Security & Cloud

De cloud: een stap vooruit voor elk bedrijf

In een tijd waarin digitalisering bedrijven transformeert, blijft de cloud een cruciale drijfveer voor innovatie en groei. Bij Levi9 zien ze dit dagelijks in de praktijk, waar inmiddels 90% van hun werkzaamheden als cloud-native kan worden bestempeld. Toch worstelen sommige bedrijven nog met de vraag waar te beginnen om het maximale uit de cloud te halen. Voor velen lijkt de cloud abstract en complex, wat hen ertoe kan aanzetten hun IT-infrastructuur in eigen beheer te houden. Deze terughoudendheid kan echter leiden tot gemiste kansen op het gebied van schaalbaarheid, veiligheid, kostenbesparingen, flexibiliteit en continue innovatie.

De kracht van de cloud Cloudtechnologie biedt een ongeëvenaard scala aan mogelijkheden voor bedrijven van elke omvang. Het stelt hen in staat om flexibel te opereren en snel in te spelen op veranderende marktomstandigheden. Zo hoeven ze geen servers meer aan te schaffen en kunnen ze eenvoudig op- of afschalen wanneer dat nodig is. “De cloud biedt toegang tot de nieuwste innovaties, zonder dat bedrijven zelf hoeven te investeren in complexe IT-infrastructuur”, zegt Angelina Best, CEO van Levi9 en lid van de adviesraad NLdigital, een collectief van ruim 600 ondernemingen die de digitale transformatie van het Nederlandse bedrijfsleven aanjaagt.

“We hebben in bijna twintig jaar tijd een ijzersterke reputatie opgebouwd dankzij een sterke klantgerichte benadering, en daarnaast hebben we methodes ontwikkeld om kwaliteit te borgen. Dit vertaalt zich naar een gemiddelde klanttevredenheidsscore van 9.” Best benadrukt: “We zijn een echte partner in softwareontwikkeling, productontwikkeling en digitale strategie, en we helpen klanten hun zakelijke doelstellingen te bereiken.”

Een toegankelijke cloud voor iedereen

gebruikmaken onderstreept de robuuste beveiliging die cloudtechnologie biedt.

operatiekamer te ondersteunen. Dankzij de cloudmigratie is de content delivery in de operatiekamer dertig keer sneller geworden. “Dan heb je het dus over toepassingen die echt impact maken”, benadrukt Best. “En onze engineers zijn voortdurend bezig de IT-architectuur te reviewen en waar nodig te optimaliseren.”

Met AI en cloud komt er veel op bedrijven af, dus zoeken ze een partner die daarmee kan helpen

Met technology service provider Levi9 is Best dagelijks bezig om voor klanten de impact van technologie te maximaliseren. Het bedrijf heeft zich gespecialiseerd in de ontwikkeling van unieke software en digitale oplossingen. Levi9 heeft ruim 1.200 engineers die vanuit Servië, Roemenië en Oekraïne met klanten samenwerken.

De cloud biedt enorme voordelen voor bedrijven, groot en klein, en stelt hen in staat te profiteren van de hoogste mate van innovatie, omdat cloudproviders constant werken aan updates en nieuwe producten. “De cloud is net zo toegankelijk voor start-ups als voor grote bedrijven”, zegt Best. Dit is terug te zien in indrukwekkende resultaten, zoals bij een van Nederlands grootste e-retailers, waar we door de inzet van cloud en machine learning de verwerkingstijd van honderden productafbeeldingen hebben teruggebracht van 12 uur naar slechts 1,2 seconde – een versnelling met een factor van 36.000.

Voor Tinka, een fintechbedrijf, leidde de migratie naar de cloud tot een verlaging van de operationele kosten met 30%. Dit soort transformatieve resultaten laat zien hoe de cloud ondernemingen helpt sneller, efficiënter en tegen lagere kosten te werken, zonder in te boeten aan veiligheid. Het feit dat instellingen als het Amerikaanse Ministerie van Defensie ervan

Cloud-agnostisch en flexibel Levi9 onderscheidt zich door een cloud-agnostische houding aan te nemen. Dit betekent dat ze niet gebonden zijn aan een specifieke provider, maar hun klanten gecertificeerd kunnen adviseren en ondersteunen met oplossingen van alle grote cloudproviders zoals AWS, Microsoft Azure en Google Cloud. Door nauw samen te werken met klanten en hen te ondersteunen bij de migratie en optimalisatie van hun cloudinfrastructuur, zorgt Levi9 ervoor dat bedrijven maximaal profiteren van de voordelen van cloudtechnologie. Voor Essent Zakelijk leidde de migratie naar de cloud tot een 33% verkorting van de ontwikkelingstijd, 80% hogere delivery output, en een kostenbesparing van 20% op running costs. Dit bewijst dat de cloud niet alleen schaalbaar is, maar ook kosteneffectief.

Voor WCC, een bedrijf dat Levi9 koos vanwege hun AWS Advanced Partnerstatus, werd binnen twee weken een proof of concept ontwikkeld en binnen een jaar het volledige systeem live gezet. Dankzij deze oplossing kunnen mensen wereldwijd hun bestaan legaal registreren, zoals gestimuleerd door de UN Sustainable Development Goals. Een ander goed voorbeeld is Incision, waar de cloud ingezet wordt om chirurgen en hun teams in de

De cloud biedt toegang tot de nieuwste innovaties

De toekomst van AI en de cloud Nederland was één van de eerste landen die de cloud omarmde, en ook de EU ziet het als essentieel voor haar digitaliseringsdoelen. Met de opkomst van AI verwacht Angelina Best veel veranderingen. AI-modellen hebben enorme hoeveelheden data en rekenkracht nodig, iets wat de cloud perfect kan leveren. “De snelheid van AI-ontwikkeling is nauwelijks te bevatten. Het gaat zelfs zo snel dat het moeilijk is te voorspellen wat er over zes maanden nodig is. Wat we wel weten is dat de cloud de infrastructuur biedt om deze innovaties veilig en efficiënt te beheren. Bedrijven zoeken steeds meer naar partners die hen hierbij helpen, en ik denk dat die vraag alleen maar zal toenemen”, aldus Best. Een probleem in Nederland is het tekort aan gekwalificeerd IT-personeel, maar Levi9’s 1.200 engineers hebben de specialistische kennis en staan klaar om deze ondernemingen te helpen. “Veel bedrijven weten niet waar ze moeten beginnen, en dat is waar onze klantgerichte aanpak echt het verschil maakt. Ik ben optimistisch over de toekomst en kijk uit naar de innovaties die gaan komen”, besluit Best.

Cloudbeveiliging vraagt om focus op mens, proces en techniek

De overstap naar een cloud-omgeving is inmiddels breed geaccepteerd als alternatief voor eigen lokale datacenters. Hoewel die keuze tegenwoordig vanzelfsprekend lijkt, beseffen bedrijven onvoldoende dat deze digitale transitie belangrijke uitdagingen met zich meebrengt

Er bestaat een aanname bij bedrijven dat het verplaatsen van hun IT-infrastructuur naar de cloud automatisch een veilige omgeving creëert. De vraag is of die aanname eigenlijk realistisch is. “De cloud is behoorlijk complex”, benadrukt Maximilian Ebenhoch, CCO van Digital Survival Group, een Nederlands cloud native service-integratiebedrijf. “Met een paar muisklikken, kan iedereen beschikken over een cloud-omgeving, maar dat betekent niet dat je daarmee beschikt over voldoende security.”

Transitie

Er zijn wel degelijk positieve ontwikkelingen zichtbaar, want de voormalige koudwatervrees voor de cloud is verleden tijd. Klompenhouwer: “De transitie naar de cloud-omgeving is volledig geaccepteerd, zeker bij grotere organisaties. De werkelijke uitdaging zit in de onderschatting van de complexiteit. Het is niet eenvoudig om een veilig en efficiënt cloudlandschap te beheren. Veel bedrijven vergeten nog steeds de basisprocessen: updates doorvoeren, patches installeren en het beveiligen van accounts met multifactor authenticatie.”

Juist wat deze uitdaging betreft heeft Digital Survival Group een belangrijke taak. Met behulp van de zelfontwikkelde security referentiearchitectuur helpt de Group bedrijven om beveiligingsaspecten te toetsen voordat zij de cloud omarmen. Bedrijven die hiermee werken, zijn beter voorbereid en kunnen risico’s aanzienlijk verkleinen. Deze in eigen beheer ontwikkelde security blauwdruk is opgebouwd uit verschillende security lagen, zodat organisaties gestructureerd laag voor laag hun cloudomgeving kunnen beveiligen op alle essentiële onderdelen.

Een holistisch proces

Steven Klompenhouwer, CEO van Digital Survival Group, sluit zich hier volmondig bij aan: “Vaak wordt gedacht dat de technische kwaliteit van de omgeving afdoende veiligheid biedt. Dat is slechts een deel van het verhaal: de grootste zwakte in een organisatie blijft de mens. Phishing, menselijke fouten en het gebrek aan beveiligingsbewustzijn zijn veelvoorkomende oorzaken van datalekken.”

Gezien die constatering is het cruciaal dat bedrijven niet alleen in technologie investeren, maar ook in het trainen van medewerkers en het verbeteren van interne processen. Security is daarmee een holistisch proces, waarbij de mens, het proces en de techniek nauw met elkaar verweven zijn. Een veelvoorkomend probleem is dat bedrijven verouderde applicaties naar de cloud verplaatsen in de veronderstelling dat dit de veiligheid ten goede komt. Ebenhoch: “Dat is een misvatting. Applicaties die in eigen beheer niet veilig zijn, blijven onveilig in de cloud. Bedrijven moeten hun systemen up-todate houden en zorgen voor adequate beveiligingsmaatregelen, zoals multi-factor authenticatie, om toegangspunten beter te beschermen.”

Naast de techniek blijft ook menselijk handelen een punt van aandacht. Ebenhoch: “Bij veel bedrijven ontbreekt het aan awareness: zowel in de boardroom als bij de medewerkers. Medewerkers klikken zonder nadenken op phishing e-mails of negeren beveiligingsprotocollen. Dit blijft de grootste aanvalsvector voor hackers. Veel beveiligingsincidenten kun je voorkomen door het beveiligingsbewustzijn van medewerkers te trainen en de moderne werkplek goed te beveiligen.”

Trends Er zijn volgens Ebenhoch niet zozeer nieuwe trends in cybercrime. Phishing en ‘CEO-fraude’ (waarbij iemand zich in een

mail voordoet als de CEO) blijven veel voorkomen. Ebenhoch: “De vormen van cybercrime blijven min of meer hetzelfde. Wat je wel ziet, is dat hackers steeds slimmere, geautomatiseerde manieren gebruiken om toegang te krijgen tot bedrijfsnetwerken. Daardoor ontstaat de mogelijkheid om grootschalig bedrijven aan te vallen, waarbij hackers zich niet specifiek richten op grote organisaties, maar ook op kleinere bedrijven.”

Wat je ook als trends kunt aanmerken, is dat steeds meer bedrijven beseffen dat beveiliging verder gaat dan uitsluitend technische oplossingen. Bedrijven doen steeds vaker beroep op experts als Digital Survival Group voor monitoringdiensten en geautomatiseerde incidentresponse. Klompenhouwer: “Een security monitoringdienst kan bedrijven helpen om in te grijpen wanneer er verdachte activiteiten plaatsvinden. Denk aan een inlog vanuit Nederland en twee minuten

later dezelfde poging vanuit Ghana. Dat is een duidelijk teken dat er iets niet in de haak is. Dit soort incidenten kun je met geautomatiseerde systemen snel identificeren en blokkeren. Juist dit is onze specialiteit.”

Wat betreft de groei van de cloud zelf: wie het securityvraagstuk serieus neemt, staat niets in de weg om tot migratie naar de cloud te besluiten. Een duidelijk voorbeeld hiervan zijn kritieke sectoren als Zorg, Overheid en Energie, die nu ook de overstap maken. De toenemende belangstelling weerspiegelt zich ook in de groei van de Digital Survival Group. Klompenhouwer: “We zijn nog jong, maar groeien snel. Onze focus ligt op het helpen van bedrijven om veilig te migreren naar de cloud en ervoor te zorgen dat zij blijven voldoen aan de hoogste beveiligingsnormen. Wij willen een leidende rol spelen bij de toenemende vraag naar clouddiensten.”

