Dossier Security & Privacy 2023 | November 2023 | ChannelConnect is een uitgave van iMediate
DOSSIER
2023
SECURITY & PRIVACY Highlights Vooruitblik Cybersec 2023: ‘Dit is hét cybersecurity-event van het jaar’ ChannelConnect | Dossier Security & Privacy | November 2023
Pagina 26
Rittal: ‘Fysieke ITsecurity begint met bewustwording’ Pagina 34
7 tips voor een veilige omgang met API’s Pagina 40
‘Het draait om processen, techniek en mensen’ Grotetafelgesprek over trends, ontwikkelingen én de impact van cybersecurity op het mkb in Nederland Pagina 16
CC_DossierSecurity23_Cover.indd 1
10/18/2023 4:53:51 PM
Reserveer nu jouw plek in één van de C DISTRIVISIE
TRENDS IN ICT
WWW.CHANNELCONNECT.NL
CC_DossierSecurity23_Advertenties.indd 2 pagina's ADV_Aankondiging CC december.indd Alle
10/18/2023 3:14:09 PM
e ChannelConnect December Specials CLOUDTRANSFORMATIE
HARDWARE & PERIPHERAL Verschijningsdatum: 30 november 2023 Geïntereseerd om deel te nemen? Mail dan uiterlijk 3 november naar: sales@channelconnect.nl CC_DossierSecurity23_Advertenties.indd 3
10/18/2023 3:14:10 PM 18-10-2023 12:34
SEE YOU AT CYBERSEC N
1 – 2 NOVEMBER 2023 | JAARBEURS UTRECHT
CC_DossierSecurity23_Advertenties.indd 4 ADV Cybersec.indd 2-3
10/18/2023 3:14:11 PM
C NETHERLANDS 2023!
Meet us at: stand 03.B005 opposite the terrace
ChannelConnect
CC_DossierSecurity23_Advertenties.indd 5
10/18/2023 3:14:11 PM 18-10-2023 11:52
Simplify Your Cybersecurity with WatchGuard’s Unified Security Platform
NETWORK SECURITY
MULTI-FACTOR AUTHENTICATION
SECURE WI-FI
ENDPOINT SECURITY
Satisfy all your customers’ cybersecurity needs with ONE Unified Security Platform enabling correlated insights and streamlined management.
CLARIT Y & CONTROL • COMPREHENSIVE SECURIT Y • SHARED KNOWLEDGE • OPERATIONAL ALIGNMENT • AUTOMATION
Smart Security, Simply Done. BeNeLux Sales: sales-benelux@watchguard.com
Tel.: +31 (0)70 - 711 20 85
www.watchguard.com
©2022 WatchGuard Technologies, Inc. All rights reserved. WatchGuard, the WatchGuard logo, Firebox, and AuthPoint are registered trademarks of WatchGuard Technologies, Inc. in the United States and/or other countries. All other tradenames are the property of their respective owners. Part No. WGCE67548_031122
CC_DossierSecurity23_Advertenties.indd 6
10/18/2023 3:14:13 PM
VOORWOORD | ARNOLD LE FÈBRE Arnold is Platform Manager van ChannelConnect Reageren? Mail naar arnold.lefebre@imediate.nl
Bewustwording
D
e afgelopen jaren heb ik heel wat gesprekken gevoerd over security en het is grappig om te merken hoe ze allemaal op dezelfde manier eindigen. Je kunt nog zo’n hechte verdedigingslinie hebben opgezet, met tal van slimme tools en autorisatie-mechanismen, uiteindelijk draait het om de gebruikers zelf. Of beter gezegd: hun bewustwording. Dit klinkt misschien als een open deur, maar die deur staat nu al zo lang open dat de scharnieren verroest zijn en de verf van het hout is afgebladderd. In een grijs verleden werkte ik als systeembeheerder voor een platenmaatschappij en was het onder meer mijn taak om ervoor te zorgen dat iedere pc werd voorzien van de juiste updates. Nu had ik een scriptje kunnen schrijven om dit proces te automatiseren, maar het was veel leuker (en gezelliger) om bij iedereen langs te gaan. In bijna alle gevallen hoefde ik niet te vragen om een inlogwachtwoord; het stond op een post-it die op de rand van het scherm of onder het toetsenbord was geplakt. Wanneer ik daar wat van zei, was het antwoord vaak: ‘Ach, ik heb niets te verbergen.” De post-its met wachtwoorden mogen dan inmiddels verdwenen zijn, het is nog altijd vrij eenvoudig om iemands wachtwoord te ontfutselen, binnen te dringen in het bedrijfsnetwerk of anderszins illegale praktijken te ontplooien. Zo was onze uitgever onlangs een paar dagen op vakantie in Londen. Net in die periode kregen diverse collega’s een mail die van hem afkomstig leek te zijn, met de boodschap dat hij een paar dagen in het buitenland zat en zijn creditcard was verloren. Wie kon er even wat geld overmaken? Plausibel verhaal, zo op het oppervlakkige eerste gezicht. Als je echter de meegestuurde link wat nauwkeurig bestudeerde, zag je direct dat het foute boel was. Nu zijn wij natuurlijk niet van gisteren, maar één moment van onoplettendheid of een mail die toevallig nóg beter aansluit op de actualiteit en de cybercrimineel heeft zijn doel bereikt. Is het dan vechten tegen de bierkaai? Een cybersecuritywedstrijd die we uiteindelijk verliezen? Ik heb goede hoop voor de toekomst. Zo kwam mijn zesjarige dochter onlangs opgetogen uit school. Ze zit in groep drie en had voor het eerst enkele rekenoefeningen gemaakt op de Chromebook. Om in te loggen, heeft ieder kind zijn of haar eigen dierenicoontje, legde ze uit. ‘En wat is die van jou?’ vroeg ik nieuwsgierig. ‘Dat ga ik natuurlijk niet vertellen’, antwoordde ze gedecideerd. ‘Dat is geheim. Zo weet de computer dat ik het ben.’ Ze keek me vorsend aan. ‘En als ik zou vertellen wat mijn diertje is, wat ga je er dan mee doen?’ Bij ChannelConnect blijven we onze lezer – de IT-dienstverlener met focus op het mkb – voorzien van informatie over security. En daarbij is dit dossier rond Security & Privacy onmisbaar. We hopen daarmee jou als IT-dienstverlener te kunnen helpen jouw klanten te helpen! Veel leesplezier gewenst en misschien zien we elkaar tijdens de eerste editie van Cybersec Netherlands, op 1 en 2 november in de Jaarbeurs Utrecht.
ChannelConnect November 2023
CC_DossierSecurity23_editorial.indd 7
7
10/18/2023 5:11:38 PM
NOVEMBER 2023
INHOUD SECURITY & PRIVACY DOSSIER
26
CYBERSEC 2023
Op 1 en 2 november komen alle experts op het gebied van cybersecurity samen in de Koninklijke Jaarbeurs voor de Cybersec Nederland 2023. Mick den Dijker, Exhibition Manager bij CyberSec, licht alvast een tipje van de sluier op. ‘Dit is hét cybersecurityevent van het jaar!’
32
EXERTIS ENTERPRISE
Het is aan distributeurs om de markt te voorzien van de benodigde oplossingen voor cybersecurity. Maar hoe zorg je ervoor dat ook mkb-bedrijven toegang krijgen tot technologie die cruciaal is in de bescherming van data en infrastructuren? Samen met haar partners biedt Exertis Cybersecurity een compleet gamma aan oplossingen.
34
GROTETAFELGESPREK: FYSIEKE IT-SECURITY
Cyberincidenten komen bijna dagelijks in het nieuws. Het belang om hardware-devices goed te beschermen en de impact van falende fysieke IT-security wordt zelden belicht. Zes professionals gingen hierover met elkaar in gesprek.
8
16
GROTETAFELGESPREK
Traditiegetrouw organiseerde ChannelConnect een uitgebreid Grotetafelgesprek rond het thema Security & Privacy. We gingen in discussie met zes specialisten op het gebied van IT-security. “MSP’s moeten zich concentreren op hun specialiteit en samenwerken met collega’s om een compleet aanbod aan te bieden.”
ChannelConnect
November 2023
CC_DossierSecurity23_inhoud.indd 8
10/18/2023 4:55:00 PM
COLOFON Scan de QR-code om je aan te melden voor de nieuwsbrief of ga naar onze website. Volg ons ook op:
ChannelConnect is hét platform voor het IT-partnerkanaal. ChannelConnect informeert zijn lezers dagelijks via het magazine, de Dossiers, de website ChannelConnect.nl, de e-mailnieuwsbrief en via de sociale mediakanalen. In 2023 verschijnt het magazine 6 keer per jaar. Daarnaast brengen we drie keer een Dossier uit met de onderwerpen: Datacenter & Cloud, Telecom, VoIP & UC en Security & Privacy. Rond deze onderwerpen worden de zogenoemde Grotetafelgesprekken georganiseerd.
ADRES iMediate BV Arendstraat 33b 1223 RE Hilversum Telefoon: 035 646 5800 redactie@channelconnect.nl UITGEVER Joost Driessen PLATFORM MANAGER Arnold le Fèbre EINDREDACTIE Marcel Debets WEBREDACTIE Arnold le Fèbre, Marcel Debets REDACTIE & MEDEWERKERS Cas Spiertz, Michiel van Blommestein, Mels Dees, Martijn Vet
40 API’S
API’s zorgen voor de connectie tussen een applicatie en andere programma’s en platforms. Dat maakt ze tot een interessant doelwit voor cybercriminelen. Ms(s)p’s kunnen daarop inspelen. We geven 7 tips voor een veilige omgang met API’s.
MANAGER CLIENT SERVICES Yvonne Schouren ART DIRECTION Rik van den Berg VORMGEVING & DTP Tim van den Berg en Martin Wolber ADVERTENTIE- EXPLOITATIE Tarik Lahri (tarik.lahri@imediate.nl) Mitchel van der Heide (mitchel.vanderheide@imediate.nl) DRUK Vellendrukkerij BDU, Barneveld
CHANNELCONNECT IS EEN UITGAVE VAN:
EN VERDER 10 28 30 42 44 46 48 51 52 54
UPDATE: SECURITY- EN PRIVACY-NIEUWS SECURITY IN HET MKB CLARANET ESET NEDERLAND WIRELESS LOGIC BENELUX WATCHGUARD FORTINET BTSOFTWARE SONICWALL COLUMN MELS DEES
ChannelConnect mag niet worden gereproduceerd, geheel noch gedeeltelijk, zonder schriftelijke toestemming vooraf van de uitgever. ChannelConnect is niet aansprakelijk voor eventuele onjuistheden in deze uitgave. ChannelConnect is niet verantwoordelijk voor handelingen van derden, welke mogelijkerwijs voortvloeien uit het lezen van deze uitgave. ChannelConnect behoudt zich het recht voor om ingezonden materiaal zonder kennisgeving vooraf geheel of gedeeltelijk te publiceren. Lezersservice Voor onze wekelijkse e-mail nieuwsbrief kunt u zich (gratis) aanmelden via de website: www.channelconnect.nl Hier kunt u dagelijks terecht voor nieuws, achtergronden, marktcijfers, opinie en video-interviews. Voor het wijzigen van adresgegevens en/of overige vragen kunt u contact opnemen met onze abonnementen-administratie via: redactie@channelconnect.nl of 035 646 5800 ChannelConnect, ISSN 2211-825X
ChannelConnect November 2023
CC_DossierSecurity23_inhoud.indd 9
9
10/18/2023 4:55:12 PM
UPDATE Elke werkdag is op channelconnect.nl het actuele nieuws uit het ICT-kanaal te lezen. Schrijf je daar ook in voor onze gratis nieuwsbrief.
95%
Bijna alle malware verbergt zich achter encryptie Maar liefst 95% van de malware vindt momenteel zijn weg naar slachtoffers via versleutelde verbindingen. Dat concludeert WatchGuard Technologies in zijn meest recente Internet Security Report. De meeste malware verschuilt zich achter SSL/ TLS-encryptie die wordt gebruikt door beveiligde websites. Organisaties die geen inspectie uitvoeren op dit verkeer, missen hoogstwaarschijnlijk de meeste malware, schrijft het bedrijf. Bovendien daalde het aantal detecties van zero-day malware naar 11% van het totale aantal malwaredetecties. “Dit is het laagste niveau ooit. Echter, bij het inspecteren van malware via versleutelde verbindingen, steeg het aandeel van detecties van malware die pogingen doen om detectie te omzeilen tot 66%. Hieruit blijkt wel dat aanvallers nog steeds geavanceerde malware leveren via voornamelijk encryptie.” De detectie van malware op endpoints is in Q2 met 8% gedaald ten opzichte van Q1 van dit jaar. Malware-aanvallen waren de afgelopen periode gemiddeld wel grootschaliger dan in het eerste kwartaal. Zo steeg het aantal malwaredetecties ontdekt door 10 tot 50 WatchGuard-systemen met 22%. Malwarecampagnes die door 100 of meer WatchGuard-systemen werden gedectecteerd, groeiden met 21%. Het aantal aanvallen met dubbele afpersing door ransomwaregroepen is in het afgelopen kwartaal met 72% gestegen. De onderzoekers registreerden 13 nieuwe ransomwarebendes. Deze toename van dubbele afpersing ging gepaard met een daling van 21% in het aantal ransomwaredetecties op eindpunten in vergelijking met het vorige kwartaal en een daling van 72% ten opzichte van vorig jaar.
10
NCSC, DTC en CSIRT-DSP nu achter één loket De drie overheidsorganisaties die zich bezighouden met cybersecurity gaan zich omvormen naar één organisatie. Dit moet eind 2025 een feit zijn. In de tussentijd is de samenwerking geïntensiveerd. Het NSCS, DTC en CSIRT-DSP zijn vanaf nu onder één loket te bereiken. Het Nationaal Cyber Security Centrum (NCSC), onderdeel van het ministerie van Justitie en Veiligheid, het Digital Trust Center (DTC) en het Computer Security Incident Response Team voor digitale diensten (CSIRT-DSP), beide onderdeel van het ministerie van Economische Zaken en Klimaat, werken vanaf nu intensief samen om ervoor te zorgen dat elke organisatie of bedrijf in Nederland, publiek of privaat, vitaal of niet-vitaal en klein en groot wordt gewaarschuwd als ze slachtoffer of doelwit zijn van een cyberdreiging. Dit ‘beter zicht op de dreiging’ is één van de speerpunten van de Nederlandse Cybersecuritystrategie. Dagelijks ontvangt de overheid informatie over kwetsbare of gehackte systemen. Als er bij de overheid informatie bekend is over een cyberdreiging voor een organisatie of bedrijf in Nederland, dan verzendt de overheid een waarschuwingsbericht. De waarschuwing kan gericht zijn aan de netwerkeigenaar of de (eind)gebruiker van het kwetsbare systeem. Nu zijn er nog drie verschillende afzenders van deze notificaties omdat elke cyberorganisatie een eigen doelgroep bedient. Het NCSC waarschuwt vitale bedrijven, de rijksoverheid en schakelorganisaties. Het CSIRT-DSP waarschuwt digitale serviceproviders en het DTC waarschuwt de rest van het Nederlandse bedrijfsleven. Na de integratie van deze drie cyberorganisaties eind 2025 zal er maar één afzender zijn. In de tussentijd is ervoor gekozen om nu al te gaan werken met één loket waar cyberdreigingen en incidenten kunnen worden gedeeld. Dit loket is ondergebracht bij het NCSC als nationale CERT en het is bereikbaar via cert@ncsc.nl. Het NCSC beoordeelt de kwaliteit van de melding en activeert het notificatieproces bij de drie organisaties. Ook op andere vlakken is er al samenwerking tussen de drie cyberorganisaties. Ze maken onder meer gebruik van elkaars IT-systemen.
ChannelConnect
November 2023
CC_DossierSecurity23_Update.indd 10
10/18/2023 4:04:32 PM
SECURITY & PRIVACY DOSSIER
19%
19% van de kleine bedrijven neemt geen cybermaatregelen Een vijfde van de kleine bedrijven onderneemt geen enkele actie om veilig online te zijn. Van alle uitgevraagde vormen van cybercriminaliteit komt phishing het vaakst voor in de werksituatie. Zes op de tien medewerkers doet geen melding of aangifte als zij te maken krijgen met cybercriminaliteit. Dit blijkt uit de resultaten van het Cybersecurity Onderzoek Alert Online 2023. Het jaarlijks terugkerende bewustwordingsonderzoek wordt uitgevoerd door I&O Research in opdracht van het Ministerie van Economische Zaken en Klimaat. Een vijfde van alle medewerkers vindt de eigen kennis over digitale veiligheid ‘(zeer) goed’. Dit is een verslechtering ten opzichte van een jaar geleden. De helft van de ICTverantwoordelijken schatten hun kennis als ‘(zeer) goed’ in. Wel achten medewerkers en ICT-verantwoordelijken het ten opzichte van afgelopen jaar vaker aannemelijk om in werksituaties met hacking te maken te krijgen. Er is een duidelijk verschil te zien in de bekendheid van cybersecuritytermen tussen reguliere medewerkers en ICT-verantwoordelijken. Van alle voorgelegde vormen van cybercrime is social engineering zowel bij medewerkers als ICT-verantwoordelijken het minst bekend. Phishing is bij bijna alle (99%) ICT-verantwoordelijken en medewerkers (94%) bekend.
Mkb onderschat nog steeds risico’s cybersecurity Het mkb onderschat nog steeds hoeveel risico kleinere bedrijven lopen om in aanraking te komen met hackers en aanvallen. Deze beperkte risicoperceptie staat ook dit jaar op de eerste plaats in de Top 3 Cyber-kwetsbaarheden van het mkb, volgens onderzoek van ThreadStone. “Nog steeds wordt er te vaak gedacht: een cyberaanval overkomt ons niet, ons bedrijf is te klein of niet interessant genoeg”, zegt het bedrijf. Deze ‘optimism bias’ vergroot de kans om slachtoffer te worden van cybercriminelen. “Vaak komen organisaties pas in actie als er dichtbij een aanval is, bijvoorbeeld bij een concurrent.” Op de tweede plaats staat volgens ThreadStone het feit dat de meeste bedrijven de basismaatregelen niet op orde hebben. “Deze bedrijven komen vaak niet verder dan een antivirusoplossing en een regelmatige back-up. Deze beveiligingsmaatregelen stammen uit de vorige eeuw, inmiddels zijn er echt aanvullende maatregelen nodig. Daarbij gaat het om meer geavanceerde EDR-oplossingen, een uitgebreide back-upstrategie, meervoudige authenticatie en remote managementtooling.” De derde plek wordt ingenomen door het gebrek aan bewustzijn bij medewerkers over wat te doen wanneer een cyberincident plaatsvindt.
