Onderstaand artikel werd onlangs gepubliceerd door Samen Digitaal Veilig.
PQR is een IT-dienstverlener die organisaties helpt bij het verbeteren van hun cybersecuritystrategie door proactieve monitoring, beveiliging van infrastructuur, en advies over compliance met normen zoals NIS2. Cybersecurity-redacteur Jan Meijroos spreekt met Bert Leegwater en Sander Heinhuis over toegangsbeheer, the war on talent én het begrijpen van de context waarin beveiliggingstechnologieën opereren.
Bert en Sander, kunnen jullie iets meer vertellen over jullie rol bij PQR?
Bert: ‘Ik zit in de directie van PQR; een infrastructuur integrator. We zijn gespecialiseerd in alles van werkplekken tot datacenters. Mijn rol draait om technologie en het beheer van onze relaties met vendors. Bedrijven draaien op applicaties die data genereren, en die data draait op onze infrastructuur. We zijn wat je noemt een ‘generalistische specialist’ in dit veld.
Sander: ‘Ik help organisaties veiliger te worden op organisatorisch, technisch en procesmatig vlak. Dit omvat ook naleving van wet- en regelgeving. Bij klanten kijk ik wat echt belangrijk is en zorg ervoor dat dit optimaal beschermd wordt.’
Wat betekent dat een ‘generalistische specialist’?
Bert: ‘Dat betekent dat je bij ons terecht kunt voor alle facetten van infrastructuur. Of het nu gaat om de werkplek, het netwerk, security, de backend of de cloud, wij kunnen het allemaal managen. We bieden managed services, maar klanten kunnen bij ons ook alleen de producten kopen die wij dan voor hen installeren.’
Hoe breed is jullie klantenportfolio?
Bert: ‘Ons bedrijf heeft de laatste vijf jaar veel veranderingen doorgemaakt. We zijn van een puur datacenter-gericht bedrijf naar een breder portfolio gegaan. We hebben overnames gedaan en zijn nu onderdeel van een internationaal conglomeraat. Dit heeft ons een meer divers klantenbestand opgeleverd, van publieke markten zoals lokale overheid en educatie tot aan retail en finance.’
‘Door onze veranderingen zijn we aantrekkelijker geworden voor grotere organisaties, maar we richten ons niet alleen op de grootste vissen. We nemen veelal de volledige verantwoordelijkheid op ons in verschillende sectoren.’
Sander: ‘We hebben wel een mkb-team dat kleinere klanten bedient, maar dat is een minderheid van ons klantenbestand.’
Als we het hebben over cybersecurity, zijn er sectoren die achterlopen?
Bert: ‘Vooral in de educatieve sector zien we een gebrek aan bewustzijn en kennis over cybersecurity.’
Sander: ‘Inderdaad, en het draagvlak binnen bijvoorbeeld schoolbesturen is vaak beperkt, ondanks dat de behoefte aan security toeneemt.’
Bert: ‘Dit is waar wij inspringen. Er is een enorm tekort aan kennis en mensen in de IT, vooral bij middelgrote tot grote organisaties. Wij bieden ook detacheringsconstructies aan om onze klanten te ontzorgen.’
Hoe zit het met de beveiliging bij toeleveranciers?
Sander: ‘Dat is een heikel punt. Het gaat niet alleen om interne beheersing, maar ook om de externe controle van toeleveranciers die cruciale processen of data raken. Je moet weten wie jouw organisatie binnenkomt, van de persoon die de planten water geeft tot wie de toiletten schoonmaakt. Dit zijn allemaal risicopunten.’
Is dit iets waar jullie actief mee bezig zijn?
Sander: ‘Absoluut. We evalueren voortdurend en beoordelen onze leveranciers. Zelfs zoiets ogenschijnlijk simpels als wie de planten water geeft, kan belangrijk zijn, want die persoon heeft toegang tot jouw kantoor en ziet mogelijk gevoelige informatie.’
Dus jullie adviseren ook grote NIS2 bedrijven over hun toeleveranciers?
Sander: ‘Ja, die bedrijven zullen eisen van hun klanten krijgen waaraan ze momenteel nog niet kunnen voldoen. Dit geldt ook voor kleinere toeleveranciers zoals bijvoorbeeld een bedrijf dat zakendoet met ASML. Die kan op strenge eisen vanuit de essentiële sectoren stuiten.’
