Onlangs gingen vijf security-specialisten met elkaar en de redactie van ChannelConnect in gesprek over actuele ontwikkelingen in de markt. Tijdens de discussie, die ruim twee uur duurde, kwam een waaier aan onderwerpen aan de orde, van endpointbeveiliging tot de arbeidsmarkt voor security-specialisten. “Niemand juicht als hij security mag aanschaffen.”
Deelnemers aan het Grotetafelgesprek
– André Noordam – Senior Director of Sales Engineering EMEA – North bij SentinelOne
– André Hiddink – Productmanager IT bij Rittal
– René van Putten – Sales Director Benelux bij Datto
– Vincent van der Linden – Director Sales Nordics, Benelux, Middle East en France bij Cloudian
– Michael van der Vaart – Chief Experience Officer bij ESET in Nederland
1 – Het beeld van security in de markt
Het gesprek start met de vraag hoe eindklanten aankijken tegen security en de aanbieders ervan – waarmee dan zowel leveranciers als MS(S)P’s worden bedoeld. Die serviceproviders zijn immers doorgaans de directe contacten van de eindklanten. “Het feit dat je een specialist bent en expertise hebt opgebouwd is van belang,” zegt Michael van der Vaart, Chief Experience Officer bij ESET in Nederland. “Expertise is soms nog wel belangrijker dan de specifieke oplossingen die je levert.”
Expertise is soms nog wel belangrijker dan de specifieke oplossingen die je levert.
De anderen aan tafel beamen dit weliswaar, maar toch ‘is security niet meteen een heel sexy onderwerp’, zoals René van Putten, Sales Director Benelux bij Datto, het verwoordt. “Daarom moet je meer zijn dan de loodgieter die komt na een lekkage.” Van Putten bedoelt daarmee, dat je continu bij zowel resellers als eindklanten moet werken aan de cyberweerbaarheid. “En wij, als leveranciers, spelen daar een belangrijke rol in, vooral door continu expertise te delen met de markt.”
André Noordam, Senior Director of System Engineering EMEA bij SentinelOne, ziet wel dat de bewustwording als het gaat om cybersecurity toeneemt bij bedrijven, deels door schade en schande, maar zeker ook doordat incidenten in de media-aandacht krijgen. “Maar niemand staat uiteindelijk te juichen als ze security mogen aanschaffen.”
De noodzaak van security is helder
Daar staat dan wel tegenover dat iedereen ondertussen snapt dat het nodig is: een tandartspraktijk die niet in de tandzorgketen zat die onlangs werd aangevallen, is zich nu bewust van de risico’s. Van Putten (Datto) herkent dit. “Maar toch is het grootste probleem vaak dat mensen zich veilig voelen, maar het niet zijn.” Het probleem bij cybersecurity is immers dat het gevaar onzichtbaar is. Dat zal later in het gesprek nog een aantal keer naar voren komen: je ziet niet dat de deur niet op slot zit.
Het grootste probleem is vaak dat mensen zich veilig voelen, maar het niet zijn.
Op een dergelijk moment meldt André Hiddink, Product Manager IT bij Rittal dan ‘dat organisaties in elk geval nog aandacht hebben voor een slot, wat bij de aanschaf van behuizingen voor IT-systemen lang niet altijd het geval is.’ Dit terwijl de kwetsbaarheid op hardwaregebied van een IT-omgeving ook fors is en de gevolgen groot kunnen zijn. “Trek in een 19” behuizing maar eens een willekeurige stekker uit het stopcontact”, luidt de boodschap van Hiddink nog wel eens bij prospects. “Grote kans dat de systemen stilvallen.”
‘Het gaat om mensen’
Terug naar de schijnveiligheid bij de gebruikersorganisaties. Een ander aspect dat geadresseerd wordt, is het feit dat gebruikers zich juist door de massale omarming van clouddiensten en SaaS-oplossingen veiliger wanen dan ze zijn. Vincent van der Linden, Director of Sales bij Cloudian, legt hier de vinger op: “Security is niet alleen maar iets technisch, het gaat om mensen. Organisaties waarin zij werken zijn meestal tot stand gekomen in een andere tijd.”
Security is niet alleen maar iets technisch, het gaat om mensen.
Van der Linden legt zijn observatie verder uit, als hij vermoedt dat de IT-manager van vijf jaar geleden heel andere opdrachten had dan vandaag de dag. “Dat begint bij de omgeving waarmee gewerkt wordt. Niet langer puur on-premise, maar hybride, of helemaal in de cloud. En dat kan dan public cloud zijn, of private of juist een combinatie van beide vormen.”
Wellicht zou je nu, net vijf jaar later, die man al niet meer aannemen. “Deze manager was waarschijnlijk prima in het onderhouden van de IT-infrastructuur en het uitrollen van projecten, maar is hij ook voldoende toegerust om over actuele security-uitdagingen te praten?”
Ongrijpbare wereld
Hiddink constateert dat te veel sprake is van een ongrijpbare wereld voor eindgebruikers. “Dat geldt niet alleen voor het probleem, de cyberaanval, maar ook voor de oplossing, want dat is onzichtbare software.” Hij vermoedt dat veel organisaties zoekende zijn en zich afvragen waar ze goed aan doen. “Je spreekt dan een dienstverlener, en die expert geeft een advies, maar als klant wil je ook weten of dat wel klopt.”
Het is klanten helemaal niet duidelijk tot op welk niveau ze moeten beveiligen.
Het beeld doet denken aan een garage waar iets onduidelijks wordt gezegd over een mankement aan de auto. Veel bestuurders hebben geen idee waar het over gaat. “En er speelt nog iets,” geeft Hiddink aan, “het is klanten helemaal niet duidelijk tot op welk niveau ze moeten beveiligen, en welke investering bij welk niveau aan security past. Dat geldt bij fysieke veiligheid net zo zeer als bij digitale security.”
Security als integraal onderdeel
Veel bedrijven hebben geen kennis van security is een overtuiging die herkend wordt aan tafel. Het zijn immers geen IT-bedrijven, maar zorginstellingen of melkfabrieken. Er moet vaak eerst een incident plaatsvinden voordat er actie volgt. René van Putten (Datto) reageert: “We roepen allemaal als aanbieders al langer dat security een integraal onderdeel moet zijn bij elke IT-stap die je zet. Nieuwe applicatie of omgeving? Meteen de security meenemen.”
Nieuwe applicatie of omgeving? Meteen de security meenemen.
Daar, stellen alle deelnemers, ligt de verantwoordelijkheid voor het kanaal. En daarmee is de discussie ook weer terug bij waar Van der Vaart hem begon: het gaat niet direct om oplossingen, het gaan in eerste instantie om het delen van expertise. Expertise dat tot advies moet leiden dat eindklanten weerbaarder maakt.
2 – De veranderingen sinds de pandemie
Het snelle omschakelen naar thuiswerken tijdens de coronapandemie was alleen mogelijk door de grote adoptie van cloud en SaaS die we al kenden in Nederland. Maar meer dan ooit ging het endpoint een belangrijke rol spelen bij de security van bedrijfsnetwerken. Op welke devices was de medewerker actief op het netwerk? Hoe veilig was de wifi-verbinding?
“Security was ooit heel erg gericht op de endpoints die zich binnen de met firewalls beschermde kantooromgeving bevonden,” geeft Michael van der Vaart (ESET) aan, “dat werd breder en dynamischer. Infrastructuur en cloud kwamen erbij, waardoor we nu weer naar het endpoint kijken, maar deels met andere ogen, en deze belangrijker is dan ooit.”
De cloud brak security open
De andere deelnemers aan het Grotetafelgesprek beamen dat: firewalls beschermden de infrastructuur tegen gevaren van buiten, maar nu bevinden zich de ‘terminals’, in de vorm van endpoints, zélf buiten de zichtbare omgeving van de beheerorganisatie. Noordam (SentinelOne) zegt erover: “Klanten hebben jarenlang geïnvesteerd in de buitenkant van het netwerk, maar cloud brak dat open. De endpoints zijn nu ook buiten de bedrijfsomgeving in gebruik.”
Klanten hebben jarenlang geïnvesteerd in de buitenkant van het netwerk, maar cloud brak dat open.
Van der Linden (Cloudian) deelt daarbij een observatie: “We hebben te maken met een generatie medewerkers die het helemaal niet interesseert waar welke applicaties of data staan, als het maar werkt.” De werkplek zelf maakt dan nóg minder uit voor die werknemers, weet Van Putten (Datto): “Dat kan net zo goed een public wifi-omgeving zijn bij een fastfoodfiliaal.” Het endpoint is echter van het laatste punt vaak het eerste punt geworden waar een aanval of incident zichtbaar wordt.
Andere aspecten van hybride werken
Dat brengt de discussie op een ander aspect van het hybride werken dat sinds corona dominant is geworden: de beveiliging van de communicatie tussen de endpoints en de applicaties – of die nu in de cloud staan of on-premise. “Multifactor authenticatie lost al een hele hoop problemen op,” zegt Van Putten stellig. Ook pleiten veel deelnemers voor de ‘ouderwetse’ VPN-verbinding voor de communicatie.
Multifactor authenticatie lost al een hele hoop problemen op.
Wie dacht dat André Hiddink, bij Rittal actief in de fysieke IT-omgevingen, geen veranderingen ziet sinds het uitbreken van de pandemie heeft het mis. “Mensen moesten afstand houden als ze al naar kantoor kwamen. Het serverhok werd met het verplaatsen van een aantal wanden ineens een plek om te vergaderen, of juist een stiltehok. Dus niet langer een omgeving waar één of twee mensen alleen toegang tot hadden, maar het werd omgedoopt tot een verblijfsruimte. De omgeving verandert maar is het beveiligingsniveau van de IT aangepast op de nieuwe situatie? Helaas zien we dat daar voldoende aandacht aan wordt besteed en dat komt de fysieke security en de bedrijfscontinuïteit niet ten goede.”
3 – De rol van de IT-dienstverleners
Een autofabrikant adverteert vrijwel nooit met het basismodel van een auto, en hoewel hij wel de ‘vanaf-prijs’ vermeldt koopt in de praktijk haast niemand de meest kale uitvoering. Noordam (SentinelOne): “Als je een auto koopt komt er emotie bij, daar speelt de verkoper op in. Helaas is security voor veel budget verantwoordelijken vooral een kostenpost.”
Helaas is security voor veel budget verantwoordelijken vooral een kostenpost.
Toch is de rol van de ‘verkopers’, in de vorm van de IT-dienstverleners, heel groot, zegt Michael van der Vaart van ESET. “Dat begint al bij simpele basishygiëne, die de partner kan aanbieden en monitoren. Wachtwoordbeleid, multifactor-authenticatie, training aan de medewerkers op het gebied van security.”
We moeten samen met de partners dus nog meer werken aan de bewustwording, vult Hiddink (Rittal) aan. “Zou een dienstverlener ook niet vaker moeten melden hoeveel aanvallen de oplossing die hij leverde of de dienst die hij uitvoert in een bepaalde periode tegenhield?” Noordam herkent dit. “Je maakt zo wel zichtbaar waaraan de eindklant zijn geld besteedt.”
Adresseer business-continuïteit
Voor Van Putten (Datto) zou die bewustwording nog verder moeten gaan. “Wij en onze partners zouden bij de eindgebruikersorganisaties niet alleen over het tegenhouden van cybercriminelen moeten praten maar vooral over het belang van business-continuïteit. Maak duidelijk wat de functie is van de pakketten en diensten die je aanbiedt, waar het prijsverschil in zit. Een onderneming wil snel up en running zijn, en de partners kunnen dat leveren. En ja, dat kost geld.”
Vincent van der Linden (Cloudian), vindt dat de partners hun klanten moeten helpen de silo-problematiek te doorbreken. Waar voorheen een duidelijke afhankelijkheid tussen de applicatie, infrastructuur en de data-opslag bestond komen data nu vanuit verschillende bronnen en locaties en worden ze verwerkt door meerdere applicaties.”
Je moet het gesprek voeren hoe je op elk niveau en op alle componenten binnen de organisatie security doorvoert.
De business moet daarbij de belangrijkheid van data aangeven en zorgen dat IT het budget krijgt om de continuïteit te waarborgen. Omdat security uiteindelijk de business mogelijk maakt. “Je moet dus het gesprek voeren hoe je op elk niveau en op alle componenten binnen de organisatie security doorvoert. En zorgen dat de voorgestelde oplossing inderdaad problemen snel kan herstellen als het mis is gegaan.”