ESET threat data feeds nu beschikbaar in Microsoft Sentinel De zes ’threat intelligence data feeds’ van ESET zijn vanaf nu beschikbaar binnen de SIEM/SOAR-oplossing Sentinel van Microsoft. Daarbij maakt ESET gebruik van de ingebouwde TAXII-client van Sentinel. De gegevens komen vervolgens beschikbaar voor SOC-analisten voor verdere opsporing en analyse. De ESET-gegevens waar het om gaat zijn gebaseerd op de Malware and Threat Research-stamboom. ESET maakt hierbij gebruik van telemetrie die onder meer gevoed wordt door zijn bestand van geïnstalleerde gebruikers. Veel daarvan bevinden zich in regio’s die volgens het bedrijf door de meeste concurrenten niet worden bediend. Zo ontdekte ESET onder meer GreyEnergy, BlackEnergy, Industroyer, NotPetya en andere wiper malware aan het begin van de Russische invasie in Oekraïne. Met wereldwijde bezorgdheid over dreigingen vanuit de oorlog in Oekraïne wil het bedrijf ‘prioriteit gegeven aan snelle ondersteuning voor ondernemingen’. “De integratie geeft ook ons pad aan naar het ondersteunen van naadloze interactie tussen onze data, interne tools en SIEM en SOAR-tools van derden – te beginnen met Microsoft Sentinel.”
ChannelConnect November 2023
CC_DossierSecurity23_Update.indd 11
11
10/18/2023 4:04:42 PM
Een maand lang jouw vacature in de spotlight!
1 MAAND LANG ZICHTBAARHEID OP: • www.channelconnect.nl (20.000 bezoekers per maand) • elke dag in de CC-nieuwsbrief (7.000+ e-mailadressen) • push via social media kanalen VOOR €400 PER MAAND
Geïnteresseerd om jouw vacature te plaatsen op hét ict-platform? Mail dan naar sales@channelconnect.nl
CC_DossierSecurity23_Advertenties.indd 12
ChannelConnect 10/18/2023 3:14:20 PM
SECURITY & PRIVACY DOSSIER Rotterdam. Protected. Niet lullen maar poetsen, liever samen dan alleen. Deze mentaliteit vormt de drijvende kracht achter Rotterdam. Protected., een nieuw publiek-privaat samenwerkingsverband dat zich ten doel stelt om een veiliger Rotterdam te realiseren, zowel offline als online. Rotterdam. Protected. positioneert zich als een beweging die streeft naar een stad waar elke burger, ongeacht leeftijd of achtergrond, beschermd en versterkt toegang heeft tot de digitale wereld. Voetbalclub Sparta Rotterdam zet haar invloed in voor een veiliger digitaal Rotterdam. In de straten van de stad worden de activiteiten van Sparta Rotterdam, waarbij ze direct in contact staan met de jeugd, nu gecombineerd met de expertise van de digitale wijkagenten van de politie. In het project “Rotterdam @ School” bundelen ESET in Nederland, Hackshield en de politie hun krachten om gastlessen over digitale criminaliteit te verzorgen “Met “Rotterdam. Protected.” slaan we een belangrijke brug tussen maatschappelijke betrokkenheid en digitale veiligheid,” stelt Martine Kester, woordvoerder bij Politie Eenheid Rotterdam. “Het partnerschap met de Betrokken Spartaan (Sparta Rotterdam), Hackshield, de politie, de Gemeente Rotterdam en de Veiligheids Alliantie Regio Rotterdam tilt onze bestaande projecten naar een hoger niveau. Ons doel is duidelijk: een veilige en inclusieve digitale toekomst voor alle Rotterdammers. Deze samenwerking stelt ons in staat om de uitdagingen van digitale criminaliteit effectiever aan te pakken en de digitale kloof te dichten.”
DTC komt met cybersubsidie voor kleine bedrijven Om te achterhalen of het wegnemen van financiële knelpunten kleinere bedrijven kan helpen om meer te doen aan cybersecurity, wil het Digital Trust Center een pilot doen met subsidie. Micro- en kleine ondernemingen kunnen via de subsidieregeling ‘Mijn Cyberweerbare Zaak’ subsidie krijgen voor de kosten van de aanschaf en implementatie van één of meer cruciale cyberweerbaarheidsmaatregelen. Hieronder vallen bijvoorbeeld het inrichten van back-ups, een wachtwoordmanager en het laten uitvoeren van een risico-inventarisatie. De subsidie bedraagt 50% van de kosten die een IT-dienstverlener rekent, met een maximum van €1.250 per aanvrager. Bedrijven kunnen éénmalig een beroep doen op deze subsidieregeling. Het aanvragen van deze investeringssubsidie kan tot 1 november 2023, 17.00 uur. Het beschikbare subsidiebudget voor Mijn Cyberweerbare Zaak is €300.000. Dit budget wordt verdeeld op volgorde van binnenkomst van de aanvragen totdat het budget op is. Het DTC komt met drie stappen voor de aanvragers. Bij de eerste stap kunnen bedrijven een pdf downloaden met een algemene inventarisatie, die moeten leiden tot een actielijst. De tweede stap is het benaderen van een leverancier van IT-beveiligingsdiensten. De laatste stap bestaat uit de aanvraag van de subsidie en het uploaden van de actielijst en offerte(s) bij de Rijksdienst voor Ondernemend Nederland (RVO).
Security-keurmerk voor ict-leveranciers Er zijn nieuwe ontwikkelingen op het gebied van het beoogde security-keurmerk voor ict-leveranciers. Het Kabinet stuurt daarbij aan op een algemeen keurmerk voor ict-leveranciers. Dit staat in een brief van demissionair minister Micky Adriaansens van EZK aan de Tweede Kamer. In november vorig jaar nam de Kamer een motie aan waarin het kabinet werd gevraagd om een eenduidig mkb-keurmerk voor ict-bedrijven. Brancheorganisaties zagen daar niets in, omdat volgens hen mkb-bedrijven onderling teveel verschillen. Er komt nu een security-keurmerk voor alle ict-dienstverleners, ongeacht de grootte van de bedrijven die ze bedienen. Daarmee gaan ook de brancheorganisaties akkoord. Adriaansens gaat subsidie verstrekken aan het plan Kwaliteitspreventie van het Centrum voor Criminaliteitspreventie en Veiligheid (CCV). Volgens haar sluit dit initiatief het meest aan op de wensen van de brancheorganisaties. Het CCV werkt daarbij samen met het Digital Trust Center (DTC) en het initiatief ‘Samen Digitaal Veilig’ van VNO-NCW/MKB-Nederland. De bedoeling is dat bedrijven in het mkb zo gemakkelijker een keuze kunnen maken voor een ict-dienstverlener, waarbij doorslaggevend kan zijn hoe goed de dienstverlener zijn eigen beveiliging op orde heeft. Ict-dienstverleners kunnen zich zo onderscheiden. Het is de bedoeling dat het keurmerk over een jaar of twee wordt ingevoerd.
ChannelConnect November 2023
CC_DossierSecurity23_Update.indd 13
13
10/18/2023 4:04:49 PM
UPDATE Samenwerking Fortinet en Wiz voor bescherming cloud workloads Fortinet en Wiz zijn een samenwerking aangegaan op het gebied van cloud workloads security. Wiz is daarvoor lid geworden van het Fortinet Fabric-Ready Technology Alliance Partner Program, en Fortinet neemt op zijn beurt deel aan het Wiz Integration (WIN)-programma. De twee bedrijven willen zo een geïntegreerde oplossing ontwikkelen die bedrijven moet helpen met het beschermen van hun workloads in de cloud. Bedrijven kunnen het platform van Wiz gebruiken om hun cloudinfrastructuur laag voor laag te scannen en zo beveiligingsrisico’s voor hun cloudapplicaties detecteren. De integratie moet het mogelijk maken om de inzichten die het Cloud Native Application Protection Platform aanreikt te gebruiken als input voor de Security Fabric van Fortinet. Toepassing van beveiligingsregels kunnen dan worden geautomatiseerd voor bescherming van de cloudomgeving. FortiGate VM en FortiGate CNF kunnen daarbij zorgen dat verkeer van en naar virtuele machines in cloudomgevingen is toegestaan of wordt geblokkeerd. In de toekomst willen beide bedrijven meer integraties en gebruiksscenario’s ontwikkelen.
Chinese malware duikt vaker op Sinds begin dit jaar wordt een toename waargenomen in de verspreiding van malware per mail die in verband wordt gebracht met vermoedelijke Chinese cybercrime activiteiten. Dat blijkt uit cijfers van Proofpoint. Het gaat om de Sainbox Remote Access Trojan (RAT), een variant van de commodity trojan Gh0stRAT, en de recent geïdentificeerde ValleyRAT-malware. Deze malware kwam jarenlang niet voor in de data van Proofpoint. Het verschijnen ervan in meerdere campagnes in het afgelopen half jaar noemt het bedrijf daarom extra opmerkelijk. Over het algemeen zijn de campagnes kleinschalig en worden verspreid naar organisaties wereldwijd, die actief zijn in China. De onderwerpen en inhoud van de e-mails zijn meestal in het Chinees en hebben betrekking op zakelijke onderwerpen, zoals facturen, betalingen en nieuwe producten. De opkomst en opleving van zowel nieuwe als oudere malware met een Chinees thema laat een nieuwe trend zien in heel het dreigingslandschap van 2023. Een mix van historische malware, zoals Sainbox – een variant van de oudere Gh0stRAT-malware, en de onlangs ontdekte ValleyRAT, kan de dominantie van de Russische cybercrime markt in het dreigingslandschap uitdagen. De malware met het Chinese thema is momenteel vooral gericht op gebruikers die waarschijnlijk Chinees spreken.
14
ChannelConnect
November 2023
CC_DossierSecurity23_Update.indd 14
10/18/2023 4:05:05 PM
SECURITY & PRIVACY DOSSIER Onderwijssector slachtoffer ransomware-aanvallen Sophos, aanbieder van cybersecurity-as-a-service, heeft een onderzoeksrapport uitgebracht waaruit blijkt dat het onderwijs in 2022 het hoogste percentage ransomware-aanvallen rapporteerde. In het afgelopen jaar meldde 79% van de ondervraagde organisaties in het hoger onderwijs en 80% van de organisaties in het lager onderwijs getroffen te zijn door ransomware. Dit is een stijging ten opzichte van respectievelijk 64% en 56% in 2021. Daarnaast rapporteerde de sector een van de hoogste betalingspercentages voor losgeld: meer dan de helft (56%) van de organisaties in het hoger onderwijs en bijna de helft (47%) van de organisaties in het lager onderwijs betaalden het losgeld. Het betalen van het losgeld verhoogde de herstelkosten aanzienlijk voor zowel de organisaties in het hoger als lager onderwijs. De herstelkosten (exclusief betaald losgeld) voor organisaties in het hoger onderwijs die losgeld betaalden, bedroegen 1,2 miljoen euro bij het betalen van losgeld versus 900.000 euro bij het gebruik van back-ups.
Check Point neemt SaaSbeveiliger Atmosec over Securityleverancier Check Point Software kondigt de overname van Atmosec aan. Atmosec is een start-up gespecialiseerd in bescherming tegen kwaadaardige SaaSapplicaties. Met Atmosec’s technologie moeten organisaties in staat worden gesteld om cyberaanvallen op hun SaaS-ecosysteem te voorkomen: het ontdekken en loskoppelen van kwaadaardige applicaties, het voorkomen van communicatie met risicovolle applicaties van derden en het herstellen van SaaS-misconfiguraties. Check Point wil de technologie van Atmosec toevoegen aan zijn Infinity SaaS-beveiliging. Nieuwe mogelijkheden zullen stapsgewijs worden vrijgegeven op basis van mijlpalen in de roadmap, zodat organisaties gebruik kunnen maken van de Atmosec functionaliteit vanuit het Check Point Infinity-platform. Atmosec is opgericht in januari 2021 en heeft 17 medewerkers in dienst.
1 miljoen
Nederlandse overheid trekt 1 miljoen uit voor cybersecurity Het ministerie van Economische Zaken en Klimaat (EZK) en de Europese Commissie stellen bijna 1 miljoen euro beschikbaar voor Nederlandse mkbondernemers en onderzoekers die cybersecurity-projecten verder willen ontwikkelen. “De financiering is bedoeld voor projecten die bijdragen aan de thema’s automatisering van bestaande cyberbeveiligingsoplossingen, behoud en scholing van personeel, veilig en privacyvriendelijk delen van data en nieuwe kleinschalige cybersecurity-oplossingen ontwikkelen of opschalen”, aldus het ministerie. Ondernemers kunnen de subsidie bijvoorbeeld gebruiken om personeel op te leiden of te investeren in producten die de veiligheid verbeteren. De subsidies komen uit de Cybersecurity Innovation Fund-regeling (CIF-NL), die wordt gecoördineerd door NEXIS, het Nederlandse loket voor cybersecurity-innovatie, en RVO. Ondernemers kunnen tot 2 november een subsidieaanvraag indienen. In totaal is er 930.000 euro beschikbaar. Per project kan een bedrag van minimaal € 25.000 en maximaal €75.000 aangevraagd worden NEXIS is onderdeel van het nieuwe EU-brede netwerk van 27 nationale loketten, aangestuurd door het European Cybersecurity Competence Centre (ECCC). NEXIS heeft als doel om kennisuitwisseling en innovatie op het gebied van cybersecurity binnen Nederland en Europa te stimuleren. NEXIS is in opdracht van het ministerie van EZK opgericht en wordt mede gefinancierd door de EU.
ChannelConnect November 2023
CC_DossierSecurity23_Update.indd 15
15
10/18/2023 4:05:13 PM
CHANNELCONNECT
GROTETAFELGESPREK
GROTETAFELGESPREK SECURITY & PRIVACY
‘Kijk naar de drieeenheid processen, techniek en mensen’ 16
ChannelConnect
November 2023
CC_DossierSecurity23_Grotetafelgesprek.indd 16
10/18/2023 3:19:57 PM
’
SECURITY & PRIVACY DOSSIER
MSP’s en MSSP’s (providers die zich exclusief met security bezighouden) moeten continu inspelen op veranderingen in de markt en op mkb-gebied. Met zes specialisten op het gebied van IT-security ging de redactie van ChannelConnect uitgebreid in discussie. “MSP’s moeten zich concentreren op hun specialiteit en samenwerken met collega’s om een compleet aanbod aan te bieden.” Tekst: Mels Dees | Fotografie: iMediate | Steven van Kooijk
ChannelConnect November 2023
CC_DossierSecurity23_Grotetafelgesprek.indd 17
17
10/18/2023 3:20:08 PM
CHANNELCONNECT
GROTETAFELGESPREK “Richt je op je sterke kanten, specialiseer je, maar probeer wel te kiezen voor een segment dat over een paar jaar nog bestaat”
O
peningsvraag: waar moet een MSP of MSSP op dit moment van wakker liggen? “De partner moet zijn klanten duidelijk maken, dat ze onderdeel zijn van een grotere supply chain,” trapt Michael van der Vaart, Chief Experience Officer bij ESET, af. “Maar de partners moeten het bij zichzelf ook goed geregeld hebben.” Met dat laatste doelt Van der Vaart niet alleen op het feit dat ook een MS(S) P aangevallen kan worden, maar tevens dat de software die ze gebruiken om hun eindklanten te managen kwetsbaarheden kan hebben. Kortom: ook de partner is onderdeel van een supply chain. Bart Jacobs, Commercieel Directeur bij Claranet Benelux, werkt zelf voor een MSP. “Nu lig ik niet zo snel wakker, maar het is inderdaad zaak dat een MSP zich ervan bewust is een draaischijf te zijn tussen leveranciers en eindklanten.” Met die eindklant heeft de MSP natuurlijk een aanbieder-afnemer-relatie. “We moeten die klant wel meenemen op het gebied van security, hij mag er niet vanuit gaan dat wij alles oppakken. Zo zal het bedrijf er zelf ook voor moeten zorgen compliant te zijn.” Waar Jacobs zich wel zorgen over maakt is het vinden van goede mensen. Dat wordt door de meeste aanwezigen herkend.
18
“Security is voor MSP’s van groot belang,” geeft Sander Bakker, Sales Manager bij eSentire aan. Eindgebruikers zijn in dat opzicht afhankelijk van de MSP’s. “Wij leveren onze diensten aan MSP’s, opdat zij die kunnen aanbieden aan hun eindklanten.” Bakker refereert daarbij aan de verzuchting van Jacobs: MSP’s hebben niet altijd voldoende kennis of personeel in huis om het hele security-landschap 24/7 in te vullen. “Via ons kunnen ze over meer dan tweehonderd analisten beschikken.” Marcel Reugebrink, Algemeen Directeur van 2Staff, deelt een andere uitdaging voor partijen in de markt. “MSP’s bieden heel veel diensten en de complexiteit in en van IT neemt ongelofelijk toe. Dat betekent dat er een spagaat ontstaat tussen het aantal aanvallen dat ze kunnen waarnemen en analyseren en het aantal mensen dat ze ter beschikking hebben.” Daarbij wijst Reugebrink erop dat veel datacontacten tussen medewerkers van een bedrijf en de buitenwereld niet via een MSP lopen. “Denk aan sensorinformatie via een door leverancier geplaatste 5G netwerkcommunicatie zonder dat de MSP daarvan af weet.” Jacobs (Claranet) reageert daar direct op: “Dat is een groot probleem in de maakindustrie.
