet niemand nu hoe de afhankelijkheden precies lopen. Dat maakt zo’n eerste test als deze bijzonder interessant.”

Een puzzel leggen met blockchain?

Dat we nu één test doen, is beter dan geen test doen. Maar als het hierbij blijft, schiet dat rijkelijk tekort, vindt De Bruijne. “Banken moeten nu op een maandelijkse basis hun activiteiten rapporteren aan waakhonden. Ook de datasystemen zijn constant in verandering en dat vraagt om constant opnieuw testen. Maandelijkse recovery rapportages invoeren zou een logische stap zijn die de druk op organisaties niet eens aanzienlijk zal verhogen; recovery readiness is namelijk relatief makkelijk in een aantal KPI’s te vangen, zoals binnen hoeveel tijd je je productieapplicaties weer online hebt.”

“Wat een grotere uitdaging zal worden, is ervoor zorgen dat de eerder genoemde afhankelijkheden goed op elkaar aansluiten. Om die eis echt haalbaar te maken zullen we mogelijk gebruik moeten gaan maken van nieuwe technologieën. Automatisering zal een grotere rol moeten gaan spelen. Niet alleen omdat de systemen te complex zijn voor een mens om bij te benen, maar ook omdat het synchroniseren van alle afhankelijkheden dan structureel afgestemd kan worden. Een potentiële joker hier zijn technologieën zoals Blockchain die transacties decentraal en transparant vastleggen. Enerzijds lijkt de ECB huiverig voor deze technologie, anderzijds zal die misschien nodig moeten zijn om het probleem van afhankelijkheden weg te nemen. Dat recovery testen op termijn zulke systeemveranderingen een zetje kan geven laat wel zien hoe cruciaal cyberweerbaarheid geworden is.”

Noodzaak compliant te zijn

Andere organisaties kunnen ook tests verwachten. De ECB is nu begonnen met een aantal systeembanken, maar uiteindelijk zal De Nederlandse Bank ook komen aankloppen, besluit de Bruijne. “Niet alleen banken, maar alle partijen binnen het financiële ecosysteem zullen op een bepaald moment compliant moeten zijn. De kans is groot dat er meer tests op komst zijn om af te tasten waar de moeilijkheden liggen in andere delen van het financiële systeem. Met het oog op 2026 zouden financiële partijen er daarom goed aan doen om zelf alvast onderzoek te doen naar hoe zij hun recovery readiness en cyberweerbaarheid kunnen veiligstellen.“

In onze rubriek ‘Het meest opvallende nieuws volgens…’ volgt een prominent in de markt een week lang intensief de berichtgeving op ChannelConnect.nl. Hij of zij selecteert een bericht dat opviel en geeft er een reactie op. Vandaag Paul van Boerdonk van Claranet Benelux.

Op 20 december publiceerde ChannelConnect een artikel over de stelling van Arwin van der Sluis, CEO van NFIR, dat de VNG gemeentes moet helpen met de NIS2. De aanleiding voor dit pleidooi was de berichtgeving van eind november dat er duidelijkheid gegeven is vanuit het ministerie van Binnenlandse Zaken en Koninkrijksrelaties dat gemeentes onder de nieuwe NIS2-richtlijn te vallen.

Interpretatieverschillen bij implementatie NIS2

Paul van Boerdonk, Managing Director van Claranet Benelux, ziet enorme verschillen in de adoptie van de nieuwe NIS2-richtlijn bij verschillende branches, en zelfs binnen de branches. “We zijn nu ruim een jaar bezig om de gevolgen van de nieuwe NIS2-richtlijn door te vertalen richting de organisaties die onder deze richtlijn vallen. Het valt op dat enkele branches zich nu nog steeds niet bewust zijn van het feit dat ze wel degelijk onder deze nieuwe richtlijn vallen. Dat terwijl die in oktober 2024 zal worden omgezet in een nieuwe wetgeving.

De impact van het vallen onder deze nieuwe wetgeving is serieus, ongeacht of je als ‘belangrijke’ of ‘essentiële’ entiteit wordt ingeschaald. Dat er nu uitsluitsel gegeven is vanuit het ministerie zorgt natuurlijk voor duidelijkheid en dat is fijn voor de gemeentes die twijfelde. Dat is het nadeel van de interpretatieverschillen die er zijn bij het omzetten van een Europese richtlijn naar een nationale wet. Een deel van verantwoordelijkheid ligt bij de landen zelf en dat pakt elk land dus anders op.”