Digital Survival Group is een Nederlands bedrijf dat zich sinds 2018 richt op cloud native service-integratie en cloudoplossingen. Het bedrijf helpt organisaties de digitale transformatie te versnellen en hun cloudomgevingen veilig te maken en is hierbij voornamelijk actief voor grote opdrachtgevers in de foodretail, transport en openbaar vervoer, lokale overheid, finance, verzekeringen en woningcorporatie sector. Met gebruik van Microsoft Azure en Microsoft 365 biedt Digital Survival Group - met meer dan 200 specialisten - geïntegreerde oplossingen voor de moderne werkplek en cloudinfrastructuur. Een belangrijk kenmerk van het bedrijf is de focus op beveiliging, waarbij elke oplossing secure by design wordt opgezet. Naast de clouddiensten heeft Digital Survival Group in 2021 Product League overgenomen, een softwareontwikkelingsbedrijf dat gespecialiseerd is in low-code OutSystems-platformen.

Schone technologie en databeveiliging: De basis voor een duurzame toekomst

VOORWOORD

Met de snelle technologische vooruitgang en de groeiende focus op duurzame oplossingen, staan we voor nieuwe, complexe uitdagingen op het gebied van databeveiliging. Hoewel de connectie tussen databeveiliging en schone energie niet altijd direct zichtbaar is, is deze onmiskenbaar. De opkomst van schone technologieën, zoals zonnepanelen, batterijen en elektrische voertuigen, maakt een solide beveiliging van gegevens en infrastructuren essentieel. Tijdens de Bloomberg NEF Summit in Londen op 8 en 9 oktober, mocht ik mijn inzichten delen met experts uit verschillende sectoren, en werd duidelijk hoe diep verweven deze thema’s zijn.

Tech en onshoring

Europese beleidsmakers maken steeds ambitieuzere plannen om de productie van schone technologieën, zoals batterijen en zonnepanelen, terug te halen naar het continent (onshoring). Maar deze ambities staan onder druk door een golf aan Chinese investeringen in fabrieken. Dit leidt tot overcapaciteit, wat de prijzen verlaagt. Hoewel dit de energietransitie goedkoper maakt, ondermijnt het ook de prikkel om lokale toeleveringsketens te versterken.

Tijdens de Summit werd besproken of Europa de onshoring-doelen wel kan realiseren, gezien de sterke afhankelijkheid van Chinese technologie. Hier speelt databeveiliging een cruciale rol. Als Europa de productie van schone technologie wil opschalen, moet het de bescherming van gevoelige gegevens en intellectueel eigendom versterken. Technologiebedrijven

die innovatieve oplossingen ontwikkelen, worden steeds vaker het doelwit van cyberbedreigingen, wat innovatie kan vertragen en de stabiliteit van de energieinfrastructuur in gevaar kan brengen.

Databeveiliging

De energietransitie gaat hand in hand met digitalisering. Slimme energienetwerken, geavanceerde sensoren en geautomatiseerde productieprocessen in fabrieken voor schone technologieën spelen een sleutelrol in de toekomstige energievoorziening. Maar deze toenemende afhankelijkheid van data maakt systemen ook kwetsbaarder. Cybercriminelen richten zich steeds meer op technologie- en energiebedrijven, met als doel gevoelige gegevens te stelen of operationele processen te verstoren.

Tijdens de Summit werd het belang van beveiliging van de supply chain benadrukt.

Gegevens die door verschillende partijen in complexe toeleveringsketens worden gedeeld, zijn een aantrekkelijk doelwit voor kwaadwillenden. Denk bijvoorbeeld aan de productie van zonnepanelen of batterijen: een cyberaanval die deze processen verstoort, kan niet alleen vertragingen veroorzaken bij de levering van essentiële onderdelen, maar ook de energietransitie als geheel bedreigen.

Een nieuwe focus

Bedrijven die investeren in schone technologieën, moeten ook hun beveiliging aanzienlijk versterken. Een focus op de beveiliging van data en systemen is essentieel om te voorkomen dat deze innovatieve technologieën doelwit worden van cyberaanvallen, die de voortgang van de energietransitie ernstig kunnen vertragen. Daarnaast heeft databeveiliging ook een directe impact op het vertrouwen in nieuwe technologieën. Als innovaties

zoals slimme netwerken en energieopslag kwetsbaar blijken voor hacking of datalekken, kan dit leiden tot publieke scepsis en vertraging in de acceptatie van schone technologieën. Een succesvolle energietransitie is niet alleen afhankelijk van technologische innovatie, maar ook van een geïntegreerde benadering van beveiliging. Bedrijven moeten investeren in zowel duurzame technologie als in geavanceerde beveiligingsmaatregelen om hun data en systemen te beschermen. Databeveiliging en schone technologie zijn onlosmakelijk met elkaar verbonden. Bedrijven die deze twee uitdagingen geïntegreerd aanpakken, zullen niet alleen hun continuïteit waarborgen, maar ook bijdragen aan een veiligere en duurzamere toekomst.

Voorkom problemen vanwege een slecht geïmplementeerde back-up

Alle kennis is tegenwoordig digitaal opgeslagen. Als daar iets mee misgaat, kunnen alle data en kennis zomaar ontoegankelijk worden of zelfs compleet verloren gaan. Zeker zonder een goede back-up strategie.

Pieter Verleye, CTO, Immutec

Het is een kat-en-muisspel tussen hackers en specialisten die organisaties helpen zich te wapenen tegen cyberaanvallen. Immutec werkt samen met de Faculty Advanced Computing Sciences van Universiteit

Maastricht aan baanbrekende innovaties op het gebied van data back-up. Pieter Verleye, CTO bij Immutec, heeft ondernemers in zijn kantoor gehad: alle data verloren door een hack en geen goede back-up. De ondernemer maakte wel back-ups, maar deze bleken al maanden niet goed en waren onbruikbaar. “Dit zien we vaker: een kwalitatief goede backup oplossing wordt aangeschaft, maar de kwaliteit ervan staat of valt met de implementatie en de controles. Data weg, geheimen weg en uiteindelijk ook bedrijf weg. Dat was heel triest om te zien.”

99,99% zekerheid

Volgens onderzoek van de Rabobank is de kans op brand slechts 1 op 8.000, op een inbraak 1 op 250, maar de kans op een hack 1 op 5. Hackers zijn niet selectief, maar werken geordend en met honderdduizenden willekeurige aanvallen tegelijk, vaak in de vorm van phishing mails. Er hoeft maar één werknemer op een linkje te klikken en je hangt. De back-up bevat in geval van een calamiteit

de laatste digitale blauwdruk van de onderneming. Het is dus niet zonder reden dat de bestuurder volgens de NIS2wetgeving hoofdelijk aansprakelijk wordt gesteld als er geen goede back-up geregeld is. Vanuit deze basis is Pieter met zijn compagnon Cyrille Immutec gestart. Met hun innovatieve back-up strategie kan Immutec met 99,99 procent zekerheid garanderen dat ze de data terug kunnen geven aan de onderneming.

Full-managed technologie Immutec heeft een unieke technologie ontwikkeld waarmee in de data omgeving bij de klant een ‘versleutelde vingerafdruk’ wordt gemaakt. Met deze vingerafdruk wordt continu gecontroleerd op ongewenste wijzigingen en infiltraties. Deze wijze van opslag in combinatie met een fysiek gescheiden immutable storage geeft een optimale back-up. Eenmaal opgeslagen is de back-up onveranderlijk en met meerdere lagen van beveiliging weggeschreven in een afgeschermd, eigen stukje private cloud binnen ons datacenter. “Een goede

back-up is anno 2024 essentieel en vraagt om gespecialiseerde expertise die vaak ontbreekt binnen organisaties en bij eigen IT-providers. Wij verzorgen de afstemming, implementatie en back-up controles,

De back-up bevat in geval van een calamiteit de laatste digitale blauwdruk van de onderneming, waarmee je de organisatie altijd weer kunt opbouwen

zodat de klant geen tijd, grootschalige investeringen of extra middelen vrij hoeft te maken. Hierdoor worden interne projecten en lopende werkzaamheden niet verstoord - vaak de reden waarom er nog geen maatregelen zijn getroffen. Ons dashboard en ticketdesk bieden bovendien inzage en interne controle. Zo borgen wij proactief en reactief de continuïteit van onze klanten.”

Technologische innovatie staat met AI nog maar aan het begin

Met AI staan we nog maar aan het begin van een technologische revolutie. Bedrijven en consumenten kunnen veel voordelen behalen met het gebruik ervan. Met een goede verzameling en classificatie van (historische) data kunnen bedrijven hun bedrijfsprocessen vereenvoudigen en tijd vrijmaken om nóg creatiever te worden.

De technologische en digitale innovaties zoals AI (Artificial Intelligence), en het succes ervan staat of valt veelal met hoe de mens het gebruikt. Neem Microsoft Copilot, de AIassistent kan heel veel, maar welke vraag stelt u? Welke vooronderstelling is daaraan voorafgegaan en welke informatie wilt u precies verkrijgen? En als u niet tevreden bent met het antwoord, wat doet u dan? Het zijn allemaal vragen die opkomen nu mensen er steeds meer gebruik van maken. Het wordt niet alleen gebruikt door middelbare scholieren die een uittreksel van een boek willen of door consumenten die een dagtripje wil plannen. Ook bedrijven –groot en klein – gaan erin mee en beginnen de voordelen ervan in te zien.

Potentieel benutten

Bij ALSO, een toonaangevende technologieleverancier voor de ICT-

industrie, zijn ze er druk mee bezig. Robert van der Struijf is director consumptional business bij ALSO en een early adopter van Copilot. “De beste manier om AI te introduceren in uw organisatie is door het gestaag, goed onderbouwd en langzaam uit te rollen. Dat is de basis. Er is soms weerstand, maar dat is bij elke technologische innovatie het geval. Maar we zien dat bedrijven ermee beginnen. Het beste is om een club mensen te verzamelen die enthousiast zijn en ervoor te zorgen dat er een community gecreëerd wordt. Dat breidt zich dan als een olievlek uit”, zegt Van der Struijf.

Jan Depping is partner Technology Strategist voor Microsoft en werkt ook samen met ALSO. Hij benadrukt het belang van een gezamenlijke verantwoordelijkheid. Want uiteraard zitten er gevaren aan AI, en vooralsnog weet niet iedereen het volle potentieel te benutten. De crux van dit soort vernieuwende technologie is het stellen van de juiste vragen in de juiste context. “De mens is uiteindelijk eindverantwoordelijk, dus ook voor wat u doet met het antwoord dat Copilot geeft. Er is nog wel een leercurve. Maar als u het doorkrijgt, is het ongelooflijk krachtig”, stelt Depping.

Doordacht gebruik

Beiden gebruiken Copilot intensief en zijn van mening dat als het antwoord

van Copilot u niet bevalt, u dan een opvolgvraag moet stellen. Van der Struijf komt veel bij bedrijven over de vloer waar geëxperimenteerd wordt met Copilot en AI. “Te vaak gebeurt het nog dat de antwoorden niet bevallen, waarna Copilot wordt afgevoerd. Het is belangrijk om mensen te leren hoe ze het moeten gebruiken, dan is de kans op succes veel groter. In veel bedrijven bestaat nog te veel angst om dit instrument in te zetten. Maar we zien op de werkvloer dat processen vloeiender en efficiënter verlopen dankzij een goed en doordacht gebruik van AI.”

Hoe beter data gelabeld en geclassificeerd zijn, hoe succesvoller het gebruik van AI is, betogen Van der Struijf en Depping. Een gebrek aan historische data, waardoor een algoritme niet genoeg data heeft om een betrouwbaar antwoord te genereren, is niet productief voor een bedrijf. “U moet het goed inrichten. Dan kunt u het beter besturen, vergroten en uiteindelijk kunt u uw business beter doen. U creëert als het ware extra tijd omdat u andere taken kunt overlaten aan AI. Er zijn zoveel data beschikbaar waar AI van alles mee kan. Dit gaat niet meer weg, dus is het verstandig om u als consument of bedrijf goed erin te verdiepen. Onderzoek waarvoor u het wilt gebruiken en waar u uw winst wilt behalen”, aldus Depping.