ChannelConnect
November 2023
CC_DossierSecurity23_Grotetafelgesprek.indd 18
10/18/2023 3:20:19 PM
SECURITY & PRIVACY DOSSIER
Deelnemers aan het
Grotetafelgesprek Jeffrey Rijpkema Vice President of Sales bij Tekle en lid van de advisory board van de MSSP’s Malcrove en Podictive. Eerder werkte Rijpkema voor verschillende MSP’s.
Marcel Reugebrink Algemeen Directeur van 2Staff, Masters in Security Operations. 2Staff levert specialisten die bedrijven digitaal veiliger kunnen maken.
Operationele Technologie (OT) raakt steeds vaker het IT-netwerk. Daar is niet iedereen zich van bewust.” Voor Aeiko van der Made, Lead Consultant bij OpenText Cybersecurity, is op dit moment Intrusion Detection van het grootste belang. “Hoe zorg je er nou zo snel mogelijk voor dat je optimaal gepositioneerd bent als er een aanvaller in het netwerk zit.” Te vaak wordt een dergelijk incident te laat gedetecteerd. “Als je dat als MSP overkomt heb je echt wel een probleem.” Jeffrey Rijpkema, Vice President of Sales bij Tekle gaat hierop in. “Het is als de schilder die zelf in een huis woont waar de verf afbladdert.” Rijpkema kent de MSP- en MSSP-sector van binnenuit. “Dat wat ze de klanten adviseren implementeren ze zelf lang niet altijd. Wat dat betreft kan de invoering van NIS2, waarmee MSP’s nadrukkelijk te maken krijgen, een positief effect hebben.” Een onderwerp om wakker van te liggen is volgens Rijpkema het feit dat organisaties steeds vaker gebruikmaken van automated responses. “Dit, omdat mensen niet langer de kennis hebben, of er te weinig personeel is om alles te overzien. Dan wordt al snel gebruik gemaakt van scripts. Daardoor kun je belangrijke signalen missen of te laat zien.”
Bart Jacobs Commercieel Directeur bij Claranet Benelux, een MSP die in elf landen actief is, met onder meer specialisten op het gebied van networking en security. Aeiko van der Made Lead Consultant bij OpenText Cybersecurity. Het bedrijf helpt organisaties van elke omvang hun meest waardevolle en gevoelige informatie te beschermen door middel van een breed scala aan state-of-the-art back-up en securityoplossingen.
Michael van der Vaart Chief Experience Officer bij ESET. Hij werkte eerder onder meer als CTO van ESET in Nederland.
Sander Bakker Sales Manager bij eSentire. Het Canadese bedrijf is leverancier van Managed Detection & Response (MDR) security-oplossingen.
ChannelConnect November 2023
CC_DossierSecurity23_Grotetafelgesprek.indd 19
19
10/18/2023 3:20:33 PM
CHANNELCONNECT
GROTETAFELGESPREK
Stelling 1: We hebben AI en ML nodig om de met AI gegenereerde spam te bestrijden. Volgens Jacobs (Claranet) is dit inderdaad al voor een groot deel werkelijkheid. “Als je kijkt naar security-oplossingen voor e-mail dan vind je weinig producten op de markt die geen machine learning aan boord hebben.” Er is echter zeker sprake van ethische uitdagingen bij de automatisering van een dergelijke oplossing. Van der Vaart (ESET) geeft aan dat zijn onderneming al sinds 1995 gebruik maakt van ML in security-oplossingen. De stelling geeft volgens hem wel een ontwikkeling aan. “Namelijk: het bericht dat je gaat ontvangen is lastiger van echt te onderscheiden. Dat betekent dat je in het traject voordat de ontvanger het in de mailbox vindt moet ingrijpen. Je moet het op een andere manier afvangen, en daar kun je zeker ML of AI voor inzetten.” Bakker (eStentire) wil het breder trekken dan spam alleen. “Cybercriminelen hebben altijd de modernste technieken ingezet bij alles wat ze doen, en dat gebeurt nu nog. De volgende stap zal kwantumcomputing zijn. De vraag is daarom steeds hoe wij onze reactie op die bedreigingen kunnen versterken.” Het is een wapenwetloop, merkt Van der Made (OpenText) terecht op. “Daar is ook
20
aan onze kant steeds meer computing power voor nodig.” Dit overigens in combinatie met het trainen van eindgebruikers in het herkennen van dreigingen. Verschillende bedrijven aan tafel bieden dat aan. Jacobs: “Ook daarbij wordt steeds vaker gebruik gemaakt van AI en ML. Daardoor kun je mensen heel gericht trainen in realistische situaties.” Reugebrink (2Staff) vraag zich af of de hoeveelheid spam daalt. “Richten criminelen zich inmiddels niet vaker heel getarget op hun slachtoffer?” Volgens anderen is dat verschil niet zichtbaar. Het gaat om verschillende niveaus, van gelegenheidscriminelen die spam-as-a-service loslaten op een groot aantal slachtoffers, tot beroepscriminelen en statelijke actoren die heel gericht ageren. Van der Vaart (ESET): “Die eerste groep blijft groot en wil met weinig werk snel geld verdienen. En daarbij is eigenlijk ieder communicatiekanaal een manier om gebruikers te bereiken.” Dat laatste herkent Rijpkema: “Zelfs via mijn LinkedIn-account ontvang ik continu spam. Via platformen als Facebook en Teams komt minstens zoveel malware op ons af als via de meer traditionele kanalen.”
ChannelConnect
November 2023
CC_DossierSecurity23_Grotetafelgesprek.indd 20
10/18/2023 3:20:41 PM
SECURITY & PRIVACY DOSSIER “De partner moet zijn klanten duidelijk maken, dat ze onderdeel zijn van een grotere supply chain”
Stelling 2: De impact van NIS2 zal groot zijn voor MSP’s, zonder dat ze er beter van worden. De stelling adresseert een nog onduidelijk onderwerp. Het is immers nog niet bekend hoe de NIS2-regelgeving er in Nederland uit gaat zien. Het wachten is nog steeds op een consultatieronde door de overheid, maar die werd inmiddels drie keer uitgesteld. Nederland zal waarschijnlijk de deadline niet halen waardoor volgend jaar mogelijk de algemenere Europese richtlijn (tijdelijk) in ons land gaat gelden. Toch is er al wat te zeggen over de impact van NIS2 op MSP’s. Jacobs, werkzaam bij Claranet, een MSP, reageert als eerste. “We zijn met name bezig met de ketenaansprakelijkheid die NIS2 met zich meebrengt en waarover ik het aan het begin van deze sessie al had.” MSP’s kunnen zeker een rol spelen bij het informeren en adviseren van de eindklant, en moeten zelf ook hun zaken op orde hebben. Rijpkema (Tekle) vraagt zich in dat verband af, of een MSP dan bij de onboarding anders naar nieuwe klanten zal kijken. “Security is de rode draad in ons verhaal,” antwoordt Jacobs. “Wil een eindklant daar niet in mee dan zullen we daar strikt op zijn.” Hij ziet dat eindklanten er in veel ge-
vallen nog lang niet klaar voor zijn. “En dan heb ik het ook over bijvoorbeeld zorginstellingen.” Van der Vaart (ESET) stelt de vraag hoe MSP’s dit onderwerp interessant maken voor de eindgebruikers. Het heeft immers meer een bestuurlijk dan een technisch kader. Reugebrink (2Staff ) reageert hierop. “Ook heel kleine ondernemingen kunnen straks onder NIS2 vallen. Het is van belang er steeds op te wijzen dat de directie verantwoordelijk en hoofdelijk aansprakelijk is. Volgens NIS2 dient het bestuur risicobeheermaatregelen op het gebied van cyberbeveiliging goed te keuren en toezicht te houden op de implementatie ervan. De richtlijn geeft aan dat het bestuur van essentiële entiteiten persoonlijk aansprakelijk gesteld kunnen worden voor de schending van hun verplichting om de naleving van de richtlijn te waarborgen. Dat kan niet gedelegeerd of uitbesteed worden.” Bakker reageert op het tweede deel van de stelling. “Een MSP wordt er wel degelijk beter van: het is een
mooi onderwerp om bij een klant aan tafel te komen. We kunnen niet de hele keten van de klant overzien, maar we kunnen wel aangeven waaraan ze zelf moeten voldoen.” En daarnaast, vult Rijpkema aan, wordt hun eigen bedrijfsvoering ook op een hoger niveau gebracht door deze regelgeving. Van der Made (OpenText) ziet zeker ook kansen voor MSP’s. “Ze zouden het als een kans moeten benaderen, zowel intern als extern. Intern als check voor de eigen organisatie, extern als gespreksonderwerp om met hun klanten te kijken welke stappen ze nog kunnen maken als het aankomt op NIS2 en wellicht ook welke oplossing daar nog bij passen.” Jacobs gaat nog in op de ketenverantwoordelijkheid. “In Eindhoven bestaat nu het Cyberweerbaarheidscentrum Brainport dat er met alle bedrijven die er lid van zijn voor wil zorgen dat de hele keten compliant wordt. Zo kunnen enterprises de mkb-schakels in de keten helpen om niet alleen aan de eisen te voldoen, maar brengt men gezamenlijk ook de security-volwassenheid op een hoger plan.” ChannelConnect November 2023
CC_DossierSecurity23_Grotetafelgesprek.indd 21
21
10/18/2023 3:20:53 PM
CHANNELCONNECT
GROTETAFELGESPREK
22
Stelling 3: Iedereen verzekert zijn huis tegen brand. De kans op een cyberaanval is veel groter, het bewustzijn echter niet.
Stelling 4: Eindklanten moeten nauwkeurig bepalen wat ze wel of niet beveiligen.
Jacobs (Claranet) is een voorstander van cyberverzekeringen in een zakelijke omgeving. Van der Made (OpenText) is het daarmee eens. “Als de processen bij de klant technisch en qua strategie op orde zijn, men oefent en test, en het gaat dan nog fout is het goed dat er een verzekering is. Maar uiteindelijk blijft een te allen tijde herstelbare kopie van je bedrijfsdata de beste verzekering; die keert een verzekering namelijk nooit uit.” Van der Vaart (ESET) heeft twijfels. “Ik geloof in het nut van verzekeringen voor kleine bedrijven, om te overleven bij een incident. Maar het moet niet leiden tot schijnveiligheid. Bij een incident is het altijd maar de vraag wat wel of niet gedekt is. Of tot welk bedrag je dan verzekerd bent.” Rijpkema (Tekle) herkent dit. “Als je een been breekt tijdens een vakantie wordt wel het ziekenhuis en het transport betaald, maar jouw gederfde inkomsten zijn niet gedekt. Het zal lastig zijn dit duidelijk te krijgen bij een cyberverzekering.” Die duidelijkheid ontstaat pas als
De toelichting bij deze stelling is wat apart: in het nieuws was een fabrikant van voedingsmiddelen die beweerde dat zijn recepten niet bijzonder waren. “Die mochten best uitlekken.” De manier waarop de machines in zijn fabriek functioneren was volgens de directeur wel uniek. “Daar mag niemand foto’s van maken.” Volgens Van der Made (OpenText) is selecteren wat nadrukkelijk beschermd moet worden niet nieuw, het wordt al gedaan in de vorm van classificatie van data.” Volgens Rijpkema (Tekle) is dat niet voldoende. “Je moet echt bepalen wat de kroonjuwelen van een onderneming zijn. En vanuit dat gegeven de risico’s bepalen.” De aanwezigen zijn het erover eens dat dit bij enterprises wel gedaan wordt. Reugebrink (2Staff ): “Ik vermoed echter dat veel mkbondernemingen nog niet zover zijn.” Hij gaat verder in op het thema, door te stellen dat bij een onderneming, ook als die kleiner is, business continuity, informatiebeveiliging en de professional die dagelijks met de business bezig is samen tot een beleid moeten komen. “Zij kunnen samen een antwoord vinden op de vragen “Welk business proces gaan we beveiligen en hoe gaan we samen met toeleveranciers de digitale keten rondom het businessproces beveiligen?” Bakker (eSentire) reageert instemmend: “En dan zit dit beleid niet alleen verankerd in de strategie van de directie, maar hebben ook de anderen zich geconformeerd op de lange termijn.” “Maar ook op de business van volgende week,” vult Van der Vaart (ESET) aan. “Voor veel
verzekeraars, via bijvoorbeeld een automatische check, daadwerkelijk kunnen kijken of de verzekerde alles op orde heeft en houdt. “Daar kan NIS2 wellicht in de toekomst een rol bij spelen. Dan kunnen verzekeraars wellicht bepaalde standaardproposities uitrollen.” Bakker (eSentire) schetst een situatie zoals die in Amerika bestaat. “Daar ontstaan samenwerkingen tussen verzekeraars en de securityprovider. De laatste zorgt ervoor dat de beveiliging optimaal is, gaat het dan toch mis dan worden ze doorgeleid naar de verzekeraar.” Bij Managed Detection en Response (MDR) kan Van der Made zich een dergelijke constructie voorstellen. “Bij Endpoint Detection and Response lijkt het me lastiger, voor zoiets moet je breder naar een omgeving kunnen kijken en de opvolging adequaat inregelen. Dus ook naar wat men doet met de meldingen.” Dat is echter precies wat eSentire doet, stelt Bakker, “we reageren op de bedreigingen die we zien en volgen die meldingen op.”
ChannelConnect
November 2023
CC_DossierSecurity23_Grotetafelgesprek.indd 22
10/18/2023 3:21:00 PM
SECURITY & PRIVACY DOSSIER
kleinere bedrijven is de toekomst volgende week. Maar ook zij moeten zich realiseren dat het op de driehoek personeel, proces en techniek fout kan gaan. Dan kun je bijvoorbeeld geen klanten meer inplannen. Of facturen uitsturen.” “Ik geef een geanonimiseerd voorbeeld uit de praktijk,” vult Jacobs (Claranet) aan. “We werken voor een partij die, simpel gezegd, schepen laat varen. Daarop wil een groot aantal contractors en leveranciers onderhoud verzorgen.” Volgens Jacobs houden de business owners binnen de rederij zich daar niet mee bezig, zij willen simpelweg dat die schepen varen. “Het gaat dus eerst om bewustwording. We hebben het hier over OT, dan gaat het potentieel bij een incident om mensenlevens.” Volgens Jacobs, die met Claranet een project verzorgt bij deze rederij, moet je eerst met de business owner praten en uitleggen dat het monitoren van de IT bij en van de toeleveranciers niet minder belangrijk is dan zwemvesten aan boord. Bakker (eSentire) stelt dat veel bedrijven zich echt wel realiseren dat het niet de vraag is of ze worden aangevallen, maar dat alleen het moment onbekend is. “Maar men realiseert zich niet dat dit consequenties heeft voor de weerbaarheid. De vraag moet zijn: hoe snel kunnen we herstellen en terugkeren naar de oorspronkelijke situatie?” Het antwoord op die vraag is te vinden in een analyse van de risico’s. “Hoe anticipeer je daarop, hoe kun je aanvallen het best weerstaan en als ze toch plaatsvinden: hoe
ontdek je de inbraak, hoe stop je het en hoe herstel je de schade. En tot slot: hoe voorkom je een dergelijk incident in de toekomst?” Dat patroon geldt overigens ook voor de MSP weet Rijpkema. “Zij verkopen geen onfeilbaarheid, maar ook wat na een aanval komt.” Reugebrink sluit dit onderdeel af. “Ja, NIS2 zet in op security in de keten, en terecht. Maar dat is heel ingewikkeld, blijkt al uit deze discussie. Daar moet over de grenzen van bedrijven heen over nagedacht worden. “En ook dat geldt ook weer voor de MSP,” weet Rijpkema. Die verkopen en beheren immers zelden de complete stack. “Daar werd al eerder in het gesprek aan gerefereerd,” herinnert Jacobs zich. “Ook de software van externe partijen kan kwetsbaarheden hebben.” De deelnemers zijn het er voor een groot deel wel over eens dat de samenwerking tussen de IT-partijen beter kan op dit gebied. Reugebrink: “En ook in dat opzicht moet ik herhalen dat het ook bij die samenwerking gaat om te bepalen hoe de business continuïteit gegarandeerd kan worden. Dat kan een hoop werk zijn.”
Van der Vaart van ESET brengt de complexiteit in zoverre omlaag, door te stellen dat veel MSP’s uiteindelijk vooral Microsoft-omgevingen uitrollen en beheren. “Hun toegevoegde waarde zit in het verhaal daarachter, namelijk de security en het advies over business continuity.” Waarbij, stelt Van der Made, de MSP en de eindklant moeten weten dat niet alle security van de SaaS-aanbieder komt. “Ook voor bijvoorbeeld back-ups kun je maar in beperkte mate op de bekende services vertrouwen.” Voor Bakker (eSentire) brengt ook die constatering eigenlijk al een te complexe situatie met zich mee voor veel mkb’ers. “Bij elke organisatie waar is ingebroken was eigenlijk al securitytechnologie in huis. Toch vond het incident plaats, want de verdedigende mechanismen werden omzeilt. De focus ligt vaak te veel op de techniek en minder op de mensen en processen waardoor er gaten in de verdediging ontstaan. We kunnen het wel hebben over techniek, mensen en processen, maar zo denkt het mkb niet. Of al die elementen zitten in het hoofd van de directeur. Het is aan een buitenstaander, de serviceprovider, om in die kennis te voorzien.” Jeffrey Rijpkema beaamt dit. “Kleine bedrijven moeten dit allemaal uitbesteden.”
