Het was eind vorig jaar een nieuwsbericht zoals er tegenwoordig meer zijn “Claranet bundelt beveiligingsexpertise met de officiële lancering van de Claranet Cyber Security unit”. De vraag naar security in de vorm van diensten, kennis en mensen is prominent aanwezig en lijkt met name de laatste kwartalen de pan uit te rijzen. Er zijn nog nooit zoveel vacatures voor security-experts uitgezet en de vraag naar gespecialiseerde security-trainingen is hoger dan ooit. Tijd voor een aantal vragen aan Curtis Partoredjo, Account Manager Security, en Henk Liebeek, Product Manager, over de stappen die Claranet zet om klanten beter te beschermen.
Hoe belangrijk is security voor Claranet?
Curtis: Om simpel te zijn; het is van levensbelang! Voor ons komt de beveiliging van data op de eerste plaats. We kunnen het ons gewoon niet veroorloven om hier halfslachtig mee om te gaan en zijn dus continu bezig met het verbeteren van de beveiliging van onze platformen, netwerken en diensten. Dat is een continu proces. Criminele hackers zitten namelijk niet stil en zijn continu op zoek naar nieuwe kwetsbaarheden die ze kunnen uitbuiten.
Henk: Je kan het zien als wedloop van de ‘goeden’ tegen de ‘slechten’ en reken maar dat je geen moment rustig achterover kan leunen. Elk moment van onachtzaamheid kan zorgen voor een datalek van jewelste, die je je niet kan veroorloven, waarbij de ‘slechten’ zich ook nog eens niet aan de spelregels houden, als die er al zijn. Dat is nu ook precies de reden dat we een eigen Cyber Security Unit hebben opgericht. We zien de worsteling die onze klanten, en met name de IT-afdelingen, hebben om de razendsnelle ontwikkelingen bij te houden. Daarvoor moeten ze eigenlijk specialisten in dienst nemen en dan nog is het een hele opgave om het volledige securityspectrum op het netvlies te houden.
Wat is de Claranet Cyber Security Unit?
Henk: Daarvoor moeten we eigenlijk een stukje terug in de tijd. Claranet is van huis uit een provider met een focus op werkplekken, netwerk en hosting. Uiteraard zijn deze diensten altijd goed beveiligd met firewalls, antivirus, malwarescanners, etc. We kregen echter steeds vaker de vraag naar extra securityconsultancy, trainingen en pentesten en hadden ook zelf de behoefte aan meer specialistische kennis. We hebben hiervoor de krachten gebundeld met twee specialistische securitypartijen die onderdeel zijn geworden van de Claranet Groep.
Curtis: Sec-1 en NotSoSecure, want over die partijen hebben we het, zijn echte specialisten op het gebied van security die binnen onze branche in de buitencategorie zitten. NotSoSecure is een van de belangrijkste trainingspartijen op de hoog aangeschreven wereldwijde Black Hat conventies. Zo hebben zij op de laatste Black Hat conventie in Las Vegas maar liefst 597 cursisten getraind in een uiteenlopende reeks van trainingen: van eendaagse introductietrainingen tot een vierdaagse deep-dive technische training.
Henk: Om de krachten van alle securityspecialisten binnen Claranet te bundelen hebben we nu deze speciale unit onder de naam Claranet Cyber Security Unit opgericht waarin alle security gerelateerde kennis en dienstverlening is opgenomen. Vanuit deze unit worden bijvoorbeeld alle trainingen gegeven, maar worden ook de Security Operating Centers (SOC) bemand. Hierdoor zorgen we dat kennis en kunde op hoog niveau blijven en we flexibel kunnen inspelen op ontwikkelingen op securitygebied. En hoe gemakkelijk is dat dan voor Nederland?
Curtis: Voor ons is het uitstekend in te passen in onze bestaande dienstverlening. We hebben natuurlijk profijt van onze cultuur; in Nederland kijken we er niet van op om een Engelstalige training te hebben of een document in een andere taal te zien. Wij passen ons moeiteloos aan en dat is een groot voordeel om snel te kunnen schakelen tussen klanten en de specialisten. Daarnaast is er natuurlijk de eigen inbreng vanuit Nederland; als we een phishingtest uitvoeren bij een klant kunnen we uiteraard een advocaat uit het Midden-Oosten of Afrika in slecht Engels nabootsen, maar net zo handig schakelen we over naar een goed nagemaakte Nederlandstalige e-mail vanuit een bank of LinkedIn zonder spelfouten waarbij je een stukje verder moet kijken naar onveilige linkjes of een onjuist e-mailadres van de afzender.
Henk: Sterker nog, deze internationale aanpak geeft ook enorme voordelen voor het signaleren van trends en bewegingen op security-vlak. Wij zien veel makkelijker het grotere geheel en kunnen daarna eenvoudig schakelen om de impact van een aanvalsgolf of uitbraak te minimaliseren. Als we dat alleen op nationaal niveau invullen, zouden we veel sneller verrast kunnen worden.