Innovaties

De mogelijkheden zijn feitelijk oneindig. Er is nog nooit een moment in de moderne tijd geweest waar zoveel kennis uit een zo grote hoeveelheid data kan worden gehaald. En uiteraard zijn er nu al partijen bezig met innovaties die de consument pas over vijf jaar zal bereiken. Zo verwachten

beiden veel van ‘Purposed AI’, oftewel AI ontworpen voor specifieke doelen en taken. Kwaliteitscontrole, voorspellend onderhoud en het optimaliseren van productieprocessen kunnen allemaal door ‘Purposed AI’ gedaan worden. Ook kan het toegepast worden in de gezondheidszorg voor het analyseren van medische beelden, het voorspellen van ziektes en het personaliseren van behandelingen. “Nederland is adaptief en als het gaat om innovaties lopen we voorop. Echter zoals altijd, zal alles moeten voldoen aan wet- en regelgeving”, aldus Depping.

Het beste is om een club mensen te verzamelen die enthousiast zijn en zorgen dat er een community gecreëerd wordt. Dat breidt zich dan als een olievlek uit

Naast wetgeving, droge feiten en technologie draait het uiteindelijk ook om geïnspireerd raken door dit fenomeen. “Het is onze taak om aan te tonen en te inspireren dat dit van waarde kan zijn voor onze klanten. Dat is een heel mooi proces, want inspireren is belangrijker dan ooit. Want dankzij AI heb ik ruimte gekregen om te doen wat ik echt moet doen, waardoor de linkerhersenhelft vrij is gemaakt om na te denken en creatief te zijn”, besluit Van der Struijf.

Kennisdelen is cruciaal

EXPERT

Als we de omvang van de huidige cybersecurity-industrie in geld uitdrukken, zou het de derde economie van de wereld zijn. In omvang zijn alleen de Verenigde Staten (1) en China (2) groter.

Quint Ketting, Head of Cybersecurity, Strategy & Innovation bij Eviden en co-host van de Security Café podcast.

Tegenwoordig moet alles snel beschikbaar zijn, en bij voorkeur overal vandaan te bereiken. Dit leidt tot verhoogde kwetsbaarheden, waardoor cybersecurity wereldwijd cruciaal is geworden. Cyberbeveiliging is inmiddels van nationaal en internationaal belang, want de kritieke infrastructuren van ieder land zijn een primair doelwit van zogenaamde bad actors. Deze cybercriminelen zijn vaak zelfs in dienst van andere overheden en vallen de infrastructuren van landen aan. Maar

ook commerciële bedrijven met gewilde intellectuele eigendommen zijn niet veilig voor hen.

Cyberbeveiliging is inmiddels van nationaal en internationaal belang

Threat Intelligence

Het is essentieel om bedrijven te wapenen tegen deze toenemende dreigingen. Mede daarom worden bedrijven inmiddels bedolven met allerlei nieuwe wetten en verplichtingen. Dit vereist weerbaarheid en veerkracht, maar het bedrijf kan veel doen om deze te verhogen. Net zo goed als dat geen enkele onderneming functioneert zonder zakelijke en competitieve intelligentie, is het noodzakelijk de bedreigingen te kennen binnen de eigen sector/industrie én de

specifieke gevaren voor het eigen bedrijf. Een goede threat intelligence is dus net zo belangrijk als de business intelligence.

Evalueer eerst voor wie de onderneming een doelwit kan zijn en beoordeel vervolgens wat beschermd moet worden. Formuleer hiermee de strategie die moet zorgen dat de IT-basishygiëne op orde is en een vorm van bescherming wordt geïmplementeerd in het bedrijf. Prioriteer ook de juiste zichtbaarheid, zodat het direct duidelijk wordt wanneer de onderneming een target is geworden, en zorg dat er onmiddellijk maatregelen (tactisch en strategisch) genomen zijn, en monitor deze.

om de juiste responsstrategie te implementeren in het bedrijf. Een belangrijk element hiervan is weten wie de tegenstander is, de zogenaamde threat actor profiling, en het delen van deze informatie. Cruciale informatie moet gedeeld worden binnen het eigen netwerk, onder bedrijven in dezelfde sector, maar zeker ook met cybersecurity bedrijven onder elkaar.

Een goede threat intelligence is net zo belangrijk als de business intelligence

Informatie delen

Vervolgens draait het om veerkracht, want het is niet de vraag of de organisatie te maken kan krijgen met cyberdreigingen, maar wanneer. Daarom is het belangrijk

– Partner Content

Investeer in een robuuste beveiligingsstrategie die aansluit bij het bedreigingslandschap waarin de onderneming opereert, zodat schaalbare verdediging wordt bereikt. Investeer in monitoring en response functionaliteit. Als er binnen de organisatie niet voldoende kennis aanwezig is, schakel dan de hulp in van cyber specialistische partijen die zich hebben toegelegd op het opzetten van deze strategie en de uitvoering daarvan. En zorg dat het bedrijf zaken omtrent beveiliging deelt met de peers binnen de eigen industrie. Leer van elkaar.

Voor dieper inzicht in deze materie, luister naar de Security Café podcast. Hierin bespreken we elke drie weken diverse cybersecurity thema’s met gerenommeerde experts uit de sector.

Tekst: Quint Ketting Foto: Sietse Los

Innovatie met cloud & AI drijft nieuwe risico’s en regelgeving; de veranderende cybersecurity uitdagingen

Het cybersecuritylandschap in de Benelux staat op een keerpunt. Innovatieve technologieën als cloud en AI introduceren nieuwe bedreigingen en strengere regelgeving, zoals NIS2, DORA en de AI Act. Dit motiveert bedrijven hun beveiligingsstrategieën te herzien. Bart van de Burgt, Vice President Central Europe bij Wiz, bespreekt de belangrijkste trends en uitdagingen.

Volgens Bart zijn de primaire doelen van bedrijven qua cybersecurity onveranderd: verkleinen van risico’s en verhogen van efficiëntie. “Onze klanten willen een holistisch beeld van hun beveiligingspositie over alle cloud-omgevingen heen. Deze context helpt organsiaties om risico effectief te prioriteren en in te grijpen waar nodig.” Om de efficientie te verbeteren zetten veel bedrijven in op het samenbrengen van verschillende functionele teams op één platform, om processen te stroomlijnen en kosten te verminderen. Door security- en ontwikkel-teams dezelfde context te geven, kunnen bedrijven sneller anticiperen en risico’s eerder in de software lifecycle addresseren.

Innovatie en de rol van AI Innovatie blijft een belangrijke drijfveer voor de invulling van de beveiliging.

“Het is cruciaal dat bedrijven sneller kunnen innoveren, en belangrijker dat direct veilig te doen”, benadrukt Bart. Door security geïntegreerd mee te nemen in het ontwikkelingsproces, stoort het ontwikkelaars minder en kunnen organisaties ontwikkelen zonder daarbij concessies te doen op snelheid en security. Eventuele problemen worden immers aangepakt voor de code live gaat, wat de kans op issues vermindert. De toenemende snelheid van innovatie brengt nieuwe uitdagingen met zich mee. “AI en cloud creëren een dynamische en complexe omgeving”, stelt Bart. Hierdoor zijn technologieën zoals AI en Data Security Posture Management (DSPM) essentieel geworden om grip te houden op gevoelige informatie. “Bedrijven moeten hun AI-processen en databeheer goed inzichtelijk hebben, ook met het oog op de aankomende EU AI Act.”

Regelgeving en compliance

Met strengere Europese regelgeving, zoals NIS2 en DORA, wordt compliance steeds uitdagender. Volgens Bart moeten bedrijven uitgebreide platforms gebruiken die context, risicoprioritering en automatisering bieden en tegelijkertijd de ruis van traditionele puntoplossingen verminderen. “Het is essentieel om volledige zichtbaarheid te hebben over alle cloudomgevingen en compliance reviews zoveel mogelijk te automatiseren.” Nieuwe regelgeving legt ook nadruk op operationele weerbaarheid; hierdoor komen tools en processen in het SOC in focus. Ook Cloud en AI veranderen de invulling van detectie en response omdat bedrijven zich aanpassen aan nieuwe aanvalsvectoren.

Security Operations Centers (SOC’s) moeten snel reageren op specifieke cloud bedreigingen; volledige context van de cloud en het aanvalspad zijn hiervoor onmisbaar.

De toekomst van cybersecurity Een van de belangrijkste trends die Bart voorziet, is dat context een centrale rol zal spelen in de beveiligingsaanpak. Betere

correlatie en verminderde ruis geeft een duidelijker beeld van de echte bedreigingen en laat teams effectiever samenwerken. Deze ontwikkeling leidt er ook toe dat ontwikkelaars meer verantwoordelijkheid krijgen voor de beveiliging van hun code. Tegelijkertijd verwacht Bart dat steeds meer bedrijven zullen kiezen voor één leverancier voor cloudbeveiliging om zo te stroomlijnen en kosten te besparen. “Investeer in cloudnative, contextbewuste platforms met focus op ontwikkelaars om concurrerend te blijven en klanten te beschermen in een steeds sneller digitaliserende wereld.”

NIS2 komt eraan en bedrijven moeten echt aan de slag

De meeste cybersecuritybedrijven zijn klaar voor de Europese NIS2richtlijn. Veel andere organisaties echter nog niet. En dat terwijl bestuurders voortaan verantwoordelijk worden gehouden wanneer de richtlijnen niet worden nageleefd.

Directeur Security & Compliance, PQR

Een van de bedrijven die organisaties helpt zich voor te bereiden op deze nieuwe regelgeving is PQR, een managed service provider die alle elementen van de IT-infrastructuur van een klant probeert te verbinden om zo een volledige oplossing te bieden. Als onderdeel van hun dienstverlening zijn ze 24/7 bezig met het tegen cyberaanvallen beschermen van zowel publieke instellingen als bedrijven. Dat betekent frequente risicoanalyses, het voorbereiden van crisisscenario’s en het plannen en oefenen van herstelwerkzaamheden na een cyberaanval. “Veel bedrijven moeten hier nog flink in investeren, en zouden het hoger in hun agenda mogen zetten”, zegt Sander Heinhuis, directeur Security & Compliance bij PQR.

Bestuursverantwoordelijkheid voor digitale veiligheid

De NIS2-richtlijn (voluit de Network and Information Security Directive) is Europese

regelgeving die beveiligingsmaatregelen voorschrijft voor organisaties in sectoren die zijn aangemerkt als essentieel en belangrijk voor de samenleving. Denk daarbij aan water- en energiebedrijven, telecombedrijven en zorginstanties. Deze organisaties zijn verplicht de maatregelen te nemen om hun digitale infrastructuur te beschermen tegen aanvallen. Gebeurt dit niet, dan worden de bestuurders van de organisatie persoonlijk verantwoordelijk gehouden voor de gevolgen van een aanval.

“Bestuurders moeten tegenwoordig goed op de hoogte zijn van cybersecurity binnen hun organisatie”, legt Heinhuis uit. “Ze moeten de juiste vragen kunnen stellen over onder meer databescherming en de opbouw van de infrastructuur, zodat ze mogelijke risico’s goed kunnen evalueren.”

Hij hamert daarom op het belang van security awareness-trainingen voor directieleden. “In de risico-evaluaties is het voor bestuurders met name belangrijk dat IT-omgevingen relevant en passend zijn. In het kader van gegevensbescherming kun je je bijvoorbeeld afvragen of je niet te veel informatie te lang bewaart. Gegevens die je niet gebruikt maar toch bewaart, vormen een extra veiligheidsrisico.”

Onrust maakt onveilig

Dat training en bewustwording belangrijk zijn, beaamt ook Bert Leegwater, commercieel directeur bij PQR. Toch is dat maar een deel van de puzzel. “Cybersecurity kent drie pijlers: mens, proces en technologie. Je kunt de duurste

technologie kopen en processen van A tot Z uitwerken, maar als je mensen de tech en processen niet goed inzetten, gaat het alsnog mis.”

Daarbij kan het ontzettend lastig zijn om de technologie te vinden die past bij jouw specifieke IT-omgeving. Zo is het cybersecuritylandschap zeer onvolwassen en versnipperd. “Zelfs de allergrootste leverancier heeft maar zo’n 10% van de markt in handen. En al die leveranciers vallen continu over elkaar heen om innovaties aan de man te brengen, wat het voor bedrijven erg diffuus maakt.”

De IT-omgevingen zelf worden ook steeds complexer. “Bedrijven breiden uit, doen overnames of fuseren. Bovendien werken ze samen met leveranciers en andere partners die inpluggen op hun infrastructuur”, legt Leegwater uit. “Daarmee komen steeds nieuwe, en verouderde, technologieën binnen die kunnen leiden tot een ontzettend rommelige IT-omgeving. En dat terwijl de technologie juist in grote mate bepalend is voor het veiligheidsniveau.”

Het bestrijden van die chaos in de IT-omgeving is waar PQR in uitblinkt.

Leegwater licht toe: “We staan niet voor niets bekend als ‘rustmakers in IT’. Die rust brengen we door de hele IT-infrastructuur aan te pakken, van datacenter en cloudomgeving tot netwerk en werkplek. Daarbij zorgen we dat alles secure by design is, en begeleiden we onze klanten in de selectie van de technologieën, het inrichten van processen en het trainen van medewerkers.”

Ook wanneer organisaties de nodige expertise niet in huis hebben, of zich niet dagelijks druk willen maken over cybersecurity, biedt PQR ondersteuning. “We bieden bijvoorbeeld een CISO-asa-Service, waarbij een ervaren expert met je meedenkt over de inrichting van je informatiebeveiliging”, zegt Leegwater. “En ons Security Operations Center kan 24/7 op incidenten monitoren en problemen zo snel mogelijk verhelpen. Dat biedt onze klanten de rust en ruimte om zich te richten op hun kernactiviteiten.”

Stilstand is achteruitgang in cybersecurity

Op 16 oktober wordt de NIS2-richtlijn op Europees niveau ingevoerd. De lokale vertaalslag in de vorm van de Cyberbeveiligingswet laat nog even op zich wachten. Maar dat betekent niet dat bedrijven een afwachtende houding kunnen aanhouden. “Iedere organisatie die onder de nieuwe richtlijn valt, zou eigenlijk allang begonnen moeten zijn met de voorbereidingen. Afhankelijk van de organisatie, kan het fors wat tijd en middelen vergen om mensen, processen en technologieën klaar te stomen. En natuurlijk staan we bij PQR klaar om daarin te ondersteunen”, besluit Heinhuis.

Bestuurders zijn verantwoordelijk voor cyberveiligheid

PROFIEL INTERVIEW

De AI act, NIS2, DORA en CRA: het zijn maar een paar termen die veelomvattende cybersecurity richtlijnen omschrijven die vanuit Europa langzaam over bedrijven en instellingen worden uitgerold. Digitale controle en governance (goed bestuur) vanuit de boardroom zijn essentieel voor een goede verdediging tegen cyberaanvallen.

Samenwerking van overheid, maatschappelijke organisaties en private bedrijven is cruciaal om het hoofd te bieden aan de cyberdreiging die vanuit criminele netwerken - of naties - kan komen. De Online Trust Coalitie, OTC, is een onmisbare schakel in dit samenspel om een goede verdediging tegen cyberaanvallen op te bouwen. Michiel Steltman, erkend expert in de cyberproblematiek, is een warm pleitbezorger van deze vorm van samenwerking, en is betrokken bij verschillende samenwerkingsverbanden die zich met dit thema bezighouden, waaronder OTC. De privaatpublieke samenwerking is de beste manier om effectief te helpen bij de implementatie van de diverse wetten en regels die uit Europa komen. In Europa staat Nederland er qua cyberbeveiliging best goed voor, maar het kan altijd beter, betoogt hij. “Als je bedenkt dat alles tegenwoordig digitaal is, dan gaat het best goed. Iedereen en alles is verbonden met alle risico’s van dien. Toch is het niet zo makkelijk om alles in één keer plat te leggen, hoewel het eigenlijk een mirakel is dat het nog niemand echt gelukt is.”

De OTC stelt zich niet op als een formeel adviescollege maar wil doorbraken creëren door praktische oplossingen concreet toe te passen. Feiten, cijfers en inhoudelijke argumenten met alle relevante belanghebbenden in Nederland en de EU worden daarbij uitgewisseld. OTC wil zorgen dat Nederlandse initiatieven in de pas blijven lopen met de ontwikkelingen in de EU. De komende tijd gaan er negentien Europese wetten geïmplementeerd worden die grote impact gaan hebben op het digitale domein, en belangrijk zijn om de Europese cyberveiligheid te verbeteren.

Digitale weerbaarheid is Europa-breed en moet dus gedragen en verbeterd worden door de gehele samenleving heen, vindt Steltman. Dus vooral in de boardrooms waar de CEO en CFO en de commercieel

directeur vergaderen over de strategie, targets, in- en verkoop en personeelszaken. Maar al te vaak zijn digitale zaken als cybersecurity – en de bijbehorende kosten - een ondergeschoven kindje. “Binnen de boardroom gaat het inderdaad meestal primair over strategie, cashflow en winst. Maar zaken als digitalisering, digitale weerbaarheid en beveiliging moeten op de agenda, en dat wordt met de nieuwe richtlijnen en wetten enkel belangrijker. De CEO kan het managen van dataen IT-risico’s niet meer afdoen als te duur of te ingewikkeld, of het wegdelegeren.”

Zeker nu NIS2 richtlijnen bestuurders direct verantwoordelijk stellen voor nalatigheid bij het voorkomen van digitale ongelukken en de gevolgen daarvan, zullen ook de toeleveranciers en klanten mee moeten in dit verhaal. “Digitaal is minstens zo belangrijk geworden als de financiën. Want de risico’s zijn vaak groter, zowel qua reputatie als financiën. Als het een geraffineerde cyberaanval betreft, kun een bedrijf in het ergste geval failliet gaan.”

IT en beveiliging behoort dus een significante plek in te nemen aan de bestuurstafel, vindt Steltman. En dat gaat verder dan enkel het bewustzijn vergroten onder bestuurders en medewerkers van een bedrijf of instelling. De bestuurder moet ook over de juiste instrumenten beschikken om controle over de cyberveiligheid te krijgen. “We zijn als organisatie nauwgezet bezig om hen deze instrumenten aan te reiken. We bieden bestuurders een handelingsperspectief om daarmee de governance te versterken over de digitale weerbaarheid. Trainingen moeten bestuurders leren beseffen welke risico’s er zijn en hoe ze de IT-omgeving en managers aan moeten sturen om de beveiliging op orde te houden. De economische schade door cyberaanvallen loopt in de vele miljarden. Cybercriminelen zitten niet stil en innoveren ook, dus is het ook een kwestie van bijhouden en updaten. Digitale

De cloud is niet inherent onveiliger

Peter van Burgel, CEO van AMS-IX, en Lieuwe Jan Koning, CTO van ON2IT, bespreken de realiteit en onmisbaarheid van de cloud.

Er heerst een tendens om cloudomgevingen als inherent onveiliger te zien dan traditionele on-premises (eigen beheer) infrastructuren. Deze perceptie is echter misleidend. De realiteit is dat de cloud niet alleen onmisbaar is voor de moderne IT-infrastructuur, maar ook fundamentele voordelen creëert die op lange termijn niet meer weg te denken zijn. De cloud biedt niet alleen schaalvoordelen en moderne securitymodellen zoals SASE, maar maakt ook de automatische schaalbaarheid van kritieke diensten, zoals DDoS-bescherming, mogelijk op een niveau dat on-premise simpelweg niet haalbaar is

risico’s moet je voortaan actief managen, voor je bedrijf, de samenleving en de burgers. Elk jaar is er een audit, net als bij de jaarrekening. Je moet als bestuurder kunnen aantonen dat je controle hebt, en maatregelen hebt genomen om de risico’s zoveel mogelijk te beperken. Hierin zijn het uiteindelijk door CEO-aangestuurde IT-teams die de feitelijke bescherming moeten gaan bieden.”

De CEO en de manager verantwoordelijk voor de ITbeveiliging moeten dus wel elkaars taal spreken, en tegelijkertijd een budget op orde hebben om de benodigde digitale beveiliging daadwerkelijk te kunnen bekostigen. Waar voorheen beveiliging tegen cyberaanvallen mogelijk een sluitpost was op de begroting, kan dat nu zeker niet meer, weet ook Steltman. “Want de kosten voor een geslaagde cyberaanval lopen snel op, voor het bedrijf maar ook de CEO zelf die onder die NIS2-richtlijn direct persoonlijk verantwoordelijk aansprakelijk kan worden gesteld in het geval van bewezen nalatigheid. De bestuurder heeft ook nog eens te maken met ketenaansprakelijkheid als ook de toeleveranciers en klanten geraakt worden.”

Een holistische aanpak is uiteindelijk het beste om dit soort drama’s te voorkomen, concludeert Steltman. Integraal is daarbij het toverwoord en de publieke als ook private sector lijken dat nu te beseffen. Het structureel managen van risico’s is veel beter dan reageren op incidenten, of te proberen met afvinklijstjes het boeterisco af te wentelen, betoogt Steltman. ”Het feit dat de markt voor cybersecurity enorm groeit is wat dat betreft een gunstig teken. Het besef is er.”

Een belangrijk argument voor de cloud is hoe Infrastructureas-a-Service (IaaS) en Platform-as-a-Service (PaaS) diensten de beveiliging van applicaties eenvoudiger en efficiënter maken. In tegenstelling tot oudere on-premises architecturen, waar bescherming vaak complex en uniform is, maakt de cloud het mogelijk om applicaties – oftewel Zero Trust protect surfaces – individueel van passende bescherming te voorzien. Dit leidt tot een gerichtere, meer preventieve aanpak, waarbij elke applicatie, dienst of dataverzameling precies de beveiliging krijgt die vanuit het risicoprofiel gewenst is.

Peter van Burgel, CEO van AMS-IX

Het argument dat SaaS-diensten van kleinere aanbieders soms minder goede bescherming bieden, is geldig. Maar laten we niet vergeten dat er ook tal van on-premises infrastructuren zijn met onvoldoende kwaliteit in systeembeheer en cybersecurity om een effectieve beveiliging te garanderen. Niet de locatie van de infrastructuur is bepalend voor de veiligheid, maar de expertise en zorgvuldigheid waarmee deze wordt beheerd.

Vaak wordt aangenomen dat on-premises systemen veiliger zijn omdat ze op een niet van buiten toegankelijk netwerk draaien. Toch blijken veel van deze systemen expliciet of ‘onder water’ toegankelijk via het internet, vaak zonder de vereiste beveiliging. Bij cloudapplicaties is dit expliciet: men weet dat ze toegankelijk kunnen zijn voor iedereen, en dat dwingt organisaties om hun beveiliging in te richten volgens het ‘zero trust’ principe.

Lieuwe Jan Koning, CTO van ON2IT

Threat Talks www.threat-talks.com

De toekomst van cyberbeveiliging: AI en IoT vereisen strategische veerkracht

De voorspellingen voor 2024 op het gebied van cyberbeveiliging zijn werkelijkheid geworden. Het gebruik van kunstmatige intelligentie (AI) door cybercriminelen, kwetsbaarheden in Internet of Things (IoT)-apparaten en geavanceerde social engineering-aanvallen vormen inmiddels bedreigingen. Nu organisaties zich richten op digitale transformatie, moeten ze ook omgaan met de nieuwe risico’s die daarmee gepaard gaan, en zich wapenen tegen aanvallen die steeds geavanceerder worden.

Naast de genoemde risico’s, wordt de regelgeving op het gebied van cyberbeveiliging en veerkracht steeds strenger. Dit is met name het geval met de implementatie van Europese richtlijnen zoals de Digital Operational Resilience Act (DORA) en de Network and Information Security Directive (NIS2), die bedrijven verplichten om robuustere maatregelen te implementeren. Rob Bravenboer, Managing Director van Kyndryl Nederland, deelt zijn inzichten over de aard van cyberaanvallen en de weg naar weerbaarheid voor organisaties in deze uitdagende omgeving.

AI als drijvende kracht achter cyberaanvallen Cyberaanvallen worden complexer en de dreiging wordt steeds groter. Tegenwoordig worden veel cyberaanvallen mogelijk gemaakt door AI. Hoewel AI ongetwijfeld voordelen heeft gebracht op het gebied van automatisering en efficiëntie, profiteren kwaadwillende actoren ook van deze technologie. AI maakt de productie mogelijk van realistische audio- en videoclips die echte mensen nabootsen, zoals deepfakes. Hierdoor kunnen aanvallers mensen misleiden tijdens telefoongesprekken door zich voor te doen als iemand die ze kennen. Deze vorm van social engineering maakt het makkelijker voor criminelen om vertrouwelijke informatie te verkrijgen.