“De focus ligt vaak te veel op de techniek en minder op de mensen en processen waardoor er gaten in de verdediging ontstaan” ChannelConnect November 2023
CC_DossierSecurity23_Grotetafelgesprek.indd 23
23
10/18/2023 3:21:08 PM
CHANNELCONNECT
GROTETAFELGESPREK
Stelling 5: Bedrijven zouden veel meer openheid moeten geven wanneer ze aangevallen zijn. In ChannelConnect verscheen eerder dit jaar een column die opriep tot meer openheid. Daar werd door lezers actief op gereageerd, en voor een deel ook afwijzend: ik ga mijn concurrent niet vertellen dat ik gehackt ben! Bakker (eSentire) wijst erop dat NIS2 partijen zal verplichten een incident binnen 24 uur te melden, waarbij op dit moment nog niet duidelijk is wat er concreet met die melding zal gebeuren. “Het zal bekend worden, maar eigenlijk zou dat niet het probleem mogen zijn. Het kan immers iedereen overkomen.” Van der Made geeft daar een reactie op. “Afhankelijk van de data waarmee je werkt als
24
organisatie kan ik me toch voorstellen dat er bedrijven zijn die vanuit belangen, reputatie, commercieel, daar in eerste instantie toch terughoudend in zijn.” Jacobs (Claranet) wijst erop dat wanneer bedrijven gezamenlijk optrekken en ook gezamenlijk bevindingen presenteren, zoals ondernemingen in de Brainport doen, dat de bewustwording stijgt. Reugebrink pleit ervoor meer informatie in de keten te delen. “Als ik CISO ben van een bedrijf en ik besteed zaken uit naar een MSP, dan zou ik een check moeten kunnen doen. Ik wil als verantwoordelijke voor de security toch weten of die partner het goed geregeld heeft.”
ChannelConnect
November 2023
CC_DossierSecurity23_Grotetafelgesprek.indd 24
10/18/2023 3:21:22 PM
SECURITY & PRIVACY DOSSIER “Ga er steeds vanuit dat een aanval door cybercriminelen plaats zal vinden, niet dat er slechts een kans op een incident is”
Slotronde: tips aan de lezers van ChannelConnect Tot slot vragen we de deelnemers een advies te geven aan de lezers van ChannelConnect. Aeiko van der Made (OpenText) trapt af: “Als het aankomt op business continuity, zorg dan ook in de eigen organisatie dat je dat goed ingeregeld hebt. En denk daarbij verder dan alleen techniek, dus ook aan processen en mensen. En test het vervolgens ook regelmatig. Marcel Reugebrink van 2Staff benadrukt dat het juist voor de business continuity van groot belang is, dat in een onderneming de CISO, de business owner en de business continuity manager bij elkaar zitten om het bedrijf goed te beveiligen. “Geef vooral ook de business een stem. Leg
hem de maatregelen niet op.” “Ga er steeds vanuit dat een aanval door cybercriminelen plaats zal vinden, niet dat er slechts een kans op een incident is,” is het advies van Sander Bakker (eSentire). “Denk dus na over hoe je zo snel mogelijk herstelt na die aanval. En denk daarbij niet alleen aan techniek, maar ook aan mensen en processen.” Michael van der Vaart zou MSP’s in het kanaal willen adviseren zich te concentreren op dat waar ze echt goed in zijn. “En als dat niet security is, zoek dan een partner om mee op te trekken. Wellicht kun je dan in een later stadium alsnog security
oppakken – of niet: specialisatie is een groot goed.” Bart Jacobs (Claranet) onderschrijft het advies van Reugebrink als hij adviseert de business niet te vergeten bij de maatregelen die je voorstelt bij een klant. “En vergeet vooral ook de OT-omgeving niet. IT gaat over vervelende e-mail, OT gaat bij een incident wellicht over mensenlevens.” Jeffrey Rijpkema sluit dan weer aan op het advies van Van der Vaart: “Richt je op je sterke kanten, specialiseer je, maar probeer wel te kiezen voor een segment dat over een paar jaar nog bestaat. Standaardisatie en automatisering zal bepaalde activiteiten overbodig maken.”
ChannelConnect November 2023
CC_DossierSecurity23_Grotetafelgesprek.indd 25
25
10/18/2023 3:21:34 PM
MICK DEN DIJKER OVER CYBERSEC 2023
’Hét cybersecurityevent van het jaar’ Op 1 en 2 november komen alle experts op het gebied van cybersecurity samen in de Koninklijke Jaarbeurs voor Cybersec Netherlands 2023. Mick den Dijker, Exhibition Manager bij Cybersec, licht alvast een tipje van de sluier op. Tekst: Cas Spiertz Wat is Cybersec Netherlands 2023? Mick Dijkers: “Het idee voor Cybersec Netherlands kwam na het succes van Cybersec Europe in Brussel. Cybersec Netherlands wordt het platform waar IT-securityprofessionals en de markt met elkaar in contact komen. We brengen de verschillende facetten die gelieerd zijn aan cybersecurity samen met onze partners in kaart. Dat gebeurt in een van onze vier theaterzalen, op het main-
‘Alles bij ons is IT-security gefocust’ 26
stage podium, tijdens rondetafelgesprekken, demo-sessies en discussie-panels. Daar wordt voornamelijk gesproken over business solutions binnen cybersecurity.” Hoe verloopt de aanloop richting Cybersec Nederland 2023? “We zien dat het stukje cybersecurity een steeds prominentere rol krijgt in de budgettering bij bedrijven en steeds vaker wordt besproken in de board room. Als je een vermogend bedrijf bent, wordt je data al snel een target voor cybercriminelen en kan het zijn dat je miljoenen euro’s kwijt bent aan losgeld of het opzetten van een nieuwe database. Ook in de publieke sector blijft cybersecurity
een belangrijke rol spelen. Dat soort problematiek willen we zichtbaar maken tijdens Cybersec. We bieden de oplossingen aan onze bezoekers in samenwerking met onze partners. De kracht van het team van Cybersec is dat wij goed weten hoe we vraag en aanbod bij elkaar kunnen brengen.” Kan je wat meer vertellen over de partners die op Cybersec Nederland 2023 staan? “We werken onder andere samen met ESET Nederland, Cegeka, Microsoft en Darktrace Nederland. Al onze partners brengen oplossingen over hun eigen expertises. De ene keer kan het gaan over cloud, de andere
ChannelConnect
November 2023
CC_DossierSecurity23_Cybersec.indd 26
10/18/2023 4:08:35 PM
SECURITY & PRIVACY DOSSIER
keer over digital strategy, data protection of het signaleren van digital threads. Die partners leveren aan zakelijke klanten, de publieke sector of een combinatie. Daarom werken we niet alleen samen met commerciële partners. Een van onze partners is bijvoorbeeld Cybercrime Team Politie Midden Nederland. Zij geven een keynote over de opsporing, maar ook het verwerkingsproces bij cybercriminaliteit. Een andere belangrijke partner is de Hague Security Delta. We helpen elkaar waar het kan omdat we veel raakvlakken hebben.” Wie moeten er naar het event komen? “Wij richten ons op alle Nederlandse IT-securityprofessionals waaronder IT-managers, CISO, CTO en Digital Privacy Officers. Uiteraard willen we waar mogelijk ook de CEO’s naar binnen halen. Wat je namelijk vaak ziet is dat de CEO de Chief Information Security Officer naar voren schuift. Maar op het moment dat er een data breach is en de lampen rood gloeien, dan is de CEO verantwoordelijk. Ik zou daarom graag CEO’s willen uitnodigen om langs te komen, zodat zij ook beter weten wat er op dit moment speelt op cybersecuritygebied. Met de komst van NIS 2 is het sowieso belangrijk dat iedereen goed geïnformeerd is, de boetes die daar op staan zijn niet mis.”
Wat gaat er allemaal gebeuren qua programmering op Cybersec Netherlands? “Zoals ik al eerder vertelde, komen er een hoop interessante keynotes voorbij tijdens Cybersec. Een daarvan wordt gegeven door Peter Zinn, die inspeelt op de ontwikkeling van AI en dan voornamelijk wat AI voor jou kan betekenen op het gebied van cybersecurity. Ook Daniel Gebler, co-founder van boodschappenbezorger Picnic, geeft een interessante keynote. Dat zal vooral gaan over
‘We gaan voor gestaagde groei’ de onderliggende technische basis die laat zien hoe start-ups, scale-ups en gevestigde technologiebedrijven een nieuwe ontwikkelingsmethode kunnen gebruiken om versnelde prototyping, ondersteunde engineering, automatische analyse en foutafhandeling te ontsluiten. Naast de key-notes, rondetafelgesprekken, demo-sessies en discussiepanels is er ook de Cybersec NL Launching Party. Omdat dit de eerste editie is van Cybersec Netherlands hebben we grootst uitgepakt om onze launchingpartners, bezoekers en toekomstige partners bij elkaar te
brengen tijdens een gezellige netwerkgelegenheid waarbij een drankje en een hapje geserveerd zullen worden.” Wat onderscheidt jullie als beurs? “Cybersec heeft een lange adem: de technologische en digitale markt ontwikkelen zich snel. Maar, met elk stukje development komt er ook een stukje meer cyberbedreiging bij kijken. Cybersec brengt een helder en up-to-date verhaal en we bespreken de problematieken open. Ons doel is heel duidelijk: wij zijn er zodat bedrijven hun business kunnen verdedigen tegen cybercriminaliteit. Alles bij ons is IT-security gefocust.” Hoe ziet de toekomst eruit van Cybersec Nederland? “Nou ik heb een primeur voor jullie, namelijk de data voor volgend jaar! Op 6 en7 november 2024 zal Cybersec Netherlands terugkeren naar de Koninklijke Jaarbeurs in Utrecht. We zijn trots op deze eerste editie en Cybersec is er zeker niet voor de korte termijn. We gaan voor gestaagde groei, we zijn druk bezig om ons team uit te breiden en zijn in gesprek met onze partners voor volgend jaar. Daarnaast staan we natuurlijk open voor nieuwe partners die zich willen aansluiten bij hét cybersecurity-event van 2024.” ◾ ChannelConnect November 2023
CC_DossierSecurity23_Cybersec.indd 27
27
10/18/2023 4:08:39 PM
SECURITY IN HET MKB
Nog steeds grove onderschatting van de risico’s bij kleine bedrijven De wapenwedloop tussen cybercriminelen en security-experts is al jaren in volle gang. Het grootzakelijke segment heeft zijn beveiliging inmiddels redelijk tot goed voor elkaar. Criminelen laten hun oog dan ook steeds vaker vallen op het mkb. En met succes, want juist daar laat de beveiliging én het bewustzijn nog steeds flink te wensen over. Tekst: Marcel Debets
H
et is inmiddels goed bekend dat ChannelConnect zich richt op de ICT-dienstverlener met voornamelijk mkb-bedrijven als zijn klanten. Voor onze lezers is er dan ook nog genoeg te doen als het gaat om de beveiliging bij het mkb. ABN AMRO concludeerde in een rapport dat het mkb inmiddels vaker doelwit is van cybercriminelen dan het grootzakelijke segment. De toename onder mkb’s, met een jaaromzet van minder dan 10 miljoen, gaat opvallend snel, ziet de bank. “Vorig jaar was ‘slechts’ 39 procent van de ondervraagden het doelwit van cybercriminelen. Inmiddels is dit percentage bijna verdubbeld, naar 80 procent. Hiermee zijn de aanvallen in het mkb-segment voor het eerst dieper doorgedrongen dan in het grootbedrijf. Hier heeft 75 procent van de ondervraagden te maken gehad met cybercriminaliteit. Voor zzp’ers is dit percentage 69 procent.” Vooral phishing wordt door criminelen gebruikt om binnen te komen. E-mails, sms- of Whatsapp-berichten en telefoontjes moeten mensen verleiden om een actie uit te voeren die later schadelijk blijkt te zijn. Phishing wordt helaas ook steeds overtuigender en dat is een gevolg van het succes van generatieve AI.
28
Goede security kost geld, en om bereid te zijn om budget vrij te maken, moet eerst de urgentie helder worden
Onderschatting Als IT-dienstverlener wil je niets liever dan jouw klanten zo goed mogelijk helpen, maar soms is het vechten tegen de bierkaai. Want goede security kost geld, en om bereid te zijn om budget vrij te maken, moet eerst de urgentie helder worden. En juist daar schort het aan in het mkb. Volgens onderzoek van Threadstone staat de ‘beperkte risicoperceptie’ binnen het mkb op nummer 1 van hun Top 3 Cyber-kwetsbaarheden. En dat heeft grote gevolgen. Het Cybersecurity Onderzoek Alert Online 2023 dat jaarlijks wordt gehouden en wordt uitgevoerd in opdracht van het Ministerie van EZK, brengt het veiligheidsbewustzijn preciezer in kaart. Daaruit blijkt dat 19 procent van de kleine bedrijven geen enkele actie onderneemt om veilig online te zijn. Een vijfde van de medewerkers vindt de eigen kennis over digitale veiligheid ‘(zeer) goed’. Dit is een verslechtering ten opzichte van een jaar geleden. De helft van de ICT-verantwoordelijken schat zijn kennis als ‘(zeer) goed’ in. Het onderzoek toont ook aan dat organisaties met meer werknemers meer acties ondernemen ten behoeve van online veilig gedrag dan organisaties met minder werknemers. Medewerkers van kleine bedrijven ge-
ChannelConnect
November 2023
CC_DossierSecurity23_MKB-verhaal.indd 28
10/18/2023 4:09:55 PM
SECURITY & PRIVACY DOSSIER
ven aan dat ze naar verhouding minder toegang hebben tot goede tools en instrumenten om hun veilig online gedrag te verbeteren. Opvallend is verder dat drie op de tien medewerkers niet weten welke cybermaatregelen de eigen organisatie genomen heeft. Herkennen van phishing Een interessante lakmoesproef is of phishing-mails als zodanig worden herkend. Een vijfde (21%) van de medewerkers gaf aan de voorgaande 12 maanden een phishingmail op het werk te hebben ontvangen. Dat lijkt op het eerste gezicht best weinig. Zeker aangezien 50 procent van de IT-medewerkers aangeeft phishing mails te hebben ontvangen, een getal dat veel waarschijnlijker is, en zelfs misschien nog aan de lage kant. De overheid onderschrijft gelukkig het belang van goede cybersecurity bij het mkb. De economische schade kan in potentie groot worden, maar misschien nog wel belangrijker is het feit dat indringers bij bedrijven soms de hele keten kunnen besmetten, van toeleveranciers tot afnemers. Bovendien is er de inmiddels befaamde NIS2-wetgeving, die bedrijven verplicht om hun beveili-
ging op orde te hebben. Iets waar je als IT-dienstverlener een belangrijke rol in hebt. Subsidies De overheid is ook bereid om het mkb financieel te ondersteunen in de strijd tegen cybercriminelen. Het Digital Trust Center van de overheid heeft een subsidiepot gevuld, getiteld ‘Mijn Cyberweerbare Zaak’, waarmee het mkb tot de helft van de kosten voor beveiligingsmaatregelen vergoed kan krijgen, tot een maximum van 1250 euro. Het totale budget is 300 duizend euro en aanvragen kan tot 1 november. Onder de maatregelen die vergoed worden, vallen onder meer het inrichten van back-ups, een wachtwoordmanager en het laten uitvoeren van een risico-inventarisatie. Voor IT-dienstverleners is ook het Cybersecurity Innovation Fund interessant. Dit budget, dat beschikbaar wordt gesteld door het Ministerie van EZK en de Europese Commissie, omvat bijna 1 miljoen euro voor Nederlandse mkb-ondernemers en onderzoekers die cyber-
security-projecten verder willen ontwikkelen. “De financiering is bedoeld voor projecten die bijdragen aan automatisering van bestaande cyberbeveiligingsoplossingen, behoud en scholing van personeel, veilig en privacyvriendelijk delen van data en nieuwe kleinschalige cybersecurity-oplossingen ontwikkelen of opschalen,” schrijft het ministerie. We blijven cybersecurity in het mkb volgen Omtrent cyberveiligheid in het mkb is voorlopig nog veel werk te verzetten. Bij ChannelConnect blijven we onze lezer – de IT-dienstverlener met focus op het mkb – voorzien van informatie over security. Daarbij gaat het niet alleen om berichtgeving over nieuwe manieren om beveiliging te omzeilen, of om rapporten vol met cijfermateriaal over hoe slecht het gesteld is met het bewustzijn in het mkb. We fungeren ook als een doorgeefluik van informatie over producten en diensten die moeten helpen security zo waterdicht mogelijk te krijgen. We hopen daarmee jou als IT-dienstverlener te kunnen helpen jouw klanten te helpen. Onder andere om het bewustzijn - juist in het mkb - te vergroten. ◾ ChannelConnect November 2023
CC_DossierSecurity23_MKB-verhaal.indd 29
29
10/18/2023 4:10:07 PM
CLARANET WERKT SAMEN MET PARTNER BIJ BEVEILIGING
Schijnveiligheid grote uitdaging bij IT-security Nog kwalijker dan onvoldoende aandacht voor cybersecurity is een onterecht vertrouwen dat alles goed geregeld is. “Blijf testen, laat audits doen en train je personeel steeds weer. Daarmee voorkom je al een hoop ellende”, aldus Bart Jacobs, Commercieel Directeur bij Claranet Benelux. Tekst: Mels Dees
I
“Tot slot zijn veel gevaren onvoldoende zichtbaar. Denk aan schaduw-IT, maar ook aan kwetsbaarheden in software die wordt afgenomen.”
Vier elementen Jacobs onderscheidt vier elementen die voor schijnveiligheid zorgen. “Laten we beginnen met de zogenaamde kwetsbare schakel, de medewerkers. Mensen overschatten zichzelf als het gaat om het kunnen herkennen van malware.” Daarnaast wordt te vaak vertrouwd op de kennis van de IT-er in dienst of de vaste IT-partner die wordt ingehuurd. Ten derde zijn er inmiddels cyberverzekeringen, maar blijkt na een incident dat de polis veel minder dekt dan bedrijven meenden.
Het begint met testen “Op het moment dat je zeker wilt weten of je wel of niet op basis van schijnveiligheid opereert, zul je moeten testen. En niet af te toe, maar regelmatig,” is de stellige mening van Jacobs. “Dan kom je tot inzichten en ontdek je echt de kwetsbaarheden.” De Commercieel Directeur benadrukt dat de medewerkers van Claranet echt vaak bij organisaties komen die ervan overtuigd zijn alles goed geregeld te hebben. “En dat valt dan tegen.” Met behulp van audits en pentesten kun je echt veel ontdekken, zo komt schaduw-IT aan het licht, ontdek je patches die nog niet zijn doorgevoerd en blijkt ook dat software van derde partijen die gebruikt wordt niet feilloos is. Net als bij het Grotetafelgesprek geeft Jacobs ook nu aan, dat ook een MSP niet altijd alle kennis in huis kan hebben. “Wij werken zelf ook samen met een partner. Dat is in ons geval S-RM, een specialist op het gebied van Incident Response. Ik zou alle partners de tip willen geven om te kijken wat je zelf tekortkomt en dan dergelijke samenwerkingen aan te gaan.”
n deze editie van ChannelConnect publiceren we verslagen van twee Grotetafelgesprekken die security als onderwerp hebben. Bij beide discussies hoopten deelnemers dat NIS2, de regelgeving die volgend jaar wordt ingevoerd, een positief effect heeft op het securitybewustzijn bij ondernemingen. “NIS2 verplicht ondernemingen, waaronder MSP’s, niet alleen maatregelen te nemen, maar ook een beveiligingsstrategie op te zetten en de maatregelen te testen,” legt Bart Jacobs, Commercieel Directeur bij Claranet Benelux, uit. “Het belang van die laatste twee elementen mag niet onderschat worden. Veel organisaties denken alles goed voor elkaar te hebben, maar opereren op basis van schijnveiligheid.”
30
Bart Jacobs
“We zijn van onszelf vaak overtuigd dat we nooit in een malware-truc trappen”
ChannelConnect
November 2023
CC_DossierSecurity23_Claranet.indd 30
10/18/2023 4:14:27 PM
SECURITY & PRIVACY DOSSIER
“De medewerker die goed getraind is, maakt het verschil en is ineens de sterkste schakel”
AI om medewerkers te trainen Dat brengt het gesprek op de medewerkers. “De schijnveiligheid daarbij is, dat we van onszelf vaak overtuigd zijn nooit in een malware-truc te trappen. Het zijn echter beslist niet de minsten in een organisatie die bijvoorbeeld CEO-fraude te laat herkennen.” Dat is op zich geen reden tot schaamte, want de malware is inmiddels heel geraffineerd. “Maar wie de medewerkers niet heel regelmatig confronteert met ‘nep-malware’ gegenereerd door een trainingsplatform, vraagt in zekere zin om problemen.” Een oplossing als KnowBe4, bijvoorbeeld, gebruikt AI om medewerkers berichten te sturen die werkelijk nauwelijks van echt te onderscheiden zijn. “En cybercriminelen gebruiken die AI-technologie ook. Het blijft een race tussen de ‘good’ en de ‘bad guys’. En waar we de medewerkers soms ‘de kwetsbare schakel noemen’: de medewerker
die goed getraind is, maakt het verschil en is ineens de sterkste schakel. En veelal je laatste verdedigingslijn.” Het geeft geen garantie dat er geen incident kan gebeuren, maakt Jacobs duidelijk, “maar de kans wordt echt een stuk kleiner.” Incident Response Tot slot gaat Jacobs in op Incident Response en verzekeren. Op zich geen onlogische combinatie, want in zekere zin blijkt het nut van een verzekering op het moment dat je moet reageren op een incident. “In het geval van een verzekering is in veel gevallen de pure hardwareschade gedekt. De data op die hardware vertegenwoordigen doorgaans echter een veel grotere waarde.” Ook imagoschade en kosten die gepaard gaan met het stilliggen van een productielijn kunnen doorgaans niet doorgegeven worden aan de verzekeraar.
Jacobs: “De verzekering leidt zo tot schijnveiligheid en is de reden dat wij samenwerken met een externe partij die gespecialiseerd is in Incident Response,” meldt Jacobs. “Die werken op basis van een retainer-contract. Als je als onderneming met hen een relatie aangaat, dan betaal je een vast bedrag per jaar.” Dat geld ‘verdwijnt’ niet als er geen aanval zou zijn. “Dan kun je dat inzetten voor een audit, training of advies.” De kracht van een relatie met een securitypartner die sterk is in Incident Response ligt in het feit dat ze direct voor je klaarstaan in geval van nood. “Binnen een uur gaan ze aan de slag. Ze onderhandelen, indien sprake is van ransomware, met de aanvallers en zorgen ervoor dat malware zich niet verder kan verspreiden. Zo’n retainer is dan een veel betere vorm van veiligheid waarop je wel kunt bouwen.” ◾ ChannelConnect November 2023
CC_DossierSecurity23_Claranet.indd 31
31
10/18/2023 4:14:42 PM
EEN COMPLETE SECURITYKETEN MET EXERTIS
‘Onze oplossing maakt deel uit van een complete architectuur’ Het is aan distributeurs om de markt te voorzien van de benodigde oplossingen voor cybersecurity. Maar hoe zorg je ervoor dat ook MKB-bedrijven toegang krijgen tot technologie die cruciaal is in de bescherming van data en infrastructuren? Samen met haar partners biedt Exertis Cybersecurity een compleet gamma aan oplossingen waarmee ook kleinere bedrijven hun data veilig kunnen houden. Tekst: Michiel van Blommestein
D Sander Bakker
Dennis Split
ominic Ryles, Director of Sales & Commercial bij Exertis Cybersecurity, heeft al 18 jaar ervaring in het securitydomein. Maar het zijn vooral de afgelopen vier jaar geweest dat de grootste veranderingen hebben plaatsgevonden. “Je ziet dat oorlogen op het geopolitieke toneel worden uitgevochten”, zegt hij. “In 2018 zagen we hoe WannaCry huishield. Sindsdien komen cyberaanvallen regelmatig in het nieuws. Het volume en de snelheid van aanvallen is significant veranderd.” Dat vraagt volgens Ryles om een mentaliteitsverandering, vooral bij kleinere organisaties. “Ik merk in de markt nog een erg reactieve houding”, zegt hij. Reactiviteit in de vorm van firewalls en endpoint security blijft natuurlijk belangrijk, maar het moet worden aangevuld met proactiviteit en adaptiviteit. “Endpoint detection, managed detection and response vallen onder die eerste noemer. En microsegmentatie en zero trust zijn adaptieve maatregelen die organisaties kunnen nemen.”
Vooraanstaande leveranciers Partners moeten dus op weg worden geholpen om hun mkb-klanten op dit vlak te bedienen. Verschillende vooraanstaande leveranciers vormen daartoe het arsenaal dat de distributeur kan bieden, waaronder OpenText Cybersecurity, eSentire en A10 Networks. Belangrijk is echter dat hun oplossingen niet ad-hoc ingezet worden, maar altijd deel uitmaken van een bredere strategie. Dat begint al snel bij een partij die de security op zich kan nemen van kleinere organisaties, zoals eSentire die diensten voor security monitoring en response biedt. “Ieder bedrijf dat te maken heeft gehad met een aanval, had wel iets van security ingezet”, legt Sander Bakker, regional manager van het bedrijf uit. “En toch komen aanvallers erdoor, omdat vooral kleinere organisaties niet over de benodigde processen en mensen beschikken.” Om deze dienst te leveren, moet eSentire wel de alarmen en meldingen van andere systemen binnenkrijgen. “Die voeren we in ons platform in, zodat we kunnen reageren.
“Back-ups zijn de eerste stap Dom Ryles
32
naar een robuuste omgeving”
ChannelConnect
November 2023
CC_DossierSecurity23_ExertisEnterprise.indd 32
10/18/2023 4:16:34 PM
SECURITY & PRIVACY DOSSIER
Daarvoor is een veilige manier nodig om content door te zetten, iets dat Exertis kan leveren via A10 Networks. “Onze oplossing maakt deel uit van een complete architectuur”, zegt Nimrod Kravicas, Senior System Engineer van A10 Networks. “Ieder incident response-systeem heeft dat nodig wat wij leveren. Door middel van API’s kunnen we ook integreren met een groot aantal partners.” Giacinto Spinillo, Sales Manager Italië en Benelux bij A10, voegt eraan toe dat het bedrijf een belangrijke rol speelt bij het neutraliseren van DDoS-aanvallen. “We bieden daarnaast ook een geavanceerde Next-Generation Application Firewall aan. Zo kunnen we een groot deel van de ICT-omgeving afschermen.” Best-of-Breed En voor bescherming van de overige IT-onderdelen? Daarvoor kunnen partners bijvoorbeeld de oplossingen van OpenText Cybersecurity inzetten. “Wij helpen IT-afdelingen om zichtbaarheid te verkrijgen in hun complexe omgevingen, snel bedreigingen te detecteren en te voorkomen, snel te reageren op interne en externe bedreigingen om de omvang en impact te be-
“Ieder bedrijf dat te maken heeft gehad met een aanval, had wel iets van security ingezet” grijpen, en te voldoen aan informatiebeveiliging, regelgevende en branchevoorschriften”, noemt Dennis Spilt, Partner Accountmanager van OpenText. “Met overnames van technologie van onder meer Webroot, Carbonite, Fortify en Zix bieden we uitgebreide end-to-end securityoplossingen.” Belangrijk is dus dat geen enkele specialist op zichzelf staat, en dat oplossingen op een slimme manier worden geïntegreerd in de ICT bij de klant. Hoe het ook is ingericht, ook MKB-bedrijven zijn verantwoordelijk voor hun eigen databescherming. “Sommige bedrijven zitten met hun ICT volledig in de cloud, terwijl het bij andere juist in een eigen rack staat”, noemt Kravicas. “Je hebt niet één oplossing die alle situaties kan ondervangen. Je moet het afstemmen op de situatie.” Spilt wijst erop dat bedrijven er soms iets te makkelijk over denken. “Vaak is de gedachte: ‘we hebben het in de cloud, dus het is veilig.’ Maar het is Helemaal niet zo veilig. Veel cloudproviders bieden een oplossing die in eerste instantie is gericht op be-
schikbaarheid en continuïteit. Maar wie geen back-up maakt, loopt het risico alles kwijt te raken.” Spinillo onderstreept dat. “Back-ups zijn de eerste stap naar een robuuste omgeving.” Bij elkaar brengen Over risico gesproken: Bakker wijst erop dat de kans dat er een aanval plaatsvindt niet moet worden onderschat. “Je gaat geheid een doelwit worden”, zegt hij. “Daarom moet je de zwakke plekken vinden, voordat zij dat doen. En als je wordt aangevallen, moet iemand voor je reageren, en om de schade te herstellen. Anticiperen, doorstaan en herstel dus.” “Onze rol is om al deze verschillende technologieën en mensen bij elkaar te brengen”, besluit Ryles. “Kleine en middelgrote bedrijven missen vaak de mogelijkheden, kennis en middelen. Maar je hoeft niet een eigens Security Operations Center van een paar miljoen op te zetten. Via ons portfolio krijgen organisaties toegang tot hoogwaardige security-oplossingen en -diensten.” ◾ ChannelConnect November 2023
CC_DossierSecurity23_ExertisEnterprise.indd 33
33
10/18/2023 4:16:43 PM
CHANNELCONNECT
GROTETAFELGESPREK OP LOCATIE POWERED BY RITTAL
OPTIMALE BESCHERMING VAN HARDWARE VAAK ONDERSCHAT
‘Fysieke IT-security begint met bewustwording’ Cyberincidenten en vormen van malware komen bijna dagelijks in het nieuws. Het belang hardware-devices goed te beschermen en de impact van falende fysieke ITsecurity wordt zelden belicht. Zes professionals gingen erover met elkaar in gesprek. Tekst: Mels Dees
34
ChannelConnect
November 2023
CC_DossierSecurity23_Rittal.indd 34
11/7/2023 9:36:26 AM
SECURITY & PRIVACY DOSSIER
“In veel organisaties hebben IT-medewerkers meerdere taken, waardoor het fysieke deel van de IT er vaak ‘een beetje bij gedaan’ wordt”
A
ndré Hiddink, Product Manager IT bij Rittal, initieerde een Grotetafeldiscussie, die samen met de redactie van ChannelConnect werd georganiseerd. Rittal is leverancier van gestandaardiseerde, modulaire systeemtechnologie, die rack, power, cooling, security en monitoring omvat. Van compacte single-rack-installaties tot colocatie- en hyperscale-datacenters. Aan het begin van de bijeenkomst legt Hiddink uit waarom hij het thema ‘fysieke IT-beveiliging’ wil adresseren: “Cybersecurity is hot, iedereen heeft het erover. En dat is terecht. Er is geen twijfel dat organisaties dit zo goed mogelijk op orde moeten hebben. Daar zijn inmiddels ook normen en richtlijnen voor en die worden steeds strenger, kijk naar wetgeving als AVG en NIS2. Fysieke IT-security is een onderwerp dat weinig belicht wordt.” Dat wil Hiddink adresseren in een discussie met specialisten uit de markt. “Het gaat daarbij niet alleen om de toegang tot de serverruimte, of het slot op de serverkast, maar ook om bewustwording. Om de vraag: wat is het belang van fysieke IT-beveiliging?”
y
ChannelConnect November 2023
CC_DossierSecurity23_Rittal.indd 35
35
11/7/2023 9:36:42 AM
CHANNELCONNECT
GROTETAFELGESPREK OP LOCATIE POWERED BY RITTAL
Stelling 1: Het mkb is druk met zijn eigen werkzaamheden, waardoor de fysieke security van IT een lage prioriteit heeft. Thimo Keizer (beveiligingsspecialist RisicoRegisseurs) reageert als eerste op de stelling. “Als ik kijk naar de volwassenheid op het gebied van fysieke IT-beveiliging dan is die laag in de markt. Ja, er zijn rolluiken, sloten en camera’s voor het pand, maar er worden geen of in mindere mate maatregelen getroffen voor de beveiliging van de fysieke IT.” Vincent Toms (CISO en beveiligingsspecialist) herkent dit. Het mkb is volgens hem bezig met de business van de onderneming. Niet met beveiliging. “Bij die ondernemingen moet eerst iets gebeuren voordat actie wordt ondernomen,” vult Marc van Rijssen (X-ICT, dat computerruimtes bouwt) aan. “Bij een goede relatie van ons heeft een brand plaats gevonden. Tot dat moment zagen zij geen aanleiding om te investeren in een detectie- en blusgassysteem. Geconfronteerd met de impact van een brand wordt nu iedere nieuwe computerruimte van een blusgassysteem voorzien.”
36
Toms signaleert dat fysieke beveiliging vooral wordt geassocieerd met mannen met oortjes die rond het pand lopen. Fysieke beveiliging is een mbo-functie, cyberbeveiliging is hbo of universitair. Die praten te weinig met elkaar. “En de directie investeert er niet in,” sluit Lex Borger (van msp Tesorion) af. De trigger om te investeren in automatisering is het verhogen van de efficiëntie of het verlagen van de arbeidskosten. Als het gaat om de fysieke omgeving is de opvatting: het werkt en het is goed genoeg: we blijven er vooral vanaf. Risicoprofiel Daarbij is het zo dat incidenten die samenhangen met fysieke IT-beveiliging zelden de krant halen. Het is wellicht ook een taboe. Het is geen sterk verhaal als een serverrack uit is gevallen doordat de plant die erop stond te veel water kreeg. “Plofkraken halen wel de krant, dat rolluik mag wat kosten,” is de analy-
se van Toon Cooijmans van het Catharina Ziekenhuis, die als eindgebruiker is aangeschoven. “Maar de IT-apparatuur staat bij een mkb-onderneming in de bezemkast tussen de schoonmaakspullen. Daar heeft men geen gevoel bij. Een goed serverrack mag niets kosten, die koop je voor een paar honderd euro online.” Voor Hiddink wordt daarmee de kern van het probleem geraakt. “Bedrijven zijn echt wel met beveiliging bezig, zoals het aanmelden van bezoekers en poortjes bij de ingang. Maar pas als, door gebrekkige beveiliging van de hardware, de boel platgaat investeert men.” Keizer nuanceert dat toch iets. “Paaltjes bij de juwelier worden voorgeschreven door de verzekeraar. Maar het is ook schijnveiligheid. Wie houd je daarmee tegen? Niet de zware crimineel, want die pleegt een plofkraak als hij de spullen echt graag wil hebben.” Hij betoogt dat elke vorm van beveiliging gebaseerd moet zijn op het risicoprofiel.
ChannelConnect
November 2023
CC_DossierSecurity23_Rittal.indd 36
11/7/2023 9:36:59 AM
SECURITY & PRIVACY DOSSIER
Deelnemers aan het
Grotetafelgesprek André Hiddink Product Manager IT bij Rittal. Leverancier van compacte single-rack-installaties tot edge-, enterprise-, colocatieen hyperscale-datacenters.
Lex Borger Security Consultant bij Tesorion, een Security Service Provider. Tesorion levert vooral IT-security, “maar fysieke beveiliging komt eigenlijk altijd aan de orde.” Toon Cooijmans Datacenter beheerder / floormanager bij het Catharina Ziekenhuis in Eindhoven. Eerder werkte hij in en voor het mkb, onder meer als systeembeheerder, en bij msp’s.
Stelling 2: Externe partijen moeten een rol spelen bij het verhogen van de bewustwording. In verzekeringspolissen gaat het niet of nauwelijks over fysieke IT-beveiliging, weet Hiddink. “Als de fysieke hardware wordt gestolen zijn die kosten gedekt, maar er wordt niet gestuurd op de kwaliteit van de behuizing van de apparatuur, bijvoorbeeld door een lagere premie als die omgeving op orde is.” Dat voordeel levert de klant te weinig op, is de overtuiging van Keizer. De lagere premie weegt immers niet op tegen de forse investering in een IT-behuizing. X-ICT is het daar als leverancier van dergelijke ruimtes niet mee eens. Zij verzorgen jaarlijks bij de klanten een soort APK. “Dan kijken we ook naar de security, of er een camera in de ruimte is en naar de brandveiligheid. Als externe partij hebben we dan zeker autoriteit.”
“De behuizing staat qua verantwoordelijkheid los van de servers die erin staan. Dat leidt dan echter
Marc van Rijssen Business Developerbij X-ICT. Werkte in zijn loopbaan ook voor IT-distributeurs. X-ICT bouwt computerruimtes.