Toepasbaarheid van NIS2

“We zien dat ook terug bij bijvoorbeeld woningcorporaties. Nederland heeft een afwijkende opzet qua organisatie op het gebied van sociale huurwoningen. In veel Europese landen hangen dergelijke organisaties onder de overheid waardoor ze automatisch onder de NIS2-richtlijn vallen. In Nederland zijn woningcorporaties onafhankelijke entiteiten. Daardoor vallen ze niet alleen niet onder aanbestedingswetgeving, maar zijn ze dus ook niet specifiek benoemd in de NIS2 als branche waar de NIS2 op van toepassing is. Gezien de gevoeligheid van de persoonlijke gegevens die verwerkt worden en de omvang van de organisaties, is het wachten op een zelfde definitieve bevestiging vanuit de overheid dat zij ook onder de NIS2-richtlijn vallen. Er is binnen de woningcorporaties een groep die hier al op vooruitloopt en er actief mee bezig is. We moeten er voor zorgen dat de anderen nu aanhaken en ook meegaan om de cyberweerbaarheid te vergroten.”

Cyberweerbaarheid doe je samen

“Het is overigens goed dat het artikel benoemt dat er meer verwacht mag worden van de Vereniging Nederlandse Gemeenten. Vergis je niet, voldoen aan de nieuwe wetgeving op basis van de NIS2-richtlijn is een behoorlijk kluif. Wij zien hier organisaties, zowel gemeentes, woningcorporaties als bijvoorbeeld (maak)industrie, mee worstelen. Het beste advies dat we kunnen geven, is om de samenwerking op te zoeken. Kijk naar brancheorganisaties of andere security-communities die hiermee aan de slag gaan.

Wij werken bijvoorbeeld samen met partijen als Cyberveilig Nederland en Cyberweerbaarheidcentrum Brainport. Dit zijn onafhankelijke partijen die organisaties met dezelfde uitdagingen bij elkaar brengen om kennis te delen en samen te werken. Uiteindelijk gaat het helemaal niet primair om de letterlijke wettekst die er komt, maar is het verhogen van de cyberweerbaarheid de essentie. Je kan dan het wiel opnieuw uitvinden, of de samenwerking zoeken.  En samen zorgen dat een cyberaanval wordt afgeslagen of de impact van een hack of datalek zo klein mogelijk is.”

Naarmate onze wereld steeds meer met elkaar verbonden raakt door technologie, is het geen geheim dat cyberdreigingen steeds meer aanwezig zijn. Een van de grootste bedreigingen waarmee we worden geconfronteerd, is de toenemende verspreiding van Internet of Things-apparaten in onze huizen, steden, industriële systemen en gezondheidszorg. Het beschermen van deze apparaten en netwerken tegen cyberaanvallen, ongeautoriseerde toegang en hacken is absoluut cruciaal. Dat betoogt Patrick Akkers, Network Engineer & Consultant bij Wireless Logic Benelux.

Patrick Akkers: “IoT-apparaten vertrouwen op sensoren, software en geavanceerde encryptietechnologieën om te communiceren met andere apparaten en systemen op het internet. De beveiliging van internetverbindingen kan echter variëren afhankelijk van het type verbinding, of het nu gaat om bedrade of draadloze netwerken. Om IoT-beveiliging te waarborgen, is het essentieel dat we deze apparaten en netwerken beveiligen.

Om IoT-beveiliging te waarborgen, is het essentieel dat we deze apparaten en netwerken beveiligen

Zwakke beveiligingsmaatregelen die niet overeenkomen met die van traditionele IT-systemen leiden vaak tot de kwetsbaarheid van IoT-apparaten. ­Bovendien zijn deze apparaten aantrekkelijker voor hackers in afgelegen of geïsoleerde locaties. Van slimme huishoudelijke apparaten tot medische ­apparaten, industriële machines en vitale infrastructuur, veel verschillende soorten apparaten lopen risico.

Alomvattende aanpak

Het positieve nieuws is dat er doeltreffende maatregelen beschikbaar zijn die organisaties kunnen implementeren om het risico op aanvallen te minimaliseren en de kwetsbaarheid van IoT-apparaten te verminderen. Het beschermen van IoT-apparaten tegen cyberaanvallen vereist een alomvattende aanpak voor beveiliging die drie hoofdcomponenten omvat: verdediging, detectie en reactie.