Kyndryl Nederland www.kyndryl.com

De geavanceerdheid van dit soort aanvallen zal naar verwachting alleen maar toenemen, waardoor de dreiging de komende jaren zal groeien. Cyberaanvallen vinden ook op grote schaal plaats en overschrijden internationale grenzen. Oorlogen worden niet langer alleen fysiek uitgevochten, maar ook digitaal, waardoor het bedreigingslandschap verder wordt uitgebreid.

Sectorale verschillen in cyberdreigingen

Hoewel sommige sectoren, zoals kritieke infrastructuur en financiële diensten, vaak als bijzonder kwetsbaar worden beschouwd, zijn alle sectoren vatbaar voor cyberaanvallen. Sectoren zoals het midden- en kleinbedrijf (mkb), de gezondheidszorg en het onderwijs onderschatten vaak hun kwetsbaarheid. Deze sectoren beschikken vaak over minder middelen en expertise op het gebied van cyberbeveiliging en veerkracht, waardoor ze een aantrekkelijk doelwit vormen voor aanvallers. Dit wordt nog verergerd door een gebrek aan concrete of bijgewerkte cyberweerbaarheidsplannen, complexe IT-omgevingen en onvoldoende kennis over moderne cyberdreigingen.

Bepaalde sectoren, zoals de financiële dienstverlening, worden ook door regelgeving verplicht om specifieke maatregelen te nemen op het gebied van cyberbeveiliging en -weerbaarheid.

De Digital Operational Resilience Act (DORA) wordt bijvoorbeeld volledig van kracht vanaf januari 2025. Deze regelgeving verplicht bedrijven in de financiële sector om hun operationele weerbaarheid tegen digitale bedreigingen te versterken. Ook de NIS2, de netwerken informatiebeveiligingsrichtlijn die deze maand van kracht wordt, legt strengere eisen op aan een breder scala van industrieën om hun cyberbeveiligingsmaatregelen te verbeteren.

De weg naar weerbaarheid: wat kunnen bedrijven doen?

Een van de meest gestelde vragen die we bij Kyndryl krijgen is: “Welke stappen moeten we nu nemen om onze cyberweerbaarheid te versterken?” Dit benadrukt dat cyberbeveiliging niet langer alleen gaat over preventie, maar over het opbouwen van veerkracht. Cyberweerbaarheid betekent dat bedrijven in staat zijn om snel te herstellen na een aanval en door te gaan met bedrijfskritische processen.

Om veerkracht op te bouwen, moeten bedrijven strategische stappen nemen om zichzelf te beschermen. Bij Kyndryl

ondersteunen we onze klanten door te helpen bij het definiëren van een Minimum Viable Company (MVC). Dit concept omvat het identificeren van de minimale kritische processen en systemen die operationeel moeten blijven tijdens een aanval. Daarnaast adviseren we bedrijven om een digitale kluis (cyber vault) te implementeren. Dit is een beveiligde digitale kluis waarin kritieke gegevens worden opgeslagen, geïsoleerd van het hoofdnetwerk en onzichtbaar voor kwaadwillenden.

Een robuuste cyberbeveiligingsstrategie vereist meer dan alleen preventie. Bedrijven moeten ook een herstelplan hebben dat snel in werking kan treden na een aanval. Het integreren van cyberweerbaarheid in de bredere IT-strategie is hierbij cruciaal. Het doel is om een IT-omgeving te creëren die gemakkelijk en effectief kan worden hersteld na een incident. Dit vereist een nauwe samenwerking tussen IT- en cyberbeveiligingsteams om ervoor te zorgen dat veerkracht een fundamenteel onderdeel wordt van de bedrijfsvoering.

Anticiperen op de toekomst

Bedrijven moeten nu actie ondernemen om hun cyberweerbaarheid te versterken. Het is niet langer de vraag of een bedrijf slachtoffer wordt van een cyberaanval, maar wanneer. Organisaties moeten daarom strategisch investeren in technologieën en plannen om niet alleen aanvallen te voorkomen, maar ook snel te herstellen als ze plaatsvinden. Bij Kyndryl staan we klaar om bedrijven te helpen een veerkrachtige toekomst op te bouwen waarin ze voorbereid zijn op de complexe bedreigingen van vandaag en morgen.

Bedrijven en hun toeleveranciers worden klaargestoomd voor NIS2

ACTUEEL

NIS2 houdt de gemoederen van ondernemend Nederland bezig. Want beveiliging tegen cyberaanvallen is ingewikkeld, complex en best kostbaar. Daarom is het handig als er brancheverenigingen zijn die ondernemingen daarbij helpen.

Ieder bedrijf met meer dan vijftig werknemers, een omzet van €10 miljoen en in een van de achttien bepaalde sectoren valt, zal eraan moeten geloven: NIS2. De term die momenteel in de boardrooms ongetwijfeld de ronde doet. Onder de NIS2-richtlijnen zullen deze bedrijven verplicht maatregelen moeten nemen op het gebied van cybersecurity. De details van de wet worden binnenkort bekend. In het regeerakkoord staat dat de ingangsdatum Q3 2025 zal zijn. Dat betekent hoogstwaarschijnlijk ook dat de Raad van Bestuur en in het bijzonder de CEO verantwoordelijkheid draagt voor de digitale veiligheid, niet alleen van het eigen bedrijf, maar ook binnen de toeleveringsketen. Je moet zorgen dat je leveranciers ook veilig werken en je moet de risico’s in de toeleveringsketen beperken, bijvoorbeeld door een norm op te nemen in de inkoopvoorwaarden. Als bedrijven onderling zaken willen blijven doen, zullen ze elkaar dus vragen moeten stellen over digitale veiligheid. Daarom is het

belangrijk om de IT-infrastructuur veilig te hebben om klanten te behouden.

Samen Digitaal Veilig is een initiatief van MKB-Nederland, VNO-NCW en IVBB, alle nauw betrokken bij ondernemend Nederland en doordrongen van de urgentie van een goede beveiliging tegen cyberaanvallen. Met meer dan 83 brancheorganisaties worden ongeveer 140.000 bedrijven bereikt. Dat is hard nodig, want niet iedereen is al doordrongen van de urgentie wanneer het gaat om NIS2 en andere richtlijnen die op Europees niveau ingevoerd worden om zich te wapenen tegen cyberaanvallen.

Henk Bijsterbosch, verantwoordelijk voor het kennis- en marktpartijen team binnen Samen Digitaal Veilig, werkt er hard aan om de ca. 10.000 - 12.000 bedrijven die hier onder vallen klaar te maken voor NIS2. Daarnaast moeten ook de tienduizenden toeleveranciers en

klanten meegenomen worden. “Er is ook ketenverantwoordelijkheid en dan gaat het om de duizenden toeleveranciers van die bedrijven. Die moeten ook op hun manier compliant zijn als er sprake is van een risico. Als toeleverancier wil je niet een grote klant kwijtraken, dus moeten ook zij proactief zorgen dat ze klaar zijn, en hun cyberveiligheid waarborgen. Een cyberaanval kan namelijk ook via een toeleverancier en dus indirect plaatsvinden.”

binnen

Een cyberaanval kan ook via een toeleverancier en dus indirect plaatsvinden

Samenwerking leidt tot innovatieve oplossingen en het delen van kennis en expertise. Dat is nodig want cybercriminelen innoveren volop. “We zijn nooit klaar. We helpen bedrijven en proberen ze een zachte landing te bezorgen door ze een platform te bieden waar ze in

Samenwerking is de sleutel tot succesvolle cybersecurity

Cybersecurity is de verantwoordelijkheid van iedereen. Het is makkelijk een individuele werknemer de schuld te geven als deze een phishing e-mail opent. Maar samenwerking is juist de sleutel voor een goede digitale beveiliging, zeker nu iedereen en alles met elkaar verbonden is.

Digitaal verantwoord ondernemen, zodat je de partijen waarmee je samenwerkt ook beschermt.” Dat is de mantra van Eelco Stofbergen, directeur Cybersecurity & Compliance bij Sopra Steria en deeltijd docent aan de Hogeschool Utrecht. Met meer dan twintig jaar ervaring in cybersecurity weet hij als geen ander: “Het is de verantwoordelijkheid die je hebt als bedrijf. Je werkt in een keten van toeleveranciers en klanten die ook geraakt kunnen worden door een cyberaanval.”

Structurele aanpak

Het gaat in Nederland best goed met cyberbeveiliging, maar er zijn te veel incidenten die erop wijzen dat er werk aan de winkel is. De NIS2-richtlijn voor bedrijven en bestuurders komt eraan. Aanvallen worden steeds geavanceerder, dus is er een groeiende behoefte aan expertise zoals die

Sopra Steria

van Sopra Steria. Met ‘ethische’ hackers bijvoorbeeld, die controleren of een bedrijf de kroonjuwelen voldoende heeft beveiligd met de juiste applicaties en infrastructuur. Daarnaast helpt Sopra Steria met het inrichten van maatregelen om de weerbaarheid van een organisatie te verbeteren. Een belangrijk onderdeel hiervan is identity & access management, de toegang tot en het beheersen van gegevens. Daarnaast adviseert het bedrijf klanten over het gehele spectrum van cybersecurity, en indien nodig helpt een team van specialisten om de gehele cybersecurity van een organisatie in te richten.

“Bedrijven staan voor veel uitdagingen. De digitalisering gaat steeds sneller en tegelijkertijd worden de aanvallen steeds geavanceerder. Daarbovenop komt ook meer wet- en regelgeving, zoals NIS2. Dus organisatorisch zul je alles op verschillende

niveaus moeten inrichten en de technologie op orde moeten hebben. Bouw je systeem en verdediging gebaseerd op inzicht en niet op angst. Maar dan moet je wel weten wat er goed is, wat er al staat en wat er nog ontbreekt. Structureel aanpakken dus”, aldus Stofbergen.

begrijpelijke taal kunnen voldoen aan de gestelde eisen en een benodigd certificaat kunnen halen als bewijs dat ze veilig werken. Want er komt natuurlijk een hoop op ze af. En met een kwaliteitskeurmerk (NIS2 Quality Mark) kunnen bedrijven laten zien dat ze veilig zijn. Bij de implementatie van NIS2 staat de rol van directies centraal, betoogt Bijsterbosch. “Je wilt het als bedrijf niet meemaken. Het is heel schrijnend als het misgaat. Voor de mensen en de organisatie.”

Het is te makkelijk om mensen de schuld te geven, je zult ze moeten helpen om veilig keuzes te maken

Digitale wapenwedloop

Dat betekent ook het bewustzijn vergroten. Iedereen moet op de juiste manier worden geholpen en niet als zondebok moet worden gezien als het misgaat door het openen van een phishing e-mail, betoogt Stofbergen. “Dat mailtje had eigenlijk al gedetecteerd moeten worden voordat

Eelco Stofbergen, Directeur Cybersecurity & Compliance, Sopra Steria

het bij iemand binnenkomt. En als deze persoon dan klikt, moet er weer een ander systeem zijn om direct te detecteren en handelen. Het is te makkelijk om mensen de schuld te geven, je zult ze moeten helpen om veilig keuzes te maken.”

Hackers staan ook vooraan om innovaties te gebruiken voor eigen gewin, zoals Artificial Intelligence. “Dat gaat aanvallers helpen maar ook de verdediging. Het is een soort wapenwedloop waarin we zitten.”

Vooralsnog doet Sopra Steria er veel aan om de grote organisaties, ministeries en verzekeraars in Nederland te beschermen tegen cyberaanvallen. Dat betreft alles van het vergroten van bewustzijn bij bestuurders tot de security monitoring van de infrastructuur.

De Europese certificering voor NIS2 komt verrassend genoeg uit Nederland

Met de invoering van de nieuwe Europese NIS2-richtlijn komt er een nieuwe norm voor mkb-bedrijven. Dit NIS2 Quality Mark komt verrassend genoeg uit Nederland. Dr. Peter Noordhoek, directeur-secretaris van de Stichting Kwaliteitsinnovatie, stond aan de basis van deze ontwikkeling. We spraken met hem over de voordelen van deze cybersecuritynorm en de groeiende impact van cyberdreigingen op het bedrijfsleven.

Wat is het basisidee achter het NIS2 Quality Mark?

