Claranet heeft een nieuwe business unit opgericht die zich volledig focust op digitale beveiliging; Claranet Cyber Security Nederland. We spreken met Bart Jacobs, Commercieel Director van Claranet Benelux, en Neil Thomas, Claranet Group Security Services Director, over deze nieuwe unit, de grootste online gevaren én het Claranet securityportfolio om daar tegenwicht aan te bieden.
Waarom een nieuwe Cybersecurity Unit voor Nederland?
Bart: We zien een aantal bewegingen waar we op in willen spelen. Als eerste zien we uiteraard de stijgende online dreiging. Als het een legitieme branche zou zijn waar je als investeerder zou kunnen instappen, is het de meest succesvolle van de afgelopen tijd. De schaal van de cybercriminaliteitsbranche is simpelweg astronomisch. Maar, begrijp me goed, het is pure criminaliteit; er is niets romantisch of heldhaftigs aan deze manier van werken! Het zorgt dus simpelweg voor meer dreiging en dus moet je zorgen dat daar iets tegenover staat. Dat brengt ons direct naar de tweede beweging; er is ook simpelweg meer vraag naar security-diensten.
Neil: Naast de groei van de dreiging gaan de ontwikkelingen op het gebied van IT al decennia veel sneller dan in welke andere branche. Dit tempo van digitale transformatie is geweldig voor de bedrijfsflexibiliteit, maar het is een echte uitdaging voor de beveiliging om dit tempo van verandering, de invoering van nieuwe systemen en de afhankelijkheid die elk bedrijf nu van zijn IT-systemen en gegevens heeft, bij te houden. Was het vroeger één enkel platform dat in de lucht moest worden gehouden, tegenwoordig is dit uitgebreid tot een enorm aantal applicaties, vaak ergens in een cloud. Werknemers die altijd en overal toegang tot hun online werkplek nodig hebben. Aangezien het niet meer bij te benen is, blijft de beveiliging ver achter. Kwetsbaarheden liggen op de loer en je hebt gewoon hulp nodig om ervoor te zorgen dat je een goede standaard van beveiliging hebt.
Bart: De derde beweging die hierin meespeelt is de voordelen die we zien door op breed gebied bezig te zijn met security. Door het bundelen van de kennis en ervaring die we hebben vanuit onze wereldwijde activiteiten, en door deze in te brengen in een gespecialiseerde unit, zorgen we ervoor dat we snel en flexibel kunnen zijn op hoog niveau.
Neil: We doen dit overigens niet alleen in Nederland, maar richten ook Cyber Security units op in Frankrijk, Portugal, Spanje en Duitsland. In de Verenigde Staten en Engeland draaien we al een tijd succesvol met dit concept en de overige landen zullen ook volgen de komende tijd.
Wat zijn de plannen precies voor Nederland?
Bart: We gaan een speciale Cyber Security unit opzetten in Nederland, die deel zal uitmaken van het bredere wereldwijde Claranet Cyber Security-team, waarbij vaardigheden, ervaring en middelen worden gedeeld. Claranet werkt vanuit lokale dienstverlening en maakt gebruik van de bredere vaardigheden van een wereldwijd team. Uit de ervaring die we de afgelopen tijd hebben opgedaan, leren we de juiste lessen en passen die toe in de verschillende landen. We doen dat met een lokale invulling, zodat we de cultuur, gewoonten en ervaring van het land direct meenemen in de dienstverlening. In Nederland hebben we bijvoorbeeld al zo’n 100 mensen die niet alleen een schat aan IT-ervaring hebben, maar ook hun sporen hebben verdiend op het gebied van beveiliging. Zo leveren wij al meer dan 20 jaar de dienst Managed Firewall, nu aangevuld met een breed portfolio aan beveiligingsdiensten om de criminelen buiten de deur te houden.
Neil: Die lokale kennis en ervaring vullen we aan met een groot netwerk aan kennis vanuit de andere Claranet-landen. Dat is het voordeel van een lokale partij die klein genoeg is aandacht te kunnen geven aan de klant, maar direct groot genoeg is om elke vraag op dit gebied in te kunnen vullen. Andere dienstverlening die we hierbij direct kunnen aanbieden is bijvoorbeeld Continuous Security Testing, een doorontwikkelde vorm van de pentesten die we ook al jaren doen. Momenteel zitten we in de combinatie van beide diensten op ruim 10 duizend dagen aan pentesten per jaar voor een breed scala van klanten van verschillende grootte en in verschillende sectoren.