Verdediging

Verdediging richt zich op het beveiligen van IoT-apparaten tegen ongeautoriseerde toegang, wijziging of vernietiging. Organisaties kunnen een risicoanalyse uitvoeren om potentiële risico’s te identificeren, sterke wachtwoorden te gebruiken, gegevens te versleutelen en software up-to-date te houden. Daarnaast kan het trainen van medewerkers in de best practices voor cyberbeveiliging en het ontwikkelen van plannen voor het reageren op cyberaanvallen helpen om inbreuken te voorkomen.

Organisaties kunnen een risicoanalyse uitvoeren om potentiële risico’s te identificeren

Detectie draait om het identificeren van cyberdreigingen voordat ze schade kunnen aanrichten. Om dit te bereiken, kunnen we gebruikmaken van technologieën zoals machine learning en kunstmatige intelligentie om afwijkingen in het gedrag van apparaten en netwerken te ­identificeren. We kunnen ook beveiligingsanalyses toepassen om potentiële kwetsbaarheden in IoT-apparaten en netwerken te identificeren. Bovendien kunnen we intelligente sensoren gebruiken om verdachte activiteiten op te sporen.

Reactie

Reactie draait om het isoleren en oplossen van beveiligingsinbreuken. Bij een inbreuk moeten organisaties onmiddellijk getroffen apparaten en netwerken isoleren om verdere ­schade te voorkomen. Vervolgens implementeren ze herstelmaat­regelen om de systemen weer operationeel te maken. Tegelijkertijd is een onderzoek naar de inbreuk van cruciaal belang om de oorzaken en omvang ervan vast te stellen en lessen te trekken voor toekomstige beveiliging. Dit is een essentieel onderdeel van een sterke beveiligingsstrategie. Kortom, een holistische aanpak van IoT-beveiliging is de beste manier om apparaten en netwerken te ­beschermen. Werk hierbij samen met een betrouwbare partner”, zo betoogt Akkers.

Reactie draait om het isoleren en oplossen van beveiligingsinbreuken

De positie van MSP’s in de supply chain is een hot topic. Ashley Schut, Head of MSP bij ESET in Nederland, gaat hier dieper op in. ‘Gezien de sleutelrol van MSP’s, en het risico op incidenten, is het logisch dat de securitywetgeving NIS2 ook expliciet voor deze ondernemingen gaat gelden.’

“We zien dat MSP’s zelf steeds vaker het doelwit van cybercriminelen zijn”, aldus Ashley Schut, “maar tegelijkertijd kan intensieve samenwerking tussen partijen in de keten heel effectief zijn. Dat kunnen samenwerkingen zijn tussen verschillende MSP’s met hun eigen specialisme, maar ook een nauwe samenwerking tussen de MSP en een vendor, zoals ESET.”

Schut: “Als we kijken naar de kwetsbaarheid van MSP’s voor cyber­aanvallen, dan zien we dat het vaak om relatief ­kleine ondernemingen gaat die wel een IT-scope hebben van een ­enterprise omdat ze vaak meerdere klanten bedienen. Gezien hun eigen omvang is automatisering een must, daar kunnen ze niet omheen. Ze hebben immers nogal wat ­nodig om hun klanten goed te ­kunnen ­bedienen: namelijk toegang tot klantsystemen, tooling (zoals remote access tools) en netwerkconnectiviteit”

Schut: “Het is dan belangrijk voor een MSP om te weten ­welke tooling precies waarvoor wordt gebruikt binnen de omgeving, ­welke rechten die tools hebben en of ­sprake is van voldoende zicht­baarheid binnen de omgeving van de MSP. Als er een incident ­plaatsvindt, is het zaak dit tijdig te kunnen ­detecteren en hierop te ­reageren.”

NIS2 belangrijk voor MSP

“Gezien de sleutelrol van MSP’s, en het risico op incidenten, is het logisch dat de komende securitywetgeving NIS2 ook expliciet voor deze ondernemingen gaat gelden. Vanwege hun cruciale rol worden IT-dienstverleners binnen de richtlijn als een essentiële sector gezien. Zij gebruiken nu eenmaal vaak ­tooling om die eindklanten daadwerkelijk te helpen en hebben via en naar hun klanten een relatief groot aanvalsoppervlak. Binnen het mkb, dat toch de ­drijver is van onze economie, spelen deze serviceproviders bovendien een cruciale rol. Zij zijn de digitale ­motor. MSP’s hebben de kennis in huis om het mkb verder te helpen.”