Peter Noordhoek legt uit: “De NIS2 is een wet die heel veel bedrijven en sectoren raakt. Wetten, en er zijn er veel, kunnen lastig zijn voor bedrijven. Brancheorganisaties zijn gewend aan wetten, normen en keurmerken. In dit geval bleek dat er behoefte was aan een vertaling van de wet in een norm. In Nederland alleen al krijgen naar schatting 50.000 tot 70.000 bedrijven direct of indirect te maken met de NIS2. Dat is een gigantisch aantal, en onze uitdaging was om een norm te ontwikkelen die niet alleen effectief, maar ook betaalbaar en toegankelijk is voor al deze bedrijven, ongeacht hun omvang.”

Peter Noordhoek, Directeur-secretaris, Stichting Kwaliteitsinnovatie

Wat is het NIS2 Quality Mark?

“Het NIS2 Quality Mark is vorig jaar gelanceerd voor Nederland en nu verder ontwikkeld. Internationaal gaan was altijd het plan, en nu is het zover. Nederlandse bedrijven zijn sterk internationaal georiënteerd, en als 5e exportland en 8e importland ter wereld is het essentieel dat onze bedrijven voldoen aan de cybersecurity-eisen van internationale partners. NIS2 Quality Mark-certificering helpt bedrijven om aantoonbaar aan cybersecurity eisen te voldoen. Dat is essentieel voor onze internationale concurrentiepositie.”

Slaat het aan? Werkt het?

“Jazeker, het gaat erg goed. We hebben een samenwerking met Samen Digitaal

Veilig. Inmiddels wordt dit door 64 brancheorganisaties (met een bereik van meer dan 100.000 bedrijven) naar hun leden gecommuniceerd als norm. Steeds meer NIS2-bedrijven nemen deze norm op in hun inkoopvoorwaarden. Dat is belangrijk, want daardoor kunnen ze met hun leveranciers blijven samenwerken zonder hen op onnodige kosten te jagen. Tegelijkertijd voldoen ze aan de NIS2wetgeving. Er zijn al veel bedrijven bezig om het te halen, en dat is een goede ontwikkeling.”

Er zijn diverse niveaus, hoe zit dat?

“In de markt zijn er zeer goede, maar best wel zware frameworks en normeringen (zoals NIST, ISO27001 en NEN7510) die geschikt zijn voor grote, complexe organisaties. Daaronder was er niets dat echt breed auditeerbaar was. Nu wel. Wij hebben drie niveaus als ladder naar hogere normen gemaakt. Dat kan, want NIS2 draait om risico en niet ieder bedrijf vormt een even zwaar risico. Dus is daar ruimte, en die hebben we benut. ENISA, het Europese cyberagentschap, heeft enkele jaren geleden de deur opengezet met de aankondiging van getrapte normeringen voor wetten. Heel fijn. Daar plukken we nu de vruchten van.”

“De basisnorm NIS2-QM10 biedt bedrijven de mogelijkheid om met een basisniveau van beveiliging te beginnen. Deze standaard ligt op hetzelfde niveau als wat het Nationaal Cyber Security Centrum (NCSC) op hun website heeft staan en helpt bedrijven direct op weg met de eerste cruciale stappen. In de NIS2 staat de verplichting voor de beveiliging

Stichting Kwaliteitsinnovatie www.nis2qualitymark.eu en www.stichting-kwaliteitsinnovatie.nl

van de toeleveringsketen. Dus NIS2organisaties moeten hun leveranciers controleren als er een risico is. Bij weinig risico is een basisnormering zoals NIS2QM10 voldoende. Is er meer risico, zoals bijvoorbeeld bij IT-bedrijven, dan kunnen bedrijven, afhankelijk van hun risicoprofiel en behoefte, doorgroeien naar QM20 en QM30. Bedrijven kunnen makkelijk hun NIS2 Quality Mark-certificering halen, en deze als bewijs aan hun grote klanten laten zien, en zo voorkomen dat ze deze kwijtraken.”

Wat zijn de belangrijkste voordelen van het NIS2 Quality Mark?

“Het grootste voordeel is de eenvoud en begrijpelijkheid van de norm. Daarnaast is de norm kosteloos te downloaden op onze website. We hebben een structuur gecreëerd die bedrijven snel kunnen implementeren, zonder vast te lopen in complexe certificeringstrajecten die veel tijd en geld kosten. En het is geschikt voor grote en kleine bedrijven.”

Hoe ondersteunt deze norm bedrijven internationaal?

“De norm helpt bedrijven niet alleen om te voldoen aan de nieuwe Europese wet- en regelgeving, maar laat mkbbedrijven ook samenwerken met hun buitenlandse klanten en leveranciers. De eisen vanuit de NIS2 met betrekking tot de toeleveringsketen zijn glashelder. Bedrijven moeten daaraan voldoen om zaken te kunnen blijven doen. Met het NIS2 Quality Mark zorgen we ervoor dat Nederlandse bedrijven klaar zijn om te voldoen aan de cybersecurity-eisen van hun internationale partners.”

Wat was uw specifieke rol in dit proces?

“Ik ben verantwoordelijk voor het bepalen van de inhoud van de norm, maar een norm bouwen doe je niet alleen. Zeker niet als deze internationaal gebruikt moet worden. Ik kan beroep doen op een team van cybersecurity-experts met vele jaren ervaring. Waar het vooral juristen en cybersecurity-experts samen waren die de normniveaus hebben vastgesteld, is het essentieel dat het ook wordt opgeschreven in begrijpelijke taal. Bijvoorbeeld Cees van der Wens (de schrijver van het ISO27001 Handboek) heeft daaraan meegewerkt. Daarna is het verbeterd door partijen zoals EY, BDO en Forvis Mazars om het gewenste kwaliteitsniveau te halen. Het is echt een teaminspanning van meer dan twintig mensen geweest.”

“Mijn rol is vooral om ervoor te zorgen dat de norm niet te ingewikkeld wordt voor mkb-bedrijven, maar tegelijkertijd robuust genoeg blijft om internationale standaarden te waarborgen. Het bestuur van de Stichting Kwaliteitsinnovatie en de normcommissie, een vertegenwoordiging van tien brancheorganisaties, heeft mij gevraagd om de norm zo haalbaar mogelijk te maken met behoud van een hoge kwaliteit. Daar lag mijn aandacht op. We willen bedrijven echt ondersteunen en hen niet laten vastlopen in zware, ingewikkelde normeringen. Dat is gelukt en daar zijn we blij mee.”

Tot slot is het heel goed om te weten dat het nu ook al wordt geïntegreerd door grote partijen zoals Samen Digitaal Veilig, Techone en Bitsight. Iedereen is enthousiast.

Meer vrouwen in Tech: geen droombeeld, maar realistisch streven

MOGELIJKHEDEN

Er bestaat een kantelend perspectief in de IT-sector. Was de combinatie tussen vrouw en een technische baan voorheen relatief zeldzaam, nu beweegt de diversiteit in technische bedrijven de goede kant op. Dat is mede te danken aan initiatieven van vrouwen die al in deze sector werkzaam zijn.

Een van de pioniers die daar een flinke impuls aan heeft gegeven, is Femke Cornelissen. Als voormalig fotograaf kwam ze via een marketingfunctie in de techwereld terecht, waarbij ze tevens direct in contact kwam met de ondervertegenwoordiging van vrouwen. Daarmee zag Cornelissen een duidelijke behoefte: wil je vrouwen kennis laten maken met deze branche, dan zul je ook moeten laten zien hoe leuk werken in Tech kan zijn. “Geen dag is hetzelfde, alles verandert ontzettend snel”, vertelt Cornelissen, die haar eigen enthousiasme tevens benutte als kiem tot oprichting van het Dutch Women in Tech, een platform dat meetups organiseert, inspirerende verhalen deelt en een community creëert voor vrouwen in de IT.

Reputatie

Het platform bestaat nu drie jaar. Oorspronkelijk was het doel om

vrouwen van buiten de techwereld te enthousiasmeren. Die doelstelling staat nog altijd stevig overeind, terwijl het platform daarnaast ook is uitgegroeid tot steunpunt voor vrouwen die al in de sector werken. “Vrouwen die al actief zijn in IT willen ook vaak bijdragen door bijvoorbeeld les te geven op scholen of anderen te inspireren”, legt Cornelissen uit.

“Zonder de steun van onze partners uit de techwereld, hadden we geen activiteiten kunnen organiseren”, zegt Cornelissen. Zo biedt het platform onder andere meetups, met technische en persoonlijke ontwikkelingssessies om vrouwen te inspireren bij hun carrière in de techsector. Een van de meest succesvolle initiatieven is het ‘Women in Cyber’-programma, waarbij vrouwen wereldwijd kennismaken met cybersecurity en de kans krijgen om certificaten te behalen. “Vorig jaar deden er bijna tweehonderd vrouwen aan mee, van Zwitserland, Duitsland, zelfs vanuit Australië en de VS.”

Voorzichtig optimisme

Vrouwen die al actief zijn in IT willen vaak anderen inspireren

Dutch Women in Tech heeft inmiddels een dusdanige reputatie opgebouwd dat diverse techpartners participeren om evenementen financieel mogelijk te maken:

Cybersecurity vereist een doordacht legal incident response plan

Cyberaanvallen en datalekken staan bovenaan de lijst van risico’s die bestuurders de meeste zorgen baren. Datalekken zijn aan de orde van de dag en cyberaanvallen nemen steeds meer toe. Wanneer er een datalek of een cyberattack plaatsvindt, is de hulp van experts onontbeerlijk om verdere schade te voorkomen.

De wereld verandert razendsnel, en met technologieën als AI zijn er nieuwe uitdagingen, zeker voor bedrijven die beschermd willen worden tegen cyberattacks en hun privacygevoelige data willen beveiligen. Natascha van Duuren is partner en advocaat IT, Privacy

& Cybersecurity bij De Clercq. Ze is specialist op het gebied van privacy en cybersecurity, adviseert bedrijven en springt in wanneer er een cyberattack of datalek plaatsvindt.

Voortdurend updaten

“Bedrijven moeten constant alert zijn en hun beveiligingsmaatregelen voortdurend updaten om cybercriminelen voor te blijven”, stelt ze. “Bestuurders moeten tegenwoordig een certificaat halen om over kennis en vaardigheden op het gebied van cybersecurity te beschikken. Met de nieuwe richtlijnen die vanuit Europa opgelegd worden, is dat zelfs wettelijk verplicht. Bestuurders - zoals een CEO - zijn niet alleen verantwoordelijk, maar kunnen ook aansprakelijk worden gesteld. Wij geven boardroomtrainingen om ze zo goed mogelijk voor te bereiden, en ze te helpen hun verantwoordelijkheid te nemen.”

De oprichting van het platform heeft duidelijk bijgedragen aan bewustwording, toch benadrukt Cornelissen dat er nog veel werk aan de winkel is. Inclusiviteit en diversiteit zijn weliswaar topics in veel bedrijven, de representatie van vrouwen in de techsector vraagt nog steeds om een impuls. “Je ziet op sommige conferenties maar twee procent vrouwen. Met Dutch Women in Tech proberen we dit te doorbreken door als groep naar deze evenementen te gaan en vrouwen met

elkaar te verbinden”, waarbij Cornelissen benadrukt dat ze veel hulp krijgt van vrijwilligers die volop tijd investeren in de community.

Op conferenties zie je misschien twee procent vrouwen

Blijft de vraag natuurlijk wat de toekomst gaat brengen. Cornelissen is daar voorzichtig optimistisch over. Ze verwacht niet dat het platform direct een ommekeer gaat brengen, maar blijft zich wel inzetten om meer vrouwen naar te techsector te halen. “Als we vrouwen kunnen helpen hun droombaan te vinden of verder te groeien in hun carrière, dan hebben we ons doel al bereikt.”

Tekst: Hugo Schrameyer

Van Duuren doelt op de NIS2 en DORA regelgeving, die al snel in werking zal treden in Nederland en waar bedrijven aan zullen moeten voldoen. “Het is essentieel om een gedetailleerd informatiebeveiligingsplan te hebben dat niet alleen technische maatregelen omvat, maar ook organisatorische en juridische aspecten.”

Response plan

Wanneer een cyberincident zich voordoet, is een snelle en effectieve reactie essentieel. Van Duuren benadrukt het belang van een goed doordacht incident response plan. “Bedrijven moeten weten wie ze moeten contacteren, welke stappen ze moeten nemen en hoe ze de schade kunnen beperken. Daarnaast is het belangrijk om de juiste juridische stappen te ondernemen om verdere schade te voorkomen en aansprakelijkheid te beperken.” Maar dat moet al aan de voordeur geregeld zijn, aldus van Duuren. “Een veelvoorkomende fout is het

ontbreken van duidelijke afspraken over taken en verantwoordelijkheden. Zowel intern als extern. Het is cruciaal om hier vooraf heldere afspraken over te maken, zodat snel gehandeld kan worden, in ieder geval binnen de termijnen die daarvoor gelden.”