Bart: Dus we gebruiken diensten die we als groep kunnen leveren, en combineren dat met de dienstverlening die we lokaal al jaren leveren. We starten met een kleine groep security-experts en breiden dat de komende jaren uit naar een volwaardige security-organisatie met een back-up vanuit zowel de lokale organisatie als de andere landen binnen onze Claranet Group. Hiermee maken we een compleet portfolio onder de drie groepen “we hack, we teach, we protect”.
“We hack”? Dat klinkt gevaarlijk… Wat mogen we verwachten?
Neil: Het klinkt wellicht spannender dan het is. Een significant deel van onze ervaring ligt in het pentesten. En pentesten, ook wel penetratie testen of Ethisch Hacken genoemd, is eigenlijk precies dat; we proberen binnen te komen. Hacken dus! Uiteraard doen we dit met toestemming van de klanten en alleen binnen de omgeving die vooraf is bepaald. Bevindingen die we ontdekken rapporteren we zodat het team de issues kan oplossen, voordat de criminelen de kwetsbaarheid kan uitbuiten en kunnen binnenkomen.
Bart: Er zit een groot verschil tussen de criminelen die we proberen buiten te houden, en onze zogenaamde White Hat Hackers. Wij hacken om te controleren of de afweer goed genoeg is, niet met het doel om na binnenkomst te zorgen voor een datalek of ransomware te installeren en daarna losgeld te vragen. Aan de andere kant zijn er ook zeker overeenkomsten. Het niveau van de technische expertise is minimaal net zo hoog. Om er zeker van te zijn dat een omgeving veilig is, moet je op hetzelfde niveau, zo niet hoger, de tests uitvoeren.
Neil: Naast de traditionelere pentesten zetten we ook andere middelen in. Bij het eerdergenoemde Continuous Security Testing combineren we de kennis en ervaring van de pentesters met een wijde range aan geautomatiseerde scans die het klantnetwerk of de -omgeving testen en dat 24x7. Daarmee gaan we net een stap verder dan alleen maar automatische scans waarbij er een enorme output aan data wordt gegenereerd die geïnterpreteerd moet worden, waarbij elke issue handmatig wordt geverifieerd. Tegelijkertijd zorgen we dat we een complete en brede aanval kunnen simuleren. Ideaal voor organisaties die vaak en veel veranderingen doorvoeren in de IT-omgeving of een grote hoeveelheid applicaties te beschermen hebben.
Het tweede onderdeel is “We teach”. Hoe kunnen we dat zien?
Neil: In dit tweede deel draait het om kennisoverdracht. Letterlijk “we onderwijzen”. We proberen hierin de kennis en ervaring die wij hebben opgedaan over te brengen aan onze klanten. We zijn de grootste aanbieder van trainingen op de wereldwijde Black Hat conferenties die onder andere in Las Vegas, Singapore en Londen plaatsvinden voor duizenden geïnteresseerden die alleen maar komen om pure kennis tot zich te nemen. Via deze weg, andere conferenties en privé-trainingen hebben we de afgelopen 9 jaar ruim 3000 mensen getraind in een range aan trainingen en cursussen. Die trainingen variëren van een eenvoudige introductiecursus van een dagdeel tot geavanceerde 5-daagse training zoals ‘Web Hacking – Black Belt Edition’ en ‘Hacking en Securiring Cloud Infrastructure’.
Bart: Het tweede belangrijke onderdeel dat we hieronder scharen, is de Security Awareness Training op basis van het KnowBe4-platform. We zijn oprecht blij met KnowBe4 als onze partner hierin. Het is zonder twijfel de wereldleider op gebied van Security Awareness-trainingen voor medewerkers. Het grote verschil tussen KnowBe4 en de overige aanbieders is de continue aandacht die bij medewerkers wordt neergelegd voor het securitybewustzijn.
Neil: Waar veel trainingen op basis van een paar half uur durende video’s of slidepack met 50 powerpoint pagina’s hun training laten pieken in de eerste weken van de training, zien we dat de effectiviteit in de loop van de tijd afneemt. Dat besef zat er bij KnowBe4 al vroeg in en zij hebben een programma opgezet waarbij er eigenlijk een continue training draait en de noodzakelijke oplettendheid bij de medewerkers op hoog niveau blijft. De combinatie met Netflix-achtige video’s en phishing-simulaties zorgt voor een complete dienst die je compleet voor de hele organisatie kan afnemen.