Hack in supply chain

“Als we het hebben over de kwetsbaarheid van de supply chain, dan verwijs ik vaak naar de hack bij ­Solarwinds, die de boeken in is gegaan als ‘the boldest supply chain hack ever’. Veel grote bedrijven en overheidsinstellingen maakten gebruik van dat stuk Orion-software. Denk daarbij aan belangrijke diensten als Homeland Security in Amerika, en ook het Amerikaanse Ministerie van Defensie. Ik stel dan vaak dat MSP’s voor het mkb dezelfde functie hebben als Solarwinds destijds voor de Amerikaanse overheid. De service providers zijn de toegang tot de systemen van een groot aantal kleinere ­bedrijven. Daarom zijn ze een zo belangrijk onderdeel van de keten. En daarom moeten ze zich goed beveiligen in dit geval. Daar staat tegenover, dat als MSP’s hun zaken goed op orde hebben, en NIS2 zal dat afdwingen, zij het Nederlandse bedrijfsleven een stuk veiliger ­kunnen maken.”

Je kunt de kans op een incident als MSP echter wel verkleinen: door inventarisatie en bewuste keuzes.

Risicomanagement

“Het is een open deur, maar uiteraard weten we dat 100% veiligheid niet bestaat. Je kunt de kans op een incident als MSP echter wel verkleinen: door inventarisatie en bewuste keuzes. Begin daarom met gedegen risicomanagement: welke assets heb ik in mijn ­omgeving? Hoe snel kan ik reageren op een incident? Welke tooling heb ik en waar is die kwetsbaar? Heb ik goed inzichtelijk wat er allemaal in mijn omgeving hangt? Het is heel ­belangrijk het response- en recover-stuk goed in te richten, te testen en continu te optimaliseren. Dit om snel en adequaat te kunnen reageren op incidenten in de eigen omgeving en die van de klanten.”

“Gezien de complexiteit van security zien we steeds vaker dat een partner niet de complete stack kan oppakken. En dat hoeft ook niet. Zeker met de huidige uitdagingen op de arbeidsmarkt kan het niet zo zijn dat elke IT-dienstverlener, alles kan leveren. Ik denk dat daar juist de kracht van samenwerken naar boven komt. Dan kies je voor co-creatie, samen met andere partners of de vendor. Een voorbeeld hiervan zijn onze Managed Detection & Response-diensten (MDR), die wij samen met onze MSP’s richting klanten aanbieden en hierin ook echt samen werken aan een propositie die verweven wordt met elkaar.”

“Ons advies is daarom nadrukkelijk: ‘Maak hierin een bewuste ­keuze, en wees niet bang om ­samen te werken. Kijk naar de kennis en kunde die je in huis hebt, analyseer wat jouw ideale klant is en wat die wil, en specialiseer je. Daar kunnen wij de partners als vendor zeker bij ­helpen, bijvoorbeeld in de vorm van trainingen. Of door het ­geven van health checks om de MSP handvatten te bieden met betrekking tot hun eigen security. En uiteraard blijft de MSP met het ­directe klantcontact en kennis van de sector altijd in de lead.”

Nog kwalijker dan onvoldoende aandacht voor cybersecurity is een onterecht vertrouwen dat alles goed geregeld is. “Blijf testen, laat audits doen en train je personeel steeds weer. Daarmee voorkom je al een hoop ellende”, aldus Bart Jacobs, Commercieel Directeur bij Claranet Benelux.

Bart Jacobs

In deze editie van ChannelConnect publiceren we verslagen van twee Grotetafelgesprekken die security als onderwerp hebben. Bij beide discussies hoopten deelnemers dat NIS2, de regelgeving die volgend jaar wordt ingevoerd, een positief effect heeft op het securitybewustzijn bij ondernemingen. “NIS2 verplicht ondernemingen, waaronder MSP’s, niet alleen maatregelen te nemen, maar ook een beveiligingsstrategie op te zetten en de maatregelen te testen,” legt Bart Jacobs, Commercieel Directeur bij Claranet Benelux, uit. “Het belang van die laatste twee elementen mag niet onderschat worden. Veel organisaties denken alles goed voor elkaar te hebben, maar opereren op basis van schijnveiligheid.”

Vier elementen

Jacobs onderscheidt vier elementen die voor schijnveiligheid ­zorgen. “Laten we beginnen met de ­zogenaamde kwetsbare schakel, de ­medewerkers. Mensen overschatten zichzelf als het gaat om het kunnen herkennen van malware.” Daarnaast wordt te vaak vertrouwd op de ­kennis van de IT-er in dienst of de vaste IT-partner die wordt ingehuurd. Ten derde zijn er inmiddels cyber­verzekeringen, maar blijkt na een incident dat de polis veel minder dekt dan bedrijven meenden. “Tot slot zijn veel gevaren onvoldoende zichtbaar. Denk aan schaduw-IT, maar ook aan kwetsbaarheden in software die wordt afgenomen.”