Hoe verhoudt de security in Nederland zich ten opzichte van het buitenland?
Henk: We merken dat we in Nederland voorop lopen, zowel in het aantal aanvallen als in het niveau van beveiliging. Het eerste is makkelijk uit te leggen; in Nederland is er al jarenlang een enorm hoge penetratiegraad qua bandbreedte. Bijna iedereen is online en omdat we ook een kennisintensief bedrijfsleven hebben, zijn we een populair doelwit. Daarentegen lopen we ook voorop op het gebied van de databeveiliging.
Curtis: Dat heeft voor een groot deel te maken met het feit dat onze overheid graag voorop loopt en het ‘beste jongetje van de klas’ wil zijn. In Nederland was de Wet Bescherming Persoonsgegevens al van toepassing in de jaren vóór de introductie van de Algemene Verordening Gegevensbescherming van vorig jaar waardoor we in fases met de nieuwe wetgeving te maken kregen. Nu is het ook weer zo dat dit een enorme impact had op onze klanten of dat het allemaal als negatief is ervaren. We hebben de afgelopen periode regelmatig reacties gehad vanuit onze klanten die aangaven dat ze blij waren met de nieuwe regels omdat het eigenlijk de onderbouwing en bevestiging was dat ze vanuit hun eigen branche al jaren op de juiste manier aan het werken waren. Alleen was het nu ook nog een netjes opgeschreven en formeel vastgelegd.
Henk: En uiteraard is de invloed vanuit onze kenniseconomie groot; als je bedrijfsvoering om de data heen draait, MOET je wel voorop lopen in de bescherming ervan.
Wat zien jullie als belangrijke trends op security-gebied?
Curtis: De open deur is dat het enorm afhankelijk is van wat er nog gaat gebeuren de komende tijd; een aanvalsgolf met malware zoals WannaCry krijgt natuurlijk enorme aandacht en houdt het nieuws een tijd lang in zijn greep. Als er zo’n zelfde aanval plaatsvindt op een gevonden kwetsbaarheid die slecht gepatched is, vallen alle voorspellingen daarbij in het niet.
Henk: Ok, maar dat even uitgesloten. We zien een aantal signalen van sterk opkomende trends die we ongetwijfeld terug gaan zien. Zo zal versleuteld e-mailen de standaard worden; hiermee kun je zo’n 2/3 van de datalekken in Nederland direct voorkomen door het gebruik van een zeer eenvoudige toevoeging van je e-mailprogramma. Wij hebben een aantal klanten reeds draaien op het Claranet-equivalent ervan; Veilig Mailen en het gebruikersgemak is enorm te noemen.
Curtis: Ik verwacht ook nog wel wat extra acties vanuit de Autoriteit Persoonsgegevens. Ze hebben eind vorig aar de eerste forse boete uitgedeeld aan Uber; € 600.000 voor een te laat gemeld datalek is niet niets. Met ruim 20.000 gemelde datalekken kun je erop wachten dat er meer controles en boetes gaan volgen.
Henk: Iets dichter bij huis is de verschuiving van het beeld dat er rondom hackers bestaat. Tot voor kort werden alle hackers per definitie neergezet als cybercriminelen terwijl er inmiddels ook een duidelijke groep ethische hackers, ook wel white hat-hackers, te definiëren is. Sterker nog, van een aantal van onze specialisten kunnen we met de beste wil ter wereld niet ontkennen dat je ze moet zien als hackers… niets mis mee. Zij zijn vanuit hun eigen ervaring en kennis ook echt de beste trainers die we inzetten om uit te leggen hoe je kwetsbaarheden voorkomt of minimaal identificeert.
Hoe kunnen organisaties zich beter beschermen?
Henk: Behalve het aanpassen van het intrinsieke security-beleid van een organisatie is er een aantal tools op de markt dat een opmars maakt. We hebben versleuteld mailen reeds genoemd, maar je zou ook kunnen denken aan een Vulnerability Scanner. Hierbij wordt een netwerk of platform volautomatisch continu gescand op zoek naar kwetsbaarheden. De regels en kenmerken worden voortdurend aangepast aan nieuwe bekende kwetsbaarheden waardoor je direct actie kunt ondernemen en niet afhankelijk bent van een enkelvoudige, eenmalig uitgevoerde pentest.
Curtis: Daarnaast ligt er een grote uitdaging om de bewustwording binnen een organisatie op peil te krijgen en te houden. Niet alleen via een phishingcampagne, maar ook via presentaties, seminars en trainingen. Wij houden organisaties altijd voor dat je medewerkers liever beter te argwanend moeten maken, dan te goedgelovig.
"Security = No.1" komt uit ons Security Magazine. Benieuwd naar dit magazine? Vraag deze dan onderstaand gratis aan.