Bert: ‘En dat vereist een dynamisch beheer van contracten en relaties, niet alleen vanuit compliance met nieuwe wetgeving, maar ook uit een risicobeheerperspectief. Als PQR moeten we zorgen dat onze leveranciers ook aan de vereiste normen voldoen.’
Zijn er concrete voorbeelden van beveiligingslacunes die jullie regelmatig tegenkomen?
Bert: ‘Vaak zien we dat basisbeveiligingspraktijken niet worden gevolgd. We komen apparaten tegen met standaard wachtwoorden zoals ‘admin/admin’, wat natuurlijk echte basisfouten zijn.’
Sander: ‘We zien regelmatig dat de beveiligingsmaatregelen niet afdoende zijn. Een firewall bijvoorbeeld die alles ongefilterd doorlaat. Dat is alsof je een deur openzet zonder te controleren wie erdoor komt.’
Bert: ‘Cybersecurity is complex. Het gaat niet alleen om het technische aspect, maar ook om het begrijpen van de context waarin technologieën opereren. Het is cruciaal dat verschillende beveiligingssystemen met elkaar kunnen communiceren en samenwerken.’
Hoe zouden jullie de basis van IT-beveiliging in eenvoudige termen uitleggen?
Sander: ‘De kern is toegangsbeheer. Wie heeft toegang tot welke informatie en waarom? Dit is een fundamenteel aspect van beveiliging, vaak over het hoofd gezien. Bijvoorbeeld, in een overname kunnen we ontdekken dat er te veel accounts zijn met volledige rechten.’
Bert: ‘Bij cybersecurity draait alles om de heilige drie-eenheid: mensen, processen en technologie. Je moet continu aandacht besteden aan alle drie aspecten. Wat we extra benadrukken is Zero Trust – vertrouw niemand blindelings, zelfs niet binnen je eigen organisatie.’
Sander: ‘Precies. Het is essentieel om te weten waar je kwetsbaarheden liggen en hoe je snel kunt reageren bij een incident. Cybersecurity is maatwerk en vereist voortdurende evaluatie en aanpassing.’
‘De principes van Zero Trust, die je tegenwoordig veel ziet, waren twintig jaar geleden al standaard in ISO-veiligheidsnormen. Toegang wordt verleend op basis van het principe van minimaal noodzakelijke rechten. We implementeren ook netwerkbeveiliging met Zero Trust, waarbij elk onderdeel van het netwerk geïsoleerd is, zodat een aanval op één deel niet het gehele systeem compromitteert. Dit vereist een complexe en nauwkeurige configuratie van toegangsrechten en netwerksegmentatie.’
Wat zijn de grootste uitdagingen voor bedrijven met betrekking tot NIS2?
Sander: ‘Het grootste probleem is eigenaarschap. Er moet iemand verantwoordelijk zijn die zegt: “We beginnen nu, want de deadlines naderen.” Hoewel de implementatie van NIS2 wat vertraging op heeft gelopen is het verstandig om nu al een de slag te gaan.
Bert: ‘Daarbij komt ook de “war on talent”. Veel gemeentes hebben bijvoorbeeld niet de benodigde mensen om deze regelgeving uit te voeren. Daarom is het voor ons ook belangrijk om die dienstverlening aan te bieden en te helpen waar het personeel tekortschiet.’
Hoe zien jullie de toekomst van cybersecurity?
Sander: ‘Cybersecurity is een continu proces en geen eenmalige oplossing. Bedrijven moeten regelmatig hun beveiligingsmaatregelen evalueren en aanpassen aan het veranderende dreigingslandschap. Dit vereist een voortdurende ontwikkeling en aanpassing van veiligheidsstrategieën.’
Bert: ‘Precies, en met elk nieuw dreigingsbeeld moeten we onze aanpak herzien. Ook de regelgeving zal blijven evolueren, en we moeten voorbereid zijn op toekomstige wijzigingen, die net zo ingrijpend kunnen zijn als de huidige.’
Als jullie cybersecurity moesten samenvatten in een belangrijke les, