“Het komt ook ons commercieel niet slecht uit, maar alle aandacht voor de aanstaande invoering van de AVG is natuurlijk bizar. Alsof organisaties het zich in de afgelopen jaren hebben kunnen veroorloven om beveiliging en risk management links te laten liggen.”
Lieuwe Jan Koning, founding partner van de Nederlandse cybersecurityspecialist ON2IT, begrijpt dat de invoering van de nieuwe Europese privacywetgeving per 25 mei van dit jaar een mooi moment is voor dreigende AdWords campagnes en e-mails van juristen en consultants. Maar praktisch gezien voldoen de meeste klanten van ON2IT al veel langer aan het grootste deel van alle eisen die de AVG stelt.
“Het klinkt wrang, maar het overtreden van de AVG is voor onze grotere klanten een relatief klein probleem in vergelijking met met de operationele schade die ze kunnen oplopen door inbraken of datalekken. De technische en organisatorische beveiligingsmaatregelen die ze daarvoor al jarenlang moeten nemen zijn als het goed is een solide fundament om ook AVG-compliant te zijn.”
AVG is klein onderdeel van cybersecurity
Koning: “Het klinkt natuurlijk lekker afschrikwekkend in de communicatie rond de AVG: stevige boetes voor bestuurders bij privacy-overtredingen. In de praktijk zijn de consequenties van serieuze hacks vele malen groter. De CEO’s van grote ondernemingen als Target en Sony moesten vertrekken als gevolg van inbraken door hackers, en beursanalisten vreesden destijds dat Sony Pictures de reputatieschade niet te boven zou komen.”
ON2IT heeft internationale klanten die in complexe juridische transacties verwikkeld zijn, zegt Koning. “Kun je je voorstellen wat de schade is wanneer de advocaten van de tegenpartij alle dossiers zouden kunnen inzien?”
De boetes voor de AVG zijn volgens hem peanuts in vergelijking met de business impact van gestolen intellectuele eigendom, klantgegevens, sabotage of inbraken in de systemen van banken of energiebedrijven.
Kortom: in de context van de voortdurende strijd tegen cybercrime hebben veel grote ondernemingen – meestal in samenwerking met externe IT-security specialisten – hun databeveiliging in de afgelopen jaren al naar een steeds hoger niveau moeten tillen.
Wapenwedloop tussen IT-afdelingen en hackers
Koning wil het belang van de AVG niet bagatelliseren, maar hij ziet de snelheid waarmee het technologisch landschap versnelt als een “ordegrootte” ingewikkelder probleem voor vrijwel alle organisaties waaraan zijn onderneming cyberbeveiligings diensten levert.
Het klopt dat het inrichten en onderhouden van cyberbeveiliging en risk management rapportages niet langer op de bestaande, bijna ambachtelijke manier is vol te houden.
“Het is een open deur om te stellen dat hackers, vooral die voor overheden werken, steeds geavanceerder te werk gaan. Maar ook commerciële malware exploitanten worden met de maand slimmer. Tegelijk hebben de IT-organisaties van onze klanten te maken met de onverminderde migratie naar clouddiensten, de versnelde verschuiving naar het software-defined datacentrum. De omgeving en de data die we moeten beveiligen zijn voortdurend in beweging onder druk van technologie en concurrentie.”
Koning signaleert twee duidelijke marketing-trends in de wapenwedloop tussen IT-afdelingen en hackers: automation en artificial intelligence (AI).
“Het klopt dat het inrichten en onderhouden van cyberbeveiliging en risk management rapportages niet langer op de bestaande, bijna ambachtelijke manier is vol te houden. Daar hebben we de specialisten niet voor en daarvoor is het probleem te groot.”
Maar volgens hem beperken veel hardware en software aanbieders de automation tot hun eigen producten en diensten.
Automation en artificial intelligence
“Wij zijn in de afgelopen tien jaar tot de conclusie gekomen dat de technologie zo snel verandert, dat het door ons ontwikkelde automation concept boven al die aanbieders moet hangen. Daar ligt onze meerwaarde. Wanneer er een nieuwe veelbelovende startup is die op basis van AI continu zogeheten penetratietesten kan uitvoeren (en dus niet twee keer per jaar), dan moet dat direct kunnen integreren in al onze bestaande geautomatiseerde workflows en audits.”
Om te illustreren hoe snel en onvoorspelbaar ontwikkelingen kunnen gaan wijst Koning op de opkomst van de zogeheten Zero Trust aanpak in cybersecurity.
“Wij hadden de visie, en eerlijk gezegd ook wel wat geluk, om een paar jaar geleden te gaan samenwerken met John Kindervag, de uitvinder van Zero Trust. Destijds was hij een roepende in de woestijn, nu gebruiken de FBI, Google en en Facebook zijn concepten als basis voor hun databeveiliging.
Of neem Palo Alto Networks. We integreerden hun producten bij onze klanten toen ze een kleine maar veelbelovende startup met razend slimme producten waren. Nu is Palo Alto Networks 17 miljard waard op de beurs en scoren ze torenhoog als marktinnovatie-leider bij Gartner en IDC.
Vanuit Silicon Valley en Israël zie je nu letterlijk honderden cybersecurity startups, met veelbelovende concepten om security en risk management met AI-technologie te automatiseren. Wij moeten ervoor zorgen dat onze klanten die technologie – zodra die zich bewezen heeft – kunnen gaan gebruiken.”
Zonder visibility heb je niets aan checklists
Visibility, zichtbaarheid van alle datastromen, is een sleutelconcept in databeveiliging, zegt Koning.
“Als je niet ziet wat er in je netwerk en in het dataverkeer naar buiten gebeurt, dan ben je blind”.
Ook hier is het probleem dat het door specialisten laten zoeken naar verdachte patronen in duizenden logbestanden geen optie meer is. En ook hier bieden automatisering en artificial intelligence oplossingen. ON2IT biedt bijvoorbeeld een zogeheten Traffic Scan aan waarmee je volgens Koning met enkele dagen verkeersanalyse van al je netwerkverkeer meer te weten komt dan voorheen met een leger aan analisten van verschillende leveranciers.
“Neem nu die CEO of zorgbestuurder die zich inmiddels toch zorgen maakt over zijn of haar risicoprofiel bij het in werking treden van de AVG”, zegt Koning. Hij begrijpt dat er organisaties zijn die door een combinatie van oorzaken nog geen optimale cybersecurity strategie hebben ontwikkeld, laat staan geïmplementeerd.
Die AVG is dan een logisch moment om aan de hand van een verkeersanalyse van je werkelijke dataverkeer zichtbaar te maken waar je kwetsbaarheden liggen. Eerst door éénmalig een controlemeting uit te voeren. Doel is uiteindelijk om structureel te meten.
Elke goede cybersecurity strategie voorziet erin dat je doorlopend kunt aantonen dat je in control bent. Natuurlijk zijn checklists, protocollen en procedures belangrijk. Maar je moet ook actief en 24/7 dreigingen in de gaten houden, zoals de in je netwerk gevonden malware, het gebruik van risicovolle applicaties en het afwijkend gedrag van je ICT-systemen.”