Van Duuren adviseert en helpt ngo’s, startups, beursgenoteerde bedrijven alsook internationale publiekrechtelijke organisaties. Al zijn de meeste bedrijven en instellingen wel doordrongen van de urgentie, soms schrikt Van Duuren echter nog wel eens van wat ze aantreft als er een incident is geweest of als ze een bedrijf doorlichten. Toch is de meerderheid van de bedrijven nu goed doordrongen van de noodzaak om intern de cybersecurity op orde te hebben. Mocht er alsnog iets gebeuren, dan staat het team van De Clercq 24/7 klaar. Met de beschikking over een uitgebreid netwerk met forensische cybersecurity specialisten en andere adviseurs, kan er snel geschakeld worden.

De kans dat een organisatie slachtoffer wordt van een cyberaanval is aanzienlijk. Volgens sommige onderzoeken zelfs een kans van 1:5. Het is daarom terecht dat de wetgever de verantwoordelijkheid voor een dergelijk groot risico bij de bestuurder legt.

Bescherming van endpoints tegen cyberaanvallen

Cyberbeveiliging draait om technologieën, training en governance. Voor een complete cyberbeveiligingsstrategie zijn er, als het gaat om tools en technologieën, verschillende benaderingen mogelijk, afhankelijk van de prioriteiten van de organisatie. Het wordt echter aanbevolen te beginnen met het beschermen van endpoints (werkstations en servers), aangezien dit het belangrijkste toegangspunt is voor veel cyberdreigingen. Dit komt voornamelijk doordat ze worden gebruikt door veel verschillende medewerkers binnen het bedrijf, van wie de meesten nog niet goed getraind zijn in cyberveiligheid.

Sterke beveiligingsmaatregelen op de werkstations, de endpoints, zijn essentieel. Dit betekent dat technologieën in staat moeten zijn om abnormaal gedrag of verdachte bestanden te detecteren en direct waarschuwingen uit te sturen om gepaste acties te ondernemen. Het gaat erom dat cybersecurity-experts de beste tools krijgen, zodat ze zich kunnen richten op de belangrijkste dreigingen.

Dit is de aanpak waar het Franse bedrijf HarfangLab zich al jaren op richt om bedrijven te helpen de risico’s van cyberaanvallen te verminderen: Endpoint Detection and Response, of ‘EDR’ in de terminologie van het ecosysteem. EDR is een combinatie van verschillende complementaire tech-

HarfangLab

www.harfanglab.io

nologieën, maar er zijn mensen nodig om deze technologieën te lezen, te monitoren en te reageren op de waarschuwingen die worden uitgestuurd. Bij HarfangLab werkt dit vrij simpel: een enkele agent wordt geinstalleerd op alle endpoints van het bedrijf en scant elke activiteit. Aangedreven door sterke intelligentie detecteert het alles wat ongebruikelijk of abnormaal is, evenals gegevens die overeenkomen met bekende dreigingspatronen. Maar vandaag gaat het bedrijf verder en voegt het een EPP-technologie toe aan zijn portfolio. Met dit Endpoint Protection Platform zal de efficiëntie van de EDR worden verbeterd, omdat bekende dreigingen automatisch worden gedetecteerd en geblokkeerd dankzij de op handtekeningen gebaseerde detectiemotor.

Met deze EPP kunnen malware-aanvallen worden geblokkeerd voordat ze het endpoint bereiken, nog voordat een gebruiker op een kwaadaardige link kan klikken. “Op deze manier wordt de dreiging geelimineerd voordat deze gevaarlijk wordt. De medewerker kan niet eens op de link klikken omdat onze software deze al als malware heeft gedetecteerd. In de cybersecurityketen worden mensen vaak gezien als de zwakste schakel.”

We spraken met Anouck Teiller, Chief Strategy Officer bij HarfangLab, een Frans bedrijf dat nu zijn vleugels uitslaat over Europa. Ze legt uit hoe HarfangLab zich richt op het bieden van efficiënte maar toegankelijke cyberbeveiligingstechnologieën aan Europese MKB-bedrijven, die vaak niet beschikken over het kapitaal en de mankracht om de nieuwe, geavanceerde cyberaanvallen aan te pakken. “Het MKB vormt de ruggengraat van de economie. Bovendien zijn ze als leveranciers en klanten onderdeel van een grotere keten en kunnen ze daardoor worden gebruikt als toegangspoort tot grotere bedrijven.”

Grotere MKB-bedrijven zullen ook moeten voldoen aan de NIS2-regelgeving, die bestuurders rechtstreeks verantwoordelijk stelt voor tekortkomingen in cyberveiligheid. “Deze regelgeving komt op het juiste

Postgres verbeteren met extensies

Open source software klinkt ideaal, en dat is het ook: code die openbaar toegankelijk is en waaraan iedereen met de juiste vaardigheden kan bijdragen. Het is een vorm van idealisme, maar het heeft ook een enorme impact op de zakenwereld. Sommige bedrijven gaan zelfs een stap verder door het ecosysteem te verrijken en uit te breiden, wat echte waarde toevoegt voor bedrijven wereldwijd.

PostgreSQL, vaak Postgres genoemd, is een bekende term onder softwareontwikkelaars. Voor wie er minder bekend mee is: het is een gratis, open-source relationele database die consequent wordt beoordeeld als een van de Meest Gewaardeerde en Geliefde Databases volgens de Stack Overflow Enquêtes van 2023 en 2024.

Dankzij een grote gemeenschap en een licentie die innovatie stimuleert, is Postgres een hoeksteen geworden van modern databeheer. Maar de groei wordt ook aangedreven door bedrijven zoals EnterpriseDB (EDB), die een belangrijke rol spelen in de ontwikkeling en het geschikt maken van Postgres voor zakelijk gebruik.

EDB gebruikt Postgres niet alleen, maar is ook een leidende bijdrager. Het breidt de mogelijkheden van Postgres uit om te voldoen aan de complexe behoeften van moderne bedrijven. Met meer dan 1.500 klanten wereldwijd—waaronder financiële instellingen, overheden, IT-bedrijven en mediabedrijven—is EDB een vertrouwde naam voor grootschalige implementaties van Postgres.

“We hebben een groot aandeel in deze markt. Ongeveer een derde van de code die door bedrijven wordt bijgedragen aan Postgres komt van EDB”, zegt Driss

Chhayra, Sales Manager voor NoordEuropa. “Dit betekent dat we uitgebreide ondersteuning bieden om ervoor te zorgen dat Postgres robuust genoeg is voor zakelijk gebruik.”

AI en Analytics: De Toekomst van Moderne Applicaties

Een van de grootste aanjagers van de groei van Postgres is de populariteit onder ontwikkelaars. De gratis aard van de software, gecombineerd met zijn uitgebreide functieset, maakt het de favoriete keuze voor meer dan 35% van de ondernemingen die hun volgende project plannen. Maar wat echt spannend is, is de manier waarop Postgres zich ontwikkelt. Een van de belangrijkste innovaties is de toevoeging van AI- en Analyticsfunctionaliteiten, mogelijk gemaakt door

moment, omdat het gaat om het beschermen van het gehele ecosysteem, en dit hangt samen met governance. NIS2 biedt de kans om cyberbeveiliging als prioriteit te positioneren in de bestuurskamers en zo de algehele cyberweerbaarheid van bedrijven te verbeteren. Dit is nu kritischer dan ooit, nu AI en nieuwe technologieën het aanvalsoppervlak verder vergroten. Het is een eeuwig kat-en-muisspel tussen aanvallers zoals cybercriminelen en verdedigingsbedrijven zoals HarfangLab. Zij zitten niet stil, en wij ook niet. Meestal haasten we ons om een stap voor te blijven op de technieken van de aanvallers, maar het is een continu onderzoek- en ontwikkelingsproces; we moeten altijd up-to-date blijven.”

In de huidige internationale context zijn vertrouwen en flexibiliteit ook cruciaal voor bedrijven, en dit is waar HarfangLab een specifieke inzetstrategie biedt die aan elke eis kan voldoen. “Een van onze unieke verkoopargumenten is dat we onze technologieën kunnen implementeren in de gewenste omgeving van de organisaties. Dit kan in elke cloudomgeving of on-premise voor degenen die alles intern beheren, met dezelfde functionaliteiten. Dit is waar we ons echt onderscheiden van de concurrentie.”

EDB, die Postgres transformeert tot een platform dat is gebouwd voor de volgende generatie van moderne, intelligente applicaties.

“AI genereert enorm veel data, en snelheid is cruciaal. Als een systeem een vraag krijgt, moet het direct antwoord geven”, legt Kevin Li, sales engineer lead EMEA, uit. “Met onze extensies kan Postgres nu AI en Analytics combineren op één platform, waardoor bedrijven sneller en preciezer toegang krijgen tot hun data. De prestaties zijn baanbrekend.”

Deze toevoegingen zijn meer dan alleen technische upgrades; ze maken het mogelijk voor bedrijven om applicaties te bouwen die slimmer, responsiever en toekomstbestendiger zijn. Real-time analyses, voorspellende modellen en complexe datavisualisaties zijn nu mogelijk - al binnen een geïntegreerd en veilig systeem.

Risicomanagement cruciaal bij verdediging tegen cyberaanvallen

UITDAGINGEN

De combinatie van steeds complexere cyberaanvallen en de nieuwe richtlijnen waaraan bedrijven moeten voldoen, veroorzaakt zorgen in bestuurskamers van ondernemers en overheidsinstellingen. Proactief verdedigen met het juiste risicomanagement is de beste strategie, vinden experts.

Bescherming tegen cyberaanvallen vergt investering in IT-beveiliging en het vergroten van bewustzijn en weerbaarheid in de organisatie. Hiervoor moet je als organisatie beschikken over een goed systeem van risicomanagement. Dat is althans de mening van Jasper Nagtegaal, directeur Digitale Weerbaarheid bij RDI, de Rijksinspectie Digitale Infrastructuur. De RDI houdt toezicht op de uitvoering van de nieuwe Cyberbeveiligingswet die voortvloeit uit de tweede Europese Network and Information Directive, ook bekend als NIS2. De RDI verstrekt onder meer frequenties voor mobiele communicatie, en houdt daar toezicht op. Daarnaast houdt de RDI toezicht op de (cyber)veiligheid van apparatuur en werkt ze aan de beschikbaarheid en betrouwbaarheid van de digitale infrastructuur van Nederland.

Nagtegaal vertelt: “De richtlijnen vormen een operationele uitdaging. Iedereen vraagt zich af: wat moeten we

nu doen? Je ziet brancheverenigingen nu in een hoog tempo ondernemers de tools aanreiken. Je moet investeren in IT, bewustzijn en weerbaarheid, maar uiteindelijk gaat het ook om risico’s.

Bestuurlijke verantwoordelijkheid is een belangrijk thema binnen NIS2 en de bestuurder moet in staat zijn om een geïnformeerd besluit te nemen over de cyberveiligheidsmaatregelen. Het risicomanagement is echter ook belangrijk, net als de verantwoordelijkheid die je als bedrijf hebt in een keten waar je onderdeel van uitmaakt. Voor een cyberaanval op een essentieel proces of systeem is een ‘entry’ op een ogenschijnlijk minder belangrijk systeem potentieel al genoeg om een keten binnen te dringen.”

De NIS2-richtlijn stelt duidelijke kaders waarbinnen organisaties hun zaken op orde moeten hebben. Dat geldt zeker voor de bestuurskamer waarin de CEO direct verantwoordelijk wordt gesteld voor digitale

calamiteiten, indien blijkt dat de beveiliging niet op orde was. Dit vereist training en het voortdurend updaten van bestaande kennis, want de ontwikkelingen gaan razendsnel. Cybercriminelen – en naties die zich met cyberaanvallen bezighouden – zitten immers niet stil en staan soms zelfs vooraan waar het gaat om innovatie.