Vincent Toms CISO en beveiligingsexpert met ruim 20 jaar ervaring in informatiebeveiliging. “Bij digitale hygiëne is ook de fysieke beveiliging heel belangrijk.” Thimo Keizer eigenaar van RisicoRegisseurs, interim-securitymanager, consultant en auditor, “en dan specifiek op het gebied van fysiek beveiligingsbeheer.”
weer tot silo’s’” ChannelConnect November 2023
CC_DossierSecurity23_Rittal.indd 37
37
11/7/2023 9:37:19 AM
CHANNELCONNECT
GROTETAFELGESPREK OP LOCATIE POWERED BY RITTAL Stelling 4: Installerend Nederland vult fysieke beveiliging in naar eigen interpretatie en norm.
“We zien of onderkennen de risico’s niet, tenzij we te maken hebben met een incident”
Stelling 3: Wie moet binnen een bedrijf verantwoordelijk zijn voor fysieke IT-beveiliging? In de praktijk voelt niemand zich daar verantwoordelijk voor, is de stellige uitspraak van Hiddink. “Alles ín de computerruimte is IT, de ruimte en de toegang ertoe is facilitair, maar het sleutelbeheer kan zomaar bij HR liggen.” Cooijmans speelt het onderwerp door naar Van Rijssen (X-ICT): “Wie zijn dan eigenlijk jouw gesprekspartners? De IT-verantwoordelijke, de directeur, de boekhouder, of zelfs de controller?” “In het mkb doet eigenlijk iedereen alles, dat maakt het niet overzichtelijker,” luidt het antwoord. “In een hoop organisaties, vaak kleiner dan corporates of enterprises, hebben veel IT-medewerkers meerdere taken, waardoor het fysieke deel van de IT er vaak ‘een beetje bij gedaan’ wordt,” weet Cooijmans. “Daar zet de systeembeheerder servers in een kast op de afdeling en zegt ‘succes ermee’.” Bij grotere organisaties wordt dit opgepakt door een team binnen de
38
IT-organisatie en is sprake van een duidelijke functiescheiding. Deze verschillen laten zien dat grotere organisaties dit serieus nemen en als een volwaardige taak zien. “De behuizing staat qua verantwoordelijkheid los van de servers die erin staan.” Dat leidt dan echter weer tot silo’s: “Dan moet je mensen aanmoedigen met elkaar te communiceren.” Borger (Tesorion) benadrukt daarom dat een analyse van de risico’s de basis van de beveiliging vormt. “Als je dat gedegen doet, kom je vanzelf tot de juiste maatregelen. Dat zijn misschien cybermaatregelen, of fysieke maatregelen. Of een training van personeel.” En dan nog is dat geen garantie voor een gedegen beveiliging. “Ik vind dat mijn huis goed beveiligd is,” geeft Toms aan. “Maar is dat zo? Ik laat dat nooit checken. Dus waarom dat dan wel van een organisatie verwachten? De driver ontbreekt.”
Datacenters steken energie in het voldoen aan normen. Er zijn uitgeschreven richtlijnen. Hiddink: “Hun verkoopargument is 99,999% continuïteit.” Maar als het gaat om die paar servers die nog on-premise staan, doet men maar wat. Dat verbaast Cooijmans (Catharina Ziekenhuis) niet. “Uptime is de heilige graal voor een datacentrum. Maar het mkb met die paar servers in het pand kijkt daar toch echt anders tegenaan. Je zult bij een transportbedrijf heel wat moeten uitleggen eer ze die mooie behuizing van Rittal kopen en ook nog eens op de beste plek neerzetten.” Keizer (RisicoRegisseurs) stelt dat bedrijven de gevolgen van uitval nog steeds onvoldoende overzien. Toms (Global Cyber Risk & Security Expert) onderschrijft dit: “Het gaat om bedrijfscontinuïteit. Daar is veel te weinig aandacht voor.” Het punt, volgens Hiddink, is dat installateurs hun eigen gang kunnen gaan zonder duidelijke norm. “Dit terwijl het mkb helemaal afhankelijk is van de expertise van die installateur.” Zorg daarom voor een norm die duidelijke minimumeisen stelt. Volgens Toms leidt dat al snel tot ‘rule based’ gedrag. “Eigenlijk moet een norm een kader geven om ná te denken.” In de AVG wordt eigenlijk niets concreets over fysieke IT-beveiliging gezegd. “Als het niet concreet is, wordt er geen geld uitgegeven,” weet Borger van Tesorion. Van Rijssen (X-ICT) brengt de discussie tot een conclusie: “Wet- en regelgeving hebben pas echt impact.” Toch zou Hiddink (Rittal) willen onderzoeken of je een bepaald normenkader niet toch kunt introduceren. Keizer (RisicoRegisseurs) heeft in dat verband een advies: “Een certificering of normenkader kun je met een brancheorganisatie realiseren. Zoals veel branches, van elektriciens tot Keurslagers certificeringen of normen hebben.”
ChannelConnect
November 2023
CC_DossierSecurity23_Rittal.indd 38
11/7/2023 9:37:37 AM
SECURITY & PRIVACY DOSSIER
Borger wijst daarbij wel op een mogelijke consequentie: “Als je dan naar die norm reageert op een RFP, dan zal de prijs van jouw oplossing stijgen. Het is de vraag of je bij dit thema dan nog steeds de opdracht krijgt. Wellicht prijs je jezelf met een normenkader wel uit de markt.” Cooijmans (Catharina Ziekenhuis) herkent dit wel: wie alle risico’s op een rij zet vindt vast veel aspecten die beter kunnen. “Dat gaat geld kosten, en zeker bij het mkb is voor dit onderwerp nu eenmaal weinig tot geen budget.” Bewustwording Dat nu is volgens Hiddink precies het probleem. Daarom begint elke vorm van verbetering volgens hem met bewustwording. “De eindklant weet het niet, dus moeten wíj de kennis in de markt vergroten. Zo is het uiteindelijk bij cybersecurity ook gegaan.” De bewustwording moet dan in zekere zin beginnen met de partijen die het mkb van apparatuur en services voorzien. Borger denkt met Hiddink mee: “De meeste partijen verdienen hun geld echter niet aan die beveiliging maar aan de data, de services, de hardware in de IT-behuizing. Dat is een heel andere rol.” Hiddink geeft het niet op. “Dan moet die installateur, of IT-reseller wellicht samen met iemand die verstand heeft van gebouwbeveiliging op pad.” Toms (Global Cyber Risk & Security Expert) reageert op een eerdere uitspraak: “Als je de bewustwording op een hoger niveau wilt vergroten dan zou dat theoretisch moeten starten op het hoogste niveau: de overheid. Die komt dan met normen. Dat werkt kostenverhogend voor iedereen, maar maakt de BV Nederland wel veiliger.” Nu vult regelgeving als NIS2 dit deels wel in, “maar echte bewustwording moet uit de sector zelf komen.”
Hoe nu verder? Aan het eind van het gesprek keert André Hiddink namens medeorganisator Rittal terug naar de initiële vraag van de discussie: zijn er mogelijkheden om bedrijfscontinuïteit vorm te geven door aan de fysieke IT-beveiliging meer aandacht te besteden? Hij geeft een opsomming van de thema’s die in dat kader tijdens de bijeenkomst aan bod kwamen. “Moet er een norm, een bewustwordingscampagne of een richtlijn komen, of vinden we NIS2 en AVG genoeg?” In het verlengde daarvan: “stel dat iemand te maken heeft gehad met dataverlies of een ander incident als gevolg van niet toereikende of fout geplaatste racks, of behuizingen, bij wie kan die dan terecht voor advies om een herhaling te voorkomen?” Er is, constateert Hiddink, geen grip op het thema: iedereen geeft een eigen invulling aan de bouw en inrichting van de omgevingen voor de fysieke IT. “We zien of onderkennen de risico’s niet, tenzij we te maken hebben met een incident.” “Je moet en zult bij risicoanalyses ook de fysieke beveiliging moeten inbedden,” is de reactie van Toms (Global Cyber Risk & Security expert). Keizer vult aan: “Maar niet voordat je een gedegen dreigingsprofiel hebt opgesteld waarbij een directie zich de vraag moet stellen tegen welke concrete risico’s beveiliging georganiseerd moet worden.
Beide elementen zorgen in elk geval voor bewustwording bij het management.” Borger (Tesorion) is het daarmee eens en brengt het vraagstuk terug tot de kern: “Als je de risico’s goed snapt zijn toereikende maatregelen eenvoudig te verzinnen.” Hij gaat erop door als hij stelt dat je door na te denken over processen in een organisatie eigenlijk automatisch ook op de fysieke risico’s, en het belang van fysieke beveiliging, komt. “Als je simpelweg naar een proces kijkt met de vraag: wat kan hier fout gaan? Hoe is dit proces te manipuleren?” Dan constateer je al snel dat een simpel slot niet afdoende is. Cooijmans (Catharina Ziekenhuis), spiegelt die uitspraak aan zijn eigen organisatie: “Als je bedenkt wat er bij een zorginstelling aan data op de servers staan, dan is duidelijk dat het daarbij gaat om de meest privacygevoelige gegevens. Die wil je beschermen. De waarde en het belang van die data overstijgen de waarde van de fysieke server.” Hij zegt daarmee indirect: relateer de prijs van de serverkast niet alleen aan de kostprijs van de hardware die erin staat, maar realiseer je dat het belang van een goede fysieke IT-omgeving veel verder gaat. Van Rijssen (X-ICT) onderschrijft dit. “Zoals elke vorm van beveiliging moet je het denken in silo’s overstijgen. Security gaat over alle disciplines heen.” ◾
ChannelConnect November 2023
CC_DossierSecurity23_Rittal.indd 39
39
11/7/2023 9:37:49 AM
BEVEILIG API’S EN ZORG VOOR MANAGEMENT
Criminelen vallen de onzichtbare interfaces aan API’s zorgen voor de connectie tussen een applicatie en andere programma’s en platforms. Dat maakt ze tot een interessant doelwit voor cybercriminelen. Ms(s)p’s kunnen daarop inspelen. Tekst: Mels Dees
I
n de snel evoluerende wereld van technologie en softwareontwikkeling zijn Application Programming Interfaces (API’s) onmisbare bouwstenen geworden. Ze maken het mogelijk voor verschillende softwaretoepassingen om met elkaar te communiceren. API’s zijn inmiddels alomtegenwoordig. En dat trekt de aandacht van cybercriminelen. Het gebruik van die interfaces is daarom niet zonder risico’s op het gebied van dataprivacy en security. Vooral ook omdat API’s vaak rechtstreeks toegang hebben tot essentiële systemen, zoals databases. Msp’s moeten daarmee rekening houden als ze de omgeving van hun klanten bewaken. Maar ook intern aandacht besteden aan de gevaren van API’s. We geven 7 tips voor een veilige omgang met API’s.
1
Zorg voor bewustwording Zoals geldt voor elke vorm van security, is het ook bij API-beveiliging allereerst een kwestie van bewustwording. Het punt is dat de IT-afdeling zich over het algemeen weinig zorgen maakt over API’s, het valt vaak buiten hun scope. Anderzijds zijn de developers zich niet altijd van de gevaren van API’s bewust. Noch van hun eigen API’s, noch van de externe API’s waarmee gecommuniceerd wordt.
40
2
Inventariseer de API’s-stack Het is zaak de stack aan API’s continu te inventariseren en na te gaan of ze allemaal ook daadwerkelijk gebruikt worden. De volgende stap is alle API’s onder te brengen in een API Management Platform (zie tip 4). Alleen zo zijn de API’s optimaal te managen en te beveiligen.
3
Zorg voor toegangscontrole Ook hier is er eigenlijk geen verschil met andere vormen van (cyber)criminaliteit. Een van de eerste uitdagingen bij de beveiliging van API’s is het vaststellen van de identiteit van de gebruikers en het verlenen van de juiste toegangsrechten. Authenticatie en autorisatie zijn essentieel om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot de API en de bijbehorende gegevens. Hierbij kan een ‘gebruiker’ overigens ook een algoritme of tool zijn. Juist omdat API’s onzichtbaar zijn, blijft ook de kwaliteit van de authenticatiemethoden vaak onderbelicht. Denk aan te eenvoudige wachtwoorden. Of aan onvoldoende beveiligde API-sleutels. Dit opent de deur voor aanvallers om zich voor te doen als legitieme gebruikers en toegang te krijgen tot gevoelige gegevens.
4
Organiseer API Management API-beheer is een belangrijk aspect van beveiliging, maar het kan ook een uitdaging zijn. Organisaties moeten een goed inzicht hebben in welke API’s beschikbaar zijn, wie er toegang toe heeft en hoe ze worden gebruikt. Het gebrek aan transparantie en controle kan leiden tot beveiligingsproblemen. Een effectieve API-beheeroplossing omvat functies zoals monitoring van API-verkeer, het beperken van toegang tot specifieke IP-adressen, en het implementeren van quota en beperkingen om overmatig gebruik te voorkomen. Dit kan echter ingewikkeld zijn om in te stellen en te beheren, vooral als een organisatie een groot aantal API’s heeft. Door dit beheer als ms(s)p aan te bieden kan een partner deze complexiteit wegnemen.
5
Zet in op data-integriteit en vertrouwelijkheid Het waarborgen van de integriteit en vertrouwelijkheid van gegevens die via API’s worden uitgewisseld, is een andere kritieke uitdaging. Gegevens die worden verstuurd en ontvangen via API’s moeten worden beschermd tegen manipulatie en ongeautoriseerde toegang. Een veelvoorkomend probleem is het gebrek aan versleuteling bij het overdragen van gegevens via
ChannelConnect
November 2023
CC_DossierSecurity23_API.indd 40
10/18/2023 4:18:23 PM
SECURITY & PRIVACY DOSSIER
API’s. Als gegevens niet versleuteld zijn, kunnen aanvallers gevoelige informatie onderscheppen en misbruiken.
6
Voorkom DDoS-aanvallen Distributed Denial of Service (DDoS)-aanvallen vormen een ernstige bedreiging voor API’s. Deze aanvallen proberen een API overweldigd te krijgen door een grote hoeveelheid verkeer te genereren, waardoor de dienst niet beschikbaar is voor legitieme gebruikers. Het beschermen tegen DDoS-aanvallen vereist geavanceerde beveiligingsmaatregelen, zoals het gebruik van content delivery networks (CDN’s) en het implementeren van Web Application Firewalls (WAF’s) om verdacht verkeer te blokkeren. Het monitoren van verkeer en het identificeren van ongebruikelijke
patronen is van cruciaal belang om snel te reageren op DDoS-aanvallen. Definieer een harde drempel voor het aantal requests per dag per API. Dit kan denial-of-service attacks voorkomen. (Of in elk geval de impact ervan beperken.)