Van der Vaart (ESET): “Uiteindelijk ga je toch naar die garage voor de wintercheck of APK. En die garage heeft zich bewezen als specialist. Het is op dezelfde manier aan de MS(S)P om producten en techniek aan te bieden, zelf of samen met de leverancier, waar hij vertrouwen in, en kennis van, heeft.”
4 – Arbeidsmarkt in beweging
De deelnemers aan de discussie zien steeds meer ondernemingen die geen security-kennis in huis hebben. En die ook niet in huis wíllen hebben. Nogmaals: het zijn geen IT-bedrijven maar ondernemingen met een andere business.
Michael van der Vaart (ESET) stelt ter discussie of de gemiddelde mkb-klant kan acteren op een 24/7 monitoringsdienstverlening. “Vaak zal het nodig zijn,” zegt Van Putten (Datto), “Maar waar haal je de mensen vandaan? Dat lukt veel MSP’s al niet.” Zoek daarom samenwerking met de leveranciers, is het devies aan tafel.
Van Putten: “Meerdere partijen hier aan tafel bieden managed soc-services aan. De leverancier ziet een incident en waarschuwt de MSP. Die onderneemt vervolgens actie bij de klant.”
Door samen te werken maak je het systeem weerbaar.
Hij kan isoleren, de situatie vervolgens onderzoeken en een geschikte work-around creëren, vult André Noordam (SentinelOne) aan. “Dat is de goede verhouding,” weet Michael van der Vaart van ESET. “Wij hebben verstand van security, de MSP kent de dagelijkse business van de klant en weet wat bij een incident voorrang moet krijgen.” Door zo samen te werken maak je het systeem weerbaar, sluit Van Putten (Datto) af.
Noordam (SentinelOne) komt toch nog even terug op de 24/7 monitoring of dienstverlening. “De meeste ransomware aanvallen vinden plaats op vrijdag na 17:00 uur. Zodat aanvallers het eerste weekend ongestoord hopen te blijven. Dan is continue monitoring geen overbodige luxe.”
Feit is echter dat dit voor een mkb-onderneming niet op te zetten is. André Hiddink (Rittal): “dat is niet te doen, daar hebben zelfs multinationals al problemen mee. En dan vind je iemand met hart voor security, en die stapt dan over naar een security-specialist. Daar is hij of zij onder gelijkgestemden.”
Aannamebeleid soms uitdagend
Naar aanleiding van die uitspraak stipt Vincent van der Linden (Cloudian) een praktisch probleem aan: hoe kan een HR-afdeling beoordelen of iemand de skills heeft om, bijvoorbeeld, als CISO te werken? “Het toetsen of iemand iets weet van Excel of Salesforce is nog wel te organiseren, maar een security officer is toch wel een echte specialist. Dat maakt het aannamebeleid tot een uitdaging.”
Om die veelvoud aan redenen, beleggen partijen hun security-management steeds vaker extern, bij een MSSP, of bij een partner die samenwerkt met de leverancier.
Consolidatiegolf vanwege personeel
Overigens mag niet onderschat worden dat ook bij de securitypartijen zelf het arbeidsmarktprobleem een issue is. Van Putten: “Die consolidatiegolf die we zien heeft een reden. Voorheen gingen ondernemingen op overnamepad om klanten te kopen. Nu om personeel met een bepaalde expertise aan zich te binden.”
Securitypartijen zijn zo een interessante omgeving voor securityspecialisten. “En je kunt volgens een one-to-many model werken, waardoor je met minder mensen meer bedrijven kunt monitoren.”
Houd security persoonlijk
De vraag komt tot slot op, of er niet meer geautomatiseerd moet worden als het gaat om security, bijvoorbeeld door de inzet van CASB. Daar worden beslist kansen gezien, maar er is ook een aarzeling die Van Putten van Datto verwoordt: “Als een eindgebruiker niet meer ziet wat een partner of leverancier concreet levert zie je dat de waarde van die dienst of dat product in de perceptie van de klant afneemt. Je hebt persoonlijk contact nodig als je diensten wilt verlenen, dat geldt voor de relatie tussen eindgebruiker en partner, maar net zo goed voor de band tussen partner en leverancier.”