Bart: Wat we hier vorig jaar aan hebben toegevoegd, is de adoptie-module voor deze training. We nemen hiermee de klant als het ware aan de hand door de training en het platform heen en kunnen hierdoor ook op maat gemaakte phishing-mails maken voor de specifieke medewerkers, net als de cybercriminelen doen om binnen te komen. Dit hebben we inmiddels bij een aantal klanten met enorm groot succes gedaan. Hiermee krijgen onze klanten een vliegende start en zorgen we ervoor dat de awareness-training echt volledig tot zijn recht komt
Het derde onderdeel is “we protect”. Welk diensten levert Claranet daarin
Bart: Dit laatste deel is het sluitstuk van de beveiliging. Hierin zitten de diensten waarmee we de klant beschermen met de inzet van technologie en beheerde diensten. Dat beslaat een ruime securitysuite waarbij je kan denken aan Managed Firewall, Anti-Spam en Anti-Virus, Veilig Mailen, Back-up, Managed Detection and Response én Endpoint Detection and Response, maar ook inzet van tools als MultiFactor Authenticatie. Dit zit voor het grootste deel in het ontwerp dat we maken voor klanten en is dan ook te zien als soort van hygiëne-factor voor elk IT-platform.
Neil: Het is van cruciaal belang dat wij onze klanten helpen een diepgaande verdediging op te bouwen op basis van een reeks technologieën en systemen, maar ook dat wij tools leveren die een inbreuk snel detecteren zodra deze heeft plaatsgevonden, zodat de bedreiging kan worden geïsoleerd en verwijderd voordat echte schade wordt aangericht.
Bart: Een dienst als Veilig Mailen is wellicht nog wel het beste voorbeeld. Het is volledig geïntegreerd in je bestaande outlook-omgeving zodat de gebruiksvriendelijkheid gegarandeerd is en zorgt er gelijk voor dat je niet hoeft te grijpen naar WeTransfer-diensten om een groot bestand met gevoelige informatie te delen. Net een stapje verder om te zorgen dat de eerste bescherming zijn werk kan doen.
Wat zijn in jullie ogen de grootste gevaren de komende tijd?
Bart: Zonder twijfel is dat het gegeven dat niemand meer veilig is. Het is simpelweg een feit dat echt iedereen het slachtoffer kan worden van een cyberaanval. Waar vroeger vaak gedacht werd ‘mij pakken ze niet, ik ben niet interessant’ is dat anno 2022 echt achterhaald. Vooral bij veelal geautomatiseerde aanvallen wordt er niet eens gekeken wie je bent, maar simpelweg met brute kracht geduwd tot er iets omvalt of barst.
Neil: We hebben onlangs eens een testopstelling gebouwd, een zogenaamde Honey Pot. Een server neergezet met internettoegang, om te kijken hoe snel en hoe vaak hij aangevallen zou worden. Binnen een paar seconden nadat hij online ging, was het al raak. Je kan dus simpelweg niet meer eerst online gaan en dan gaan patchen, dan ben je te laat en zitten ze al binnen. In 1 maand hebben we in totaal ruim 5 miljoen connecties naar de belangrijke poorten langs zien komen. Dat is echt een ongelofelijk hoog aantal. Er wordt dus continu gescand als je online bent, en ze kijken dus echt niet vooraf wie je bent of wat je doet. Zonder schaamte worden gemeentes of ziekenhuizen het ransomware-slachtoffer van de cybercriminelen. Ze weten dat er dan toch wel in veel gevallen betaald wordt, juist omdat de druk enorm is om te zorgen dat er verder gewerkt kan worden.
Bart: Ransomware is daarmee ook meteen genoemd als groot gevaar. Het bewust versleutelen van een omgeving na inbraak waarmee de omgeving wordt gegijzeld. Daarna wordt een percentage (meestal tussen 1 en 4 procent) van de jaaromzet gevraagd om de omgeving weer vrij te krijgen. Dat is net genoeg om er goed aan te verdienen en te weinig om alles opnieuw op te bouwen. Het is een enorm smerig businessmodel, wat helaas ook nog eens enorm succesvol is.
Neil: Zorg dat je voorbereid bent. Je bent verloren als je pas achteraf gaat repareren. Je moet voorbereid zijn op het ergste. Je ziet het ook in de boetes die uitgedeeld worden door de organisaties zoals Autoriteit Persoonsgegevens in Nederland na een datalek. Deze worden niet gehangen aan de hoeveelheid data die buit gemaakt is, maar eerder aan de voorzorgsmaatregelen die wel genomen zijn. Het is simpel; iedereen kan gehackt worden. Het is tegenwoordig niet iets om je voor te schamen gelukkig, maar je kan er wel voor zorgen dat je voorbereid bent en een plan B hebt klaarliggen als het gebeurt.
Dit artikel is eerder verschenen in ons Security Magazine editie Zomer 2022. Geïnteresseerd in het magazine? Vraag hem hier aan!
Wil je meer weten over onze nieuwe Business Unit, kom dan naar ons Security Event "Security, neem het serieus!" op 13 oktober 2022 in het Van Abbemuseum in Eindhoven. Schrijf je in via de aanmeldpagina