Het begint met testen

“Op het moment dat je zeker wilt weten of je wel of niet op basis van schijnveiligheid opereert, zul je moeten testen. En niet af te toe, maar regelmatig,” is de stellige mening van Jacobs. “Dan kom je tot inzichten en ontdek je echt de kwetsbaarheden.” De Commercieel Directeur benadrukt dat de medewerkers van Claranet echt vaak bij organisaties komen die ervan overtuigd zijn alles goed geregeld te hebben. “En dat valt dan tegen.”

Met behulp van audits en pentesten kun je echt veel ontdekken, zo komt schaduw-IT aan het licht, ontdek je patches die nog niet zijn door­gevoerd en blijkt ook dat software van derde partijen die gebruikt wordt niet feilloos is.

Net als bij het Grotetafelgesprek geeft Jacobs ook nu aan, dat ook een MSP niet altijd alle kennis in huis kan hebben. “Wij werken zelf ook samen met een partner. Dat is in ons geval S-RM, een specialist op het gebied van Incident Response. Ik zou alle partners de tip willen geven om te kijken wat je zelf tekortkomt en dan dergelijke samenwerkingen aan te gaan.”

Je zult moeten testen of je wel of niet op basis van schijnveiligheid opereert

AI om medewerkers te trainen

Dat brengt het gesprek op de medewerkers. “De schijnveiligheid daarbij is, dat we van onszelf vaak overtuigd zijn nooit in een malware-truc te trappen. Het zijn echter beslist niet de minsten in een organisatie die bijvoorbeeld CEO-fraude te laat herkennen.” Dat is op zich geen reden tot schaamte, want de malware is inmiddels heel geraffineerd. “Maar wie de medewerkers niet heel regelmatig confronteert met ‘nep-malware’ gegenereerd door een trainingsplatform, vraagt in zekere zin om problemen.” Een oplossing als KnowBe4, bijvoorbeeld, gebruikt AI om medewerkers berichten te sturen die werkelijk nauwelijks van echt te onderscheiden zijn. “En cybercriminelen gebruiken die AI-technologie ook. Het blijft een race tussen de ‘good’ en de ‘bad guys’. En waar we de ­medewerkers soms ‘de kwets­bare schakel noemen’: de medewerker die goed getraind is, maakt het verschil en is ineens de sterkste schakel. En veelal je laatste verdedigingslijn.” Het geeft geen garantie dat er geen incident kan gebeuren, maakt ­Jacobs duidelijk, “maar de kans wordt echt een stuk kleiner.”

We zijn van onszelf vaak overtuigd dat we nooit in een malware-truc trappen

Incident Response

Tot slot gaat Jacobs in op Incident Response en verzekeren. Op zich geen onlogische combinatie, want in zekere zin blijkt het nut van een verzekering op het moment dat je moet reageren op een incident. “In het geval van een verzekering is in veel gevallen de pure hard­ware-schade gedekt. De data op die hardware vertegenwoordigen doorgaans echter een veel grotere waarde.” Ook imagoschade en kosten die gepaard gaan met het stilliggen van een productielijn kunnen doorgaans niet doorgegeven worden aan de verzekeraar.

Jacobs: “De verzekering leidt zo tot schijnveiligheid en is de reden dat wij samenwerken met een externe partij die gespecialiseerd is in Incident Response,” meldt Jacobs. “Die werken op basis van een retainer-contract. Als je als onder­neming met hen een relatie aangaat, dan betaal je een vast bedrag per jaar.” Dat geld ‘verdwijnt’ niet als er geen aanval zou zijn. “Dan kun je dat inzetten voor een audit, ­training of advies.”

De kracht van een relatie met een securitypartner die sterk is in Incident Response ligt in het feit dat ze direct voor je klaarstaan in geval van nood. “Binnen een uur gaan ze aan de slag. Ze onderhandelen, indien sprake is van ransomware, met de aanvallers en zorgen ervoor dat malware zich niet verder kan verspreiden. Zo’n retainer is dan een veel betere vorm van veiligheid waarop je wel kunt bouwen.”

De medewerker die goed getraind is, maakt het verschil en is ineens de sterkste schakel