7
Vergeet lifecycle Management niet API’s hebben een levenscyclus, en het beheren van deze levenscyclus kan een uitdaging zijn. Dit omvat het creëren, updaten, deactiveren en verwijderen van API’s op een gecontroleerde en veilige manier. Het verwaarlozen van oude en niet-gebruikte API’s kan een potentieel beveiligingsrisico vormen. Een solide levenscyclusbeheerproces omvat regelmatige audits en het testen van bestaande API’s, naast het automatiseren van updates en deac-
tivering van inactieve API’s, en het vaststellen van duidelijke procedures voor het verwijderen van API’s die niet langer nodig zijn. Tot slot De beveiliging van API’s is geen eenmalige inspanning, maar een taak die voortdurende aandacht en investeringen vereist. Het is voor bedrijven van cruciaal belang om te blijven evolueren en zich aan te passen aan de steeds veranderende bedreigingsomgeving om de veiligheid van API’s te waarborgen. Alleen met de juiste aandacht voor beveiliging kunnen organisaties profiteren van de voordelen van API’s zonder de risico’s te vergroten. Partners kunnen hierop inspelen door zich te specialiseren en API-beheer als managed service aan te bieden. ◾ ChannelConnect November 2023
CC_DossierSecurity23_API.indd 41
41
10/18/2023 4:18:37 PM
ESET BENADRUKT HET BELANG VAN BEWUSTE KEUZES
‘NIS2 onderkent het belang van MSP’s’ Tijdens de Grotetafeldiscussie waaraan ook ESET deelnam, kwam de positie van MSP’s in de supply chain uitgebreid aan de orde. Ashley Schut, Head of MSP bij ESET in Nederland, gaat daar in dit interview dieper op in. Tekst: Mels Dees
D
“
42
e supply chain en de positie van MSP’s daarin is een hot topic”, vertelt Ashley Schut. “Enerzijds omdat we zien dat MSP’s zelf steeds vaker het doelwit van cybercriminelen zijn, anderzijds omdat we herkennen dat intensieve samenwerking tussen partijen in de keten heel effectief kan zijn. Dat kunnen samenwerkingen zijn tussen verschillende MSP’s met hun eigen specialisme, maar ook een nauwe samenwerking tussen de MSP en een vendor, zoals ESET. Als we kijken naar de kwetsbaarheid van MSP’s voor cyberaanvallen, dan zien we dat het vaak om relatief kleine ondernemingen gaat die wel een IT-scope hebben van een enterprise omdat ze vaak meerdere klanten bedienen. Gezien hun eigen omvang is automatisering een must, daar kunnen ze niet omheen. Ze hebben immers nogal wat nodig om hun klanten goed te kunnen bedienen: namelijk toegang tot klantsystemen, tooling (zoals remote access tools) en netwerkconnectiviteit. Het is dan belangrijk voor een MSP om te weten welke tooling precies waarvoor
“Binnen het mkb spelen serviceproviders
wordt gebruikt binnen de omgeving, welke rechten die tools hebben en of sprake is van voldoende zichtbaarheid binnen de omgeving van de MSP. Als er een incident plaatsvindt, is het zaak dit tijdig te kunnen detecteren en hierop te reageren.” NIS2 belangrijk voor MSP “Gezien de sleutelrol van MSP’s, en het risico op incidenten, is het logisch dat de komende securitywetgeving NIS2 ook expliciet voor deze ondernemingen gaat gelden. Vanwege hun cruciale rol worden IT-dienstverleners binnen de richtlijn als een essentiële sector gezien. Zij gebruiken nu eenmaal vaak tooling om die eindklanten daadwerkelijk te helpen en hebben via en naar hun klanten een relatief groot aanvalsoppervlak. Binnen het mkb, dat toch de drijver is van onze economie, spelen deze serviceproviders bovendien een cruciale rol. Zij zijn de digitale motor. MSP’s hebben de kennis in huis om het mkb verder te helpen.” Hack in supply chain
een cruciale rol. Zij zijn de digitale motor” “Als we het hebben over de kwetsbaarheid van de supply chain, dan verwijs ik vaak naar de hack bij Solarwinds, die de boeken in is gegaan als ‘the boldest supply chain hack ever’. Veel grote bedrijven en overheidsinstellingen maakten gebruik van dat stuk Orion-software. Denk daarbij aan belangrijke diensten als Homeland Security in Amerika, en ook het Amerikaanse Ministerie van Defensie. Ik stel dan vaak dat MSP’s voor het mkb dezelfde functie hebben als Solarwinds destijds voor de Amerikaanse overheid. De service providers zijn de toegang tot de systemen van een groot aantal kleinere bedrijven. Daarom zijn ze een zo belangrijk onderdeel van de keten. En daarom moeten ze zich goed beveiligen in dit geval. Daar staat tegenover, dat als MSP’s hun zaken goed op orde hebben, en NIS2 zal
ChannelConnect
November 2023
CC_DossierSecurity23_Eset.indd 42
10/18/2023 4:23:29 PM
SECURITY & PRIVACY DOSSIER
Ashley Schut
“Gezien de complexiteit van security zien we steeds vaker dat een partner niet de complete stack kan oppakken. En dat hoeft ook niet” dat afdwingen, zij het Nederlandse bedrijfsleven een stuk veiliger kunnen maken.” Risicomanagement “Het is een open deur, maar uiteraard weten we dat 100% veiligheid niet bestaat. Je kunt de kans op een incident als MSP echter wel verkleinen: door inventarisatie en bewuste keuzes. Begin daarom met gedegen risicomanagement: welke assets heb ik in mijn omgeving? Hoe snel kan ik reageren op een incident? Welke tooling heb ik en waar is die kwetsbaar? Heb ik goed inzichtelijk wat er alle-
maal in mijn omgeving hangt? Het is heel belangrijk het response- en recover-stuk goed in te richten, te testen en continu te optimaliseren. Dit om snel en adequaat te kunnen reageren op incidenten in de eigen omgeving en die van de klanten.” “Gezien de complexiteit van security zien we steeds vaker dat een partner niet de complete stack kan oppakken. En dat hoeft ook niet. Zeker met de huidige uitdagingen op de arbeidsmarkt kan het niet zo zijn dat elke IT-dienstverlener, alles kan leveren. Ik denk dat daar juist de kracht van samenwerken naar boven komt. Dan kies je voor co-creatie, samen
met andere partners of de vendor. Een voorbeeld hiervan zijn onze Managed Detection & Response-diensten (MDR), die wij samen met onze MSP’s richting klanten aanbieden en hierin ook echt samen werken aan een propositie die verweven wordt met elkaar.” “Ons advies is daarom nadrukkelijk: ‘Maak hierin een bewuste keuze, en wees niet bang om samen te werken. Kijk naar de kennis en kunde die je in huis hebt, analyseer wat jouw ideale klant is en wat die wil, en specialiseer je. Daar kunnen wij de partners als vendor zeker bij helpen, bijvoorbeeld in de vorm van trainingen. Of door het geven van health checks om de MSP handvatten te bieden met betrekking tot hun eigen security. En uiteraard blijft de MSP met het directe klantcontact en kennis van de sector altijd in de lead.” ◾ ChannelConnect November 2023
CC_DossierSecurity23_Eset.indd 43
43
10/18/2023 4:23:43 PM
WIRELESS LOGIC BENELUX: ‘KIES VOOR EEN HOLISTISCHE AANPAK’
IoT-beveiliging is essentiële prioriteit Naarmate onze wereld steeds meer met elkaar verbonden raakt door technologie, is het geen geheim dat cyberdreigingen steeds meer aanwezig zijn. Een van de grootste bedreigingen waarmee we worden geconfronteerd, is de toenemende verspreiding van Internet of Things-apparaten in onze huizen, steden, industriële systemen en gezondheidszorg. Het beschermen van deze apparaten en netwerken tegen cyberaanvallen, ongeautoriseerde toegang en hacken is absoluut cruciaal. Dat betoogt Patrick Akkers, Network Engineer & Consultant bij Wireless Logic Benelux.
P
atrick Akkers: “IoT-apparaten vertrouwen op sensoren, software en geavanceerde encryptietechnologieën om te communiceren met andere apparaten en systemen op het internet. De beveiliging van internetverbindingen kan echter variëren afhankelijk van het type verbinding, of het nu gaat om bedrade of draadloze netwerken. Om IoT-beveiliging te waarborgen, is het essentieel dat we deze apparaten en netwerken beveiligen. Zwakke beveiligingsmaatregelen die niet overeenkomen met die van traditionele IT-systemen leiden vaak tot de kwetsbaarheid van IoT-apparaten. Bovendien zijn deze apparaten aantrekkelijker voor hackers in afgelegen of geïsoleerde locaties. Van slimme huishoudelijke apparaten tot medische apparaten, industriële machines en vitale infrastructuur, veel verschillende soorten apparaten lopen risico.
Patrick Akkers
44
Alomvattende aanpak Het positieve nieuws is dat er doeltreffende maatregelen beschikbaar zijn die organisaties kunnen implementeren om het risico op aanvallen te minimaliseren en de kwetsbaarheid van IoT-apparaten te verminderen. Het beschermen van IoT-apparaten tegen cyberaanvallen vereist een alomvattende aanpak voor
ChannelConnect
November 2023
CC_DossierSecurity23_WirelessLogic.indd 44
10/18/2023 4:25:24 PM
SECURITY & PRIVACY DOSSIER
beveiliging die drie hoofdcomponenten omvat: verdediging, detectie en reactie. Verdediging Verdediging richt zich op het beveiligen van IoT-apparaten tegen ongeautoriseerde toegang, wijziging of vernietiging. Organisaties kunnen een risicoanalyse uitvoeren om potentiële risico’s te identificeren, sterke wachtwoorden te gebruiken, gegevens te versleutelen en software up-to-date te houden. Daarnaast kan het trainen van medewerkers in de best practices voor cyberbeveiliging en het ontwikkelen van plannen voor het reageren op cyberaanvallen helpen om inbreuken te voorkomen.
Detectie draait om het identificeren van cyberdreigingen voordat ze schade kunnen aanrichten. Om dit te bereiken, kunnen we gebruikmaken van technologieën zoals machine learning en kunstmatige intelligentie om afwijkingen in het gedrag van apparaten en netwerken te identificeren. We kunnen ook beveiligingsanalyses toepassen om potentiële kwetsbaarheden in IoT-apparaten en netwerken te identificeren. Bovendien kunnen we intelligente sensoren gebruiken om verdachte activiteiten op te sporen. Reactie Reactie draait om het isoleren en oplossen van beveiligingsinbreuken.
Bij een inbreuk moeten organisaties onmiddellijk getroffen apparaten en netwerken isoleren om verdere schade te voorkomen. Vervolgens implementeren ze herstelmaatregelen om de systemen weer operationeel te maken. Tegelijkertijd is een onderzoek naar de inbreuk van cruciaal belang om de oorzaken en omvang ervan vast te stellen en lessen te trekken voor toekomstige beveiliging. Dit is een essentieel onderdeel van een sterke beveiligingsstrategie. Kortom, een holistische aanpak van IoT-beveiliging is de beste manier om apparaten en netwerken te beschermen. Werk hierbij samen met een betrouwbare partner”, zo betoogt Akkers. ◾ ChannelConnect November 2023
CC_DossierSecurity23_WirelessLogic.indd 45
45
10/18/2023 4:25:31 PM
MARTIJN NIELEN VAN WATCHGUARD OVER EFFECTIEVE BESCHERMING
NIS2 maakt een centraal securityplatform onmisbaar voor msp’s Onder NIS2 zijn managed security providers (msp’s) eindverantwoordelijk voor de security bij hun klanten. Dat heeft verstrekkende gevolgen. Het gelijktijdig bij een groot aantal klanten de complete securityomgeving beheersbaar maken, vraagt om specialistische middelen. Dat betoogt Martijn Nielen, Senior Sales Engineer bij WatchGuard Technologies.
O
ktober 2024 is in de agenda van menig securityprofessional rood omrand. Vanaf die maand is de NIS2-richtlijn zeer waarschijnlijk omgezet in wetgeving. Dat heeft verstrekkende gevolgen voor msp’s. Volgens de NIS2-richtlijn worden msp’s aangemerkt als digitale dienstverleners, aangezien zij beveiligingsdiensten aanbieden aan andere organisaties. Hierdoor vallen ze onder de reikwijdte van de richtlijn en moeten ze voldoen aan specifieke beveiligingsverplichtingen. Zij zijn vanaf dat moment niet alleen eindverantwoordelijk
Martijn Nielen
46
voor de eigen securityomgeving, maar ook voor de digitale veiligheid van hun klanten. Maatregelen in een breed spectrum Dat betekent in de praktijk dat zij een geïntegreerde, solide set security voor alle klanten moeten realiseren. “Een beetje security’ is met de NIS2 geen optie”, aldus Martijn Nielen. “De richtlijn vraagt om maatregelen in een breed spectrum: van patchmanagement tot identiteitsbeheer en van endpointsecurity tot netwerkbeveiliging. Losse puntoplossingen zijn nauwelijks meer een optie. In een lappendeken van securitymiddelen is de kans op de hiaten of (dure) overlap te groot. Bovendien neemt de complexiteit, en daarmee de kans op fouten, snel toe. Om over het inefficiënte beheer van zo’n versnipperd landschap nog maar te zwijgen.” Snel en adequaat handelen Bij onregelmatigheden moet een msp snel en adequaat handelen om een ernstig verloop van een aanval of incident zoveel mogelijk te voorkomen. Nielen: “Daarnaast vraagt de NIS2 om een beleid en middelen voor effectieve incidentrespons en incident recovery, mocht het
ChannelConnect
November 2023
CC_DossierSecurity23_WatchGuard.indd 46
10/18/2023 4:26:45 PM
SECURITY & PRIVACY DOSSIER
“NIS2 vraagt om een beleid en middelen voor effectieve incidentrespons en incident recovery, mocht het toch misgaan”
toch misgaan. Ze moeten dus bij iedere klant snel en adequaat kunnen ingrijpen. Het liefst ook zonder fysieke aanwezigheid. Als iedere minuut telt, is immers iedere minuut reistijd een teveel.” Verder verplicht de NIS2 tot het maken van een melding bij ernstige incidenten. Daar is haast bij: binnen uiterlijk 24 of 72 uur moet de eerste incidentrapportage bij de Rijksinspectie Digitale Infrastructuur liggen. Ook deze taak ligt onder de NIS2 bij de msp. Niet gemakkelijk Bovenstaande is geen gemakkelijke opgave. Het vraagt in sommige gevallen om een herziening van de manier waarop msp’s te werk gaan. “In alle gevallen vraagt het om een effectief, centraal securityplatform”, legt Nielen uit. “Een waarmee zij een hecht geïntegreerde set van securityvoorzieningen snel en effectief kunnen uitrollen en beheren. En op ieder willekeurig moment op afstand kunnen ingrijpen. Bijvoorbeeld middels het Watchguard Unified Security Platform, dat msp’s een diverse set tools en functies
biedt die nodig zijn voor NIS2-compliance.” Het Watchguard Unified Security Platform bestaat uit:
1
Geïntegreerde beveiligingsdiensten: het platform biedt een breed scala aan geïntegreerde beveiligingsdiensten, zoals firewall, IPS/IDS, antivirus, VPN en patchmanagement. Hierdoor kunnen msp’s een complete set beveiligingsoplossingen leveren zonder te hoeven vertrouwen op losse tools. Bovendien bevat het platform meerdere api’s voor naadloze integratie met bestaande, veelvoorkomende oplossingen.
2
Centraal beheer en monitoring: met het Watchguard Unified Security Platform kunnen msp’s alle beveiligingsactiviteiten van hun klanten centraal beheren en monitoren. Ze hebben volledige zichtbaarheid van alle netwerken, apparaten en gebruikers, waardoor ze snel dreigingen kunnen identificeren. Dankzij XDR kunnen ze eventuele dreigingen effectief neutraliseren.
3
Geautomatiseerde rapportage: het platform biedt geavanceerde rapportage- en analysetools waarmee msp’s gedetailleerde beveiligingsrapporten kunnen genereren. Dit vereenvoudigt het proces van compliance en maakt het gemakkelijk om klanten te voorzien van transparante en begrijpelijke rapporten over de beveiligingsstatus. Die informatie is onmisbaar voor het verbeteren van de security, maar ook voor het doen van de onder de NIS2 verplichte incidentmeldingen. Nielen: “Met de komst van de NIS2 is een centraal securityplatform van cruciaal belang voor msp’s. Het biedt de nodige zichtbaarheid, controle, schaalbaarheid en efficientie om aan de eisen van NIS2 te voldoen en hun klanten effectief te beschermen. Laat dat precies de doelstelling zijn die de EU met de richtlijn voor ogen heeft.” “NIS2 geen optie”, aldus Nielen. “De richtlijn vraagt om maatregelen in een breed spectrum: van patchmanagement tot identiteitsbeheer en van endpointsecurity tot netwerkbeveiliging.” ◾ ChannelConnect November 2023
CC_DossierSecurity23_WatchGuard.indd 47
47
10/18/2023 4:26:57 PM
FORTINET OVER DE TOEGEVOEGDE WAARDE VAN SASE
‘SASE verdient aandacht van elke partner’ “SSE + SD-WAN = SASE is een opstelsom die in de cybersecuritybranche steeds vaker gemaakt wordt”, zegt Bas van Hoek, Head of Channel Netherlands bij Fortinet. “SASE voorziet hybride werknemers van consistente cybersecurity, ongeacht hun locatie, door netwerkcomponenten (SD-WAN) te combineren met cloudgebaseerde security (SSE). SASE voegt veel waarde toe voor onze klanten en biedt daardoor kansen voor IT-dienstverleners die zich daarin specialiseren.”
B
ij veel organisaties is er nog steeds verwarring over wat SSE inhoudt en welke cloudgebaseerde beveiligingsoplossingen nodig zijn voor een allesomvattende SASE-aanpak. Van Hoek: “Security Service Edge (SSE) is een beveiligingsoplossing die vanuit eigen POP’s aangeboden wordt en vier securitycomponenten combineert: Firewall-as-a-Service (FWaaS), secure web gateway (SWG), cloud access security broker (CASB) en zero-trust network access (ZTNA). “Elk van deze producten werkt samen om gebruikers, apparaten en randen van toepassingen te beveiligen, ongeacht de locatie”, vertelt Van Hoek.
Vier securitycomponenten FWaaS voorziet in next-generation firewalls (NGFW’s) inclusief webfiltering en inbraakpreventiesystemen (IPS, DNS-beveiliging, bestandsfiltering, bescherming tegen bedreigingen). Door dit af te nemen als clouddienst, krijgen organisaties flexibiliteit en schaalbaarheid in de beveiligingsdekking, zonder kosten voor aanschaf, onderhoud en beheer van een hardware-infrastructuur.
1
48
2
Een secure web gateway (SWG) beschermt het netwerk tegen internetaanvallen. Nu bedreigingen steeds geavanceerder worden, draaien aanvallers overuren om je netwerk te infiltreren en zo lang mogelijk verborgen te blijven. Een SWG beschikt over verschillende beveiligingsfuncties zoals inbraakpreventie, DNS-filtering en sandboxing. Met SASE wordt SWG geleverd als een cloudgebaseerde proxy binnen SSE.
Bas van Hoek
3
De cloud access security broker (CASB) bevindt zich tussen gebruikers en hun cloudapplicaties en dwingt het beveiligingsbeleid van een organisatie af als gebruikers verbonden zijn met de cloud. CASB maakt het gebruik van cloudapplicaties inzichtelijk, zoals apparaat- en locatiegegevens en biedt analyses waarmee organisaties het risico van clouddiensten kunnen beoordelen. CASB bevat bovendien DLP-tools, zodat organisaties datalekken kunnen voorkomen in de uitwisseling van gevoelige informatie tussen hun on-premise en cloudomgevingen.
ChannelConnect
November 2023
CC_DossierSecurity23_Fortinet.indd 48
10/18/2023 4:28:12 PM
SECURITY & PRIVACY DOSSIER
Wat is SASE? De term SASE staat voor Secure Access Service Edge en is een model voor een cloudarchitectuur dat netwerken en security-as-a-service combineert en levert als één enkele clouddienst. Dat maakt SASE zeer geschikt voor organisaties met werknemers op afstand die voornamelijk gebruikmaken van cloudapplicaties. SASE pakt het connectiviteitsprobleem aan deze gebruikers ervaren als zij via een VPN-tunnel cloudapplicaties willen benaderen. De organisatie hoeft daarvoor geen concessies te doen aan het securitybeleid. In principe breidt SASE netwerk- en beveiligingsmogelijkheden verder uit dan waar ze normaal beschikbaar zijn. Hierdoor zijn werknemers die ‘overal en altijd’ toegang hebben tot netwerken en applicaties (‘work from anywhere’), beschermd door een firewall-as-a-service (FWaaS), een veilige webgateway (SWG), zero-trust-netwerktoegang (ZTNA) en een reeks bedreigingsdetectiefuncties. SASE bestaat uit Security Service Edge (SSE) en SD-WAN.
4
Tot slot verifiëren zero-trust network access (ZTNA)-oplossingen alle gebruikers en apparaten die toegang hebben, of proberen te krijgen, tot bedrijfstoepassingen en -gegevens. Dankzij ZTNA kunnen organisaties afscheid nemen van VPN-tunnels die onbeperkte toegang bieden tot het hele netwerk. “FortiSASE integreert al deze Fortinet producten tot één dienst, die vanuit eigen POP’s wereldwijd aangeboden wordt en toegankelijk is”, aldus Van Hoek.