Je moet investeren in IT, bewustzijn en weerbaarheid, maar uiteindelijk gaat het ook om risico’s

In de bestuurskamers moet men nadenken over het te beschermen product en risico’s. “Kijk dus niet alleen naar de IT-kant, maar naar de algehele digitale weerbaarheid van je organisatie. Het merendeel van de uitval wordt nog altijd veroorzaakt door onbedoelde fouten, niet door actieve dreigingen. Weerbaarheid gaat ook over de opleiding van medewerkers

en over de mate van afhankelijkheid van dienstverleners. Hoe verkrijg je vertrouwen, assurance, over de wijze waarop een toeleverancier omgaat met jouw risico’s? Het gebruik van certificeringen kan daar mogelijk bij helpen. Indien noodzakelijk, hoe snel heb je een alternatief voorhanden? En mocht het misgaan, hoe weerbaar ben je dan? Wat heb je georganiseerd als er een digitale calamiteit plaatsvindt en wat is je herstelplan? Welke maatregelen staan klaar om schade te beperken?”

Het zijn de vragen waar ondernemers en RDI nu druk mee bezig zijn, en voorlopig blijven. De innovaties, onder andere met AI, gaan razendsnel. Het is dus zaak bij te blijven en als bestuurder continu te blijven leren en de juiste vragen te stellen, besluit Nagtegaal. En belangrijk: er zijn diensten die zich bezighouden met toezicht op en bescherming van de essentiële sectoren, als energie, waterschappen, transport, voedsel en telecom. Naast de RDI zijn dat bijvoorbeeld het NCSC en het DTC. Werk goed en nauw met hen samen.

Commissarissen moeten zich verdiepen in de digitale supply chain

Digitalisering van diensten en producten in combinatie met de uitbesteding van IT aan derden maakt organisaties onderling afhankelijk. Cyberincidenten bij ogenschijnlijk minder belangrijke leveranciers elders in de supply chain raken niet alleen het individuele bedrijf, maar kunnen hele ketens, sectoren en zelfs delen van de maatschappij ontwrichten. Dit probleem heeft de aandacht van de Europese en nationale regelgevers getrokken, wat heeft geresulteerd in een tsunami van nieuwe regelgeving. De toegenomen afhankelijkheid en de eisen voor aantoonbare compliance aan deze regels vragen om gerichte aandacht van senior management en toezichthouders.

Houden commissarissen zich al bezig met de digitale betrouwbaarheid van de diensten of producten die geleverd worden?” Met deze vraag begint Jan Matto over de toenemende gevolgen van cyberrisico’s in de supply chain. Hij spreekt namens NOREA, de beroepsorganisatie van alle geregistreerde IT-auditors in Nederland, en is partner bij Forvis Mazars. “Allereerst gaat het om de reputatie en continuïteit van de organisatie zelf. Als een organisatie haar cybersecurity niet op orde heeft, vormt zij een gevaar voor afnemers en andere stakeholders

verderop in de keten. Beheersing van cyberrisico’s is daarmee een license to operate geworden.”

Matto vervolgt: “Zelfs de Europese Commissie spreekt over systemische risico’s van digitalisering voor onze economie en samenleving.” Om deze risico’s te verminderen zijn DORA (Digital Operational Resilience Act) en NIS2 (Network and Information Security directive 2) aangekondigd. Hierin wordt niet alleen de verantwoordelijkheid voor de beheersing van cyberrisico’s in de bestuurskamer gelegd, maar wordt ook

geëist dat over de gehele supply chain de beheersing van cyberrisico’s aantoonbaar is.”

Toezichthouders, zoals de Rijksinspectie Digitale Infrastructuur, kunnen verantwoordingsdocumentatie opvragen. “De vrijblijvendheid is er niet meer”, benadrukt Matto. “De uitdaging is dat management haar cyberrisico’s aantoonbaar beheerst.” Matto legt uit dat de nieuwe regelgeving maatregelen voorschrijft voor risicoanalyses in de supply chain, afspraken met ketenpartijen en het uitvoeren van tests en audits. “Er is sprake van een veelheid van rapportages die met deze regelgeving nog verder dreigt te worden uitgebreid. Omdat er opmerkelijk genoeg geen bruikbare rapportagestandaard bestaat, heeft NOREA de IT-verslaggevingsstandaard ontwikkeld.” Hierdoor kunnen organisaties, voor intern en extern gebruik, transparant rapporteren over de beheersing van hun digitale risico’s. “Met deze rapportagestandaard kunnen

de ketenpartijen, op een efficiënte wijze, de vereiste inzichten onderling delen en verkrijgt de toezichthouder meer transparantie over de daadwerkelijke risico’s voor de digitale infrastructuur. En juist dat inzicht hebben commissarissen vanuit hun verantwoordelijkheid ook nodig.”

Cloud en AI ook belangrijk in de publieke sector

Publieke Sector en lokale overheden in Nederland werken met de cloud en kunstmatige intelligentie (AI).

Wanneer zij hulp nodig hebben bij ingewikkelde compliance en soevereiniteitseisen om data te beschermen, kan hulp van een ervaren partij als Amazon Web Services (AWS) de oplossing zijn.

Koploper in Europa

De cloud en AI zijn onderdeel van het leven geworden en zorgen voor geweldige innovatie. De cloud biedt schaalbaarheid, elasticiteit, kostenefficiëntie, innovatiekracht en toegang tot geavanceerde infrastructuur, zonder grote investeringen in eigen datacenters. AI verbetert vooral de efficiëntie van overheidsprocessen.

Nederland loopt in Europa voorop als het gaat om het behalen van de ‘Digital Decade’ doelstellingen van de Europese Commissie (EC), waarbij 40% van de Nederlandse bedrijven in 2023 al gebruik maakt van AI, hoger dan het Europese gemiddelde van 33%. De publieke sector staat nog aan de vooravond van diezelfde sprong.

Stephano Bosman van AWS is verantwoordelijk voor de dienstverlening aan de publieke sector in Nederland. AWS levert cloud-initiatiefdiensten voor overheden, onderwijs, gezondheidszorg en non-profitorganisaties en helpt bij het opbouwen van hun cloud-infrastructuur.

“Wij faciliteren infrastructuur, denk aan beheerde databases en SaaS-diensten zoals klantcontactsystemen. 90% van onze innovaties komen voort uit de behoeften van klanten, de overige 10% zijn dingen die we van klanten horen, waarbij ze misschien niet precies verwoorden wat ze willen, maar we tussen de regels door kunnen lezen komen wat ze nodig hebben. In 2023 zijn er op die manier meer dan

3.400 features en functies gelanceerd.” Met het Nederlandse Publieke Sectorteam werkt Bosman onder andere voor bibliotheken, ziekenhuizen, defensie, centrale, regionale en lokale overheden. Kostenbesparing, wendbaarheid, flexibiliteit en veiligheid zijn de grootste voordelen van een efficiënt beheerde cloud in binnen- en buitenland.

Leren en innoveren

Het team van Bosman heeft gewerkt aan een raamovereenkomst met de Nederlandse centrale overheid en aan projecten variërend van het verbeteren van de digitale dienstverlening aan burgers tot het ondersteunen van onderzoek dat tot wetenschappelijke doorbraken kan leiden. Zo heeft Bosman binnen de Erasmus Universiteit Rotterdam en het Radboud UMC zelf gezien hoe cloud technologie de manier waarop we leren, genezen en innoveren kan transformeren. De ontwikkelingen in de cloud gaan snel en met AI is het alleen maar complexer geworden, aldus Bosman. “Met name het generatieve aspect van AI is enorm innovatief. Mensen onderschatten dat soms, maar het begint allemaal met data. Als dat niet op orde is, geldt dat ook voor de output. Binnen AWS hebben we onze eigen generatieve AI-oplossingen, zoals Amazon Bedrock.”

“Er zitten veel voordelen aan AItoepassingen. Neem bijvoorbeeld de

snellere afhandeling van civiele zaken via een zelfbedieningsloket bij gemeenten. Op het gebied van stikstofdepositie zijn er overheidsvoorbeelden rond het doorrekenen van verbeterd bodembeheer.

Ook toepassingen in het onderwijs zijn talrijk”, aldus Bosman. “Deze AItoepassingen vereisen rekenkracht en AWS heeft veel geïnvesteerd om dat te bieden.”

Als Nederland dit adoptieniveau tot 2030 kan vasthouden, zal AI €230 miljard toevoegen aan de Nederlandse economie, zo blijkt uit onderzoek van Strand & Partners in opdracht van AWS. “We spelen hierop in door speciale cloudoplossingen te bouwen op klantlocaties.”

Zorgen over datasoevereiniteit kunnen verdere adoptie vertragen.

“AWS biedt de meest uitgebreide reeks soevereiniteitscontroles binnen de cloud. Klanten hebben volledige controle over de locatie, opslag en overdracht van hun gegevens, én de AWS cloud is per definitie soeverein ontworpen. AWS-services ondersteunen encryptie; of gegevens nu onderweg, opgeslagen of in-memory zijn, met door de klant beheerde encryptiesleutels zijn data niet toegankelijk voor derden. Ook niet voor AWS. Versleutelde gegevens zijn namelijk onleesbaar zonder de bijbehorende sleutel, die in het bezit is van de klant zelf. Dit betekent dat alleen de klant zelf volledige controle heeft over wie toegang heeft tot haar gegevens.” aldus Bosman.

Samenwerking, ethiek en ESG

AWS werkt ook in de private sector, waar bedrijven vaak met meerdere AI-projecten tegelijk experimenteren. Het World Economic Forum verwacht in de komende vijf jaar een grote impact van digitale technologieën op de werkgelegenheid, waarbij AI naar verwachting een netto positief effect van 25,6% op de banengroei zal hebben. De grootste uitdaging voor Nederland, en specifiek voor de publieke sector, is het dichten van de kloof tussen ambitie en

operationele realiteit. Bosman: “We zijn als land nog steeds georganiseerd in silo’s met te weinig digitale vaardigheden; in de publieke sector en elders moeten deze silo’s worden doorbroken. Alleen dan kun je de bedrijfsvoering harmoniseren en

AWS stimuleert de economische ontwikkeling door te investeren in infrastructuur, banen en vaardigheden in gemeenschappen en landen in heel Europa

optimaliseren. Samenwerken dus.”

“Met beveiliging en privacy, een keuze uit toonaangevende ‘large language’ basismodellen, een data-first-aanpak en de meest effectieve, betaalbare infrastructuur, vertrouwen organisaties erop dat AWS alles levert wat klanten nodig hebben om (generatieve) AI-aangedreven innovatie te versnellen.” zegt Bosman. “Daarnaast speelt ethiek een rol, en is voorzichtigheid geboden als het om AI gaat.” meent Bosman. “Amazon heeft zijn kaders en standaarden vastgelegd in onze Responsible AI Policy.”

Feiten:

Sinds 2006 is Amazon Web Services de meest uitgebreide en breed toegepaste cloud ter wereld. AWS speelde een sleutelrol in de ITtransformatie van de Oekraïense regering kort voor de Russische invasie. Het platform biedt een breed scala aan diensten, waaronder opslag, IoT, messaging, beveiliging, mobiel en nog veel meer. AWS heeft haar prijzen sinds 2006 134 keer verlaagd en levert in totaal ruim 240 diensten aan bedrijven in alle sectoren.

Obligaties 6% rente

Rendement uit duurzame infrastructuur

Fastned is een van de snelst groeiende bedrijven in de markt van opladen van elektrische auto’s en exploiteert inmiddels een netwerk meer dan 300 snellaadstations in Nederland, Duitsland, België, Frankrijk, Denemarken, Zwitserland en Verenigd Koninkrijk. Hiermee komt Fastned tegemoet aan de energievraag van het snel toenemende aantal elektrische auto’s. Fastned levert uitsluitend hernieuwbare energie. U kunt nu bijdragen aan de energietransitie door te investeren in Obligaties Fastned. Inschrijven kan tot en met 30 oktober, 12:00 uur.

Kijk voor meer informatie, het prospectus en om te investeren op www.fastned.nl/fd

Heeft u vragen, mail dan naar obligaties@fastned.nl of bel +31 (0)20 7055349 (ook ‘s avonds en in het weekend)

Beleggen in welke vorm dan ook brengt financiële risico’s met zich mee. Door te investeren in Obligaties Fastned loopt u het risico op verlies van (een gedeelte van) uw inleg. Voordat u investeert dient u kennis te hebben genomen van de inhoud van het door de AFM goedgekeurde prospectus en volledig begrip te hebben van de potentiële risico’s en voordelen. De goedkeuring van het prospectus mag niet worden beschouwd als aanprijzing van de aangeboden effecten. De directe link naar het prospectus is www.fastned.nl/prospectus.