De SASE-aanpak met één leverancier “SSE is een cruciaal onderdeel van SASE, maar het is slechts de helft van de optelsom”, zegt Van Hoek. “SD-WAN is de andere helft. SSE en SD-WAN moeten naar onze mening
naadloos samenwerken, wil een SASE-implementatie allesomvattend zijn. Wij bieden daarvoor een geïntegreerd platform, genaamd FortiSASE. Dit waarborgt geïntegreerde beveiliging voor alle gebruikers, toepassingen en apparaten. Het vereenvoudigt het beheer door één beheerconsole voor alle beveiligings- en netwerkfuncties. Het verbetert de prestaties door het optimaliseren van de verkeersstroom tussen gebruikers, toepassingen en de cloud. Het verlaagt bovendien de kosten doordat organisaties niet langer verschillende leveranciers en oplossingen hoeven te beheren.” SASE blijft groeien in populariteit SASE is weliswaar een relatief nieuwe oplossing, maar het is geen
“SSE en SD-WAN moeten naadloos samenwerken, wil SASE allesomvattend zijn”
hype, benadrukt Van Hoek. “Het wordt in rap tempo geïntegreerd in de infrastructuur van onze klanten en is daarmee hét alternatief voor de traditionele VPN-verbinding. Onze partners kunnen de kansen die dit biedt verzilveren door hun klanten te voorzien van een oplossing die niet alleen verbindingen van en naar het internet beschermt, maar ook SaaS- en privétoepassingen.” Bovendien kunnen partners van Fortinet hun dienstenaanbod uitbreiden, want de cloudgebaseerde beveiligingsoplossingen binnen FortiSASE moeten actueel worden gehouden en worden bijgewerkt. Van Hoek: “Onze partners kennen de nieuwste ontwikkelingen die bescherming bieden tegen opkomende en steeds veranderende cyberbedreigingen. Het toevoegen van FortiSASE, daar waar zinvol, verhoogt enerzijds het cybersecurityniveau van klanten en vergroot anderzijds de user experience en adoptie van cloudapplicaties van de gebruikers.” ◾ ChannelConnect November 2023
CC_DossierSecurity23_Fortinet.indd 49
49
10/18/2023 4:28:22 PM
The new IT security event
• Jaya Baloo •
WED
NOV 1
Brenno de Winter • Daniel Gebler • Don Eijndhoven Olaf Hartong • Mark Cherp Anouk Vos THU
• Richard van Hooijdonk •
NOV 2
Peter Zinn • Dave Maasland • Pieter Jansen Angeline van Dijk • Pieter Jenniskens Daan Keuper & Thijs Alkemade
Is your organization secure? Join us on 1-2 November 2023, for cutting-edge cybersecurity insights. Best of all, it's free!
Register for free cybersec-netherlands.com
Cyber attacks are an ever-growing threat in today’s tech environment. Cybersec Netherlands is the platform for experienced cyber security professionals, to share knowledge with their peers for jointly coping with cybersecurity challenges. Businesses and institutions from all sectors learn how to improve cyber resilience and protect their core.
1-2 November, 2023 | Jaarbeurs - Utrecht CC_DossierSecurity23_Advertenties.indd 50
10/18/2023 3:14:22 PM
SECURITY & PRIVACY DOSSIER
BTSOFTWARE OVER HET BELANG VAN PERSOONLIJKE GEGEVENS
De waarde van privacygevoelige informatie Dat het belangrijk is om privacygevoelige informatie te beschermen en te waarborgen, weet iedereen. Toch gaan we daar soms nogal laks mee om. En dat opent de deur voor landen waar ze de democratie minder hoog in het vaandel hebben staan. BTSoftware schetst de gevaren.
A
ls je het hebt over privacy, ligt er meestal een grote nadruk op de persoonlijke gegevens van Jan en alleman. Hoewel het natuurlijk belangrijk is om deze informatie goed te beschermen, gaat Jan en alleman zelf daar vaak nogal laks mee om. Meestal loopt het zo’n vaart niet, maar het wordt een ander verhaal als het gaat om persoonlijke gegevens van personen die op wat voor manier dan ook (politiek, maatschappelijk, commercieel, militair, diplomatiek, etc.) een rol spelen in onze samenleving. Commerciële krachten De hedendaagse wereldmaatschappij is ruwweg te verdelen in twee stromingen: de democratische en de dictatoriale/autocratische, waarbij laatstgenoemde zich kenmerkt door onder meer repressie, het negeren van basisrechten en territoriale agressie. In een democratie worden de persoonlijke gegevens van mensen beschermd tegen onder meer commerciële krachten. Deze privacybeschermingen gelden niet (meer) wanneer personen een andere nationaliteit hebben dan die van het land waarin ze wonen. Dan sneuvelt bijvoorbeeld het ene na het andere EU-USA Privacy Shield (Schrems I & II, en verder). Het feit dat de Amerikaanse overheid alle overeenkomsten met de EU aan de kant kan schuiven, geeft aan dat reparatie van de Privacy Shields tot mislukken is gedoemd.
In dictatoriale/autocratische landen is privacy (voor de eigen bevolking) eveneens vaak in de wetgeving verwerkt. ‘Staatsveiligheid’ is echter dusdanig ruim gedefinieerd, dat de staat simpelweg almachtig geworden is. Staatsgevaarlijk Het hoeft geen betoog dat er geen privacygevoelige informatie tussen democratisch georganiseerde landen en dictaturen/autocratische landen wordt uitgewisseld. En hier zit ‘m de crux. Een land als China is naarstig op zoek naar middelen om personen te volgen die als staatsgevaarlijk voor China gezien worden. Oftewel: men zoekt de namen, (mail) adressen en telefoonnummers van
de schijnbaar random datadiefstallen, inmiddels alweer enige tijd geleden, bij onder meer luchtvaartmaatschappijen en hotelketens. Grote impact Het was al een veeg teken dat de gestolen informatie niet opdook in het criminele circuit. Zulke inbraken zijn namelijk nuttig voor China. Iedereen die vliegt en/of in hotels verblijft, is verplicht om een mobiel nummer en een (mail)adres op te geven. Het opgeven van fictieve informatie is nagenoeg onmogelijk. Daarnaast wordt veelal gevraagd om extra informatie van mensen die in geval van nood moeten worden benaderd. Door dit soort hoogkwalitatieve gegevens slim
‘Staatsveiligheid’ is echter dusdanig ruim gedefinieerd, dat de staat simpelweg almachtig geworden is journalisten, dissidenten, diplomaten, belangrijke CEO’s enzovoort. Met deze informatie zijn personen makkelijk traceerbaar, in principe over de hele wereld, maar vooral wanneer men in een omgeving komt waar China toegang heeft tot telefoonnetwerkconnecties. Als je het (EIMEI-)nummer van iemand hebt, kun je eenvoudig nagaan waar deze persoon zich bevindt. Dit verklaart
te combineren, kunnen autoritaire regimes precies zien wie hun land binnenkomen, waar zij verblijven en met wij zij contact hebben. Kortom, informatie die in onze ogen nauwelijks privacygevoelig is, kan een grote impact hebben op de security van de personen die uiteindelijk een belangrijke rol spelen bij het waarborgen van onze democratische vrijheden. ◾ ChannelConnect November 2023
CC_DossierSecurity23_BTSoftware.indd 51
51
10/18/2023 4:28:58 PM
SONICWALL IMPLEMENTEERT WENSEN VAN PARTNERS
Security-specialist speelt in op actuele ontwikkelingen
Spencer Starkey
Zoals een security-specialist betaamt, speelt SonicWall in op actuele uitdagingen. Dit geldt uiteraard voor cyberdreigingen, maar ook voor de impact die NIS2 zal hebben op de partners in het kanaal. Tekst: Mels Dees
E
“
52
lk land binnen de EU geeft een eigen invulling aan NIS2, en in details zijn er verschillen tussen de wet- en regelgeving van individuele staten,” geeft Spencer Starkey, Vice President EMEA bij SonicWall aan. “Maar er is een raamwerk gedefinieerd op Europees niveau, en dat verwerkten we in een educatieprogramma gericht op de implementatie van NIS2 bij zowel onze partners als bij hun klanten.” Dit initiatief heeft als doel te helpen bij het begrijpen en aanpakken
van de uitdagingen die NIS2 met zich meebrengt. “Wij bieden de middelen en ondersteuning om partners en hun klanten te helpen bij deze complexe regelgeving. Zeker voor partners die zelf in meerdere Europese landen actief zijn, of klanten met grensoverschrijdende activiteiten hebben, is de behoefte aan informatie groot, merken we.” Communicatie met partners Dit anticiperen op noden van de partners staat niet op zichzelf,
stelt Starkey. “We hebben in de afgelopen 18 maanden binnen onze organisatie een naar ons idee significante verschuiving doorgemaakt in de manier waarop we communiceren met onze klanten.” En die klanten zijn voor SonicWall de channel-partners. Zij zijn immers de link tussen de leverancier en de eindgebruikers. “Marketeers spreken traditioneel graag over een ‘buiten-naar-binnen’-benadering, maar veel ondernemingen geven er niet heel nadrukkelijk invulling
ChannelConnect
November 2023
CC_DossierSecurity23_SonicWall.indd 52
10/18/2023 4:30:34 PM
SECURITY & PRIVACY DOSSIER
aan. Wij hebben dat de afgelopen anderhalf jaar wel heel nadrukkelijk gedaan.” Natuurlijk was er altijd contact met partners via wie producten en diensten geleverd werden. Daarbij ging het zowel om distributeurs als om serviceproviders. “Maar ontwikkelingen in de markt, zowel op macro-economisch niveau, als ook op het vlak van de lokale business gaan zo snel, en hebben als het om security gaat zoveel impact, dat we heel gericht onze partners gingen bevragen over hun bevindingen,” maakt Starkey duidelijk. “Deze benadering heeft geleid tot een reeks veranderingen in hoe SonicWall samenwerkt met zijn partners.” Flexibiliteit Het kanaal kan, zo stelt Starkey, profiteren van de manier waarop SonicWall de feedback interpreteert. “We streven er nadrukkelijk naar de partners meer flexibiliteit in het partnerprogramma te bieden. Daarnaast geven we nog meer aandacht dan we al deden aan ondersteuning en training en aan differentiatie.” Met dat laatste doelt Starkey op het bieden van oplossingen voor specifieke verticals en andere specialisaties waarvoor partners kunnen kiezen. “Door voor die invulling te kiezen kunnen we een breder spectrum aan partners aan ons binden en ondersteunen,” stelt de Vice President EMEA. “Sterker nog, we moedigen onze relaties aan zich op een bepaald segment of gebied te specialiseren, en zoveel mogelijk samen te werken met andere partners. Dit om een complete stack aan security-oplossingen aan te kunnen bieden aan eindklanten en zo vanuit een specialisatie ondernemingen volledig te ontzorgen op basis van ons complete portfolio.”
“We hebben gemerkt dat onze partners ondersteuning nodig hebben bij het werven van nieuwe klanten. En we willen investeren in hun groei” Acquisitie van eindklanten Een van de uitdagingen waarmee partners worden geconfronteerd, weet Starkey, is het aantrekken van nieuwe klanten. “Dit kan natuurlijk spelen in het huidige marktsegment waarin deze ondernemingen actief zijn, maar zeker ook betrekking hebben op volledig nieuwe markten die ze willen ontginnen.” Het aantrekken van nieuwe klanten kan voor partners een uitdaging zijn, vooral gezien de economische tegenwind die veel bedrijven op dit moment ervaren. ‘We hebben gemerkt dat onze partners ondersteuning nodig hebben bij het werven van nieuwe klanten. En we willen investeren in hun groei,” legt Starkey uit. Om die reden introduceert SonicWall per 1 februari volgend jaar een nieuw partnerprogramma. Dit programma biedt meer marketingontwikkelingsfondsen, waardoor partners middelen krijgen om hun klantenbestand uit
tuur te laten zien. Dit is een gratis tool die we aanbieden. Het helpt eindklanten de juiste beslissingen te nemen om hun beveiliging te verbeteren.” Generatieve AI Een actueel aspect van cyberbeveiliging is de opkomst van generatieve AI, zowel bij de beveiliging van assets als ook als onderdeel van de gereedschapskist van aanvallers. “SonicWall heeft zichzelf altijd al geëngageerd met Machine Learning om dreigingen te detecteren en te bestrijden,” geeft de Vice President aan. “We zijn ons er echter terdege van bewust dat slechte actoren inmiddels ook gebruik maken van deze technologie.” Generatieve Artificial Intelligence stelt hen immers in staat om snel nieuwe aanvalsmethoden te ontwikkelen en te implementeren.
“We helpen partners bij het uitvoeren van security-audits om de klant de waarde van hun huidige beveiligingsinfrastructuur te laten zien” te breiden. Partners merkten ook op dat hun (eind)klanten op zoek zijn naar toegevoegde waarde in plaats van alleen ‘best of breed’ oplossingen. “Daarop spelen we nadrukkelijk in,” stelt Starkey. “We helpen partners bij het uitvoeren van security-audits om de klant de waarde van hun huidige beveiligingsinfrastruc-
Starkey: “Juist om dit tegen te gaan, zullen wij verder gaan met het doorontwikkelen van Machine Learning en andere technologieën in de producten en diensten. Zo blijven we ons inzetten voor het beschermen van klanten tegen cyberdreigingen en het bieden van de beste beveiligingstechnologie.” ◾ ChannelConnect November 2023
CC_DossierSecurity23_SonicWall.indd 53
53
10/18/2023 4:30:36 PM
COLUMN | MELS DEES Mels Deels is ICT-journalist en schrijft al meer dan 20 jaar over ontwikkelingen en trends in onze branche.
Reageren? Mail naar mels.dees@imediate.nl
Onvoorspelbare schakel W e hebben het waarschijnlijk allemaal regelmatig meegemaakt: de brand- of ontruimingsoefening. BHV’ers rennen nerveus door het pand en geven collega’s die toch in de lift willen stappen een standje. De andere medewerkers sjokken lacherig 14 verdiepingen naar beneden, waar de rokers die toch al buiten stonden zich allang bij het verzamelpunt hebben gemeld.
Hoewel de kans op een cyberincident ongeveer 80 keer groter is dan het risico op brand, voeren we zelden cyber-ontruimingsoefeningen uit. Er zijn experts die vinden dat je een ethical hacker op elk moment op elke segment van het netwerk moet toelaten. Dat is, denk ik, best gewaagd. Aan de ene kant vanwege het feit dat je dan qua AVG en (straks) NIS2 waarschijnlijk zo strenge afspraken met de testende partij moet maken, dat een dergelijke oefening nauwelijks uit te voeren is. Uit te stellen Aan de andere kant ligt ook hier de vergelijking met de fysieke brandoefening voor de hand. Natuurlijk kan er een échte brand uitbreken op het moment dat de belangrijkste klant van de onderneming over een contractverlenging komt onderhandelen, maar slimmer is het de test even uit te stellen. En: een branddeur die een uurtje openstaat tijdens een regenbui is te overzien, maar om nu twee keer per jaar het hele gebouw plat te leggen door ook de sprinklers uitgebreid te testen gaat wat ver.
54
Lopend proces Nu is het onvermijdelijk dat elke test, of het nou de toegang tot de computerruimte, de aanval van een ethical hacker of een traditionele ontruimingsoefening is, op dat moment een storing is van een lopend proces. De deadline van een krant, bijvoorbeeld. Nu hoeft ook dat niet per se een probleem te zijn. Ervaring bij de betreffende teams kan de meeste incidenten opvangen, als iedereen meewerkt. Machines Dat laatste is dan wel een voorwaarde. Ik maakte bij een groot computertijdschrift (nee, niet ChannelConnect) mee dat de chefredacteur zich braaf bij het verzamelpunt had gemeld na de ontruiming, maar vervolgens op zijn fiets was gestapt en, voor ons onbereikbaar, naar huis reed. “Hoe kun je dat nou doen,” was de volgende ochtend onze verontwaardigde vraag. “We moesten alle zeilen bijzetten om alles op tijd naar de drukker te krijgen.” De medewerker in kwestie keek ons verbaasd aan en antwoordde: “Bij een echte brand waren we toch ook niet op tijd naar de drukker gegaan?” Kortom: de mens is bij security wellicht niet zozeer de zwakste schakel, zoals vaak wordt beweerd, maar soms wel de minst voorspelbare. Gelukkig maar, we zijn immers geen machines.
Nu is het onvermijdelijk dat elke test op dat moment een storing is van een lopend proces
ChannelConnect
November 2023
CC_DossierSecurity23_ColumnMels.indd 54
10/18/2023 3:48:19 PM
Performance and security
Some of our customers and partners
predict
protect
perform
Predict network and application behavior based on historical data. Sceptr helps you to get in-depth insights into your IT landscape, allowing organizations to identify trends and perform capacity planning quickly.
Protect your business from within. Building up a fence around your IT infrastructure is no longer sufficient; malicious users always find a way to get in. Using Sceptr’s solutions, your network becomes the source of information that helps you detect the undetected .
Digital transformation has turned your IT organization into the engine that drives your business: it is imperative to be available and performant. Sceptr’s solutions detect failures and performance issues quickly and and allow you to take action to resolve issues.
Sceptr helps you predict, protect and perform better. Want to know more about our solutions? Please reach out to us.
www.sceptr.com
Advertorial ChannelConnect Final.indd 1
CC_DossierSecurity23_Advertenties.indd 55
05-04-2023 13:38
10/18/2023 3:14:23 PM
DAN BENT U BIJ ONS AAN HET JUISTE ADRES.
ZO MAKEN WIJ UW CLOUD RIDE EASY: ■ Met een transparante Cloud die onbeperkt schaalbaar is ■ Met een duidelijk afrekenmodel: betaal alleen voor uw echte gebruik ■ Met een Cloud-strategie die perfect bij uw organisatie past ■ Met een soeverein Cloud-fundament waarbij uw data 100% veilig is
en op Nederlandse bodem staat MEER WETEN?
GO BEYOND. BE THE BEST.
CC_DossierSecurity23_Advertenties.indd 56
Ga naar www.fundaments.nl/ride of scan de QR-code en boek uw expert-sessie in onze Cloud-BUZZ!
10/18/2023 3:14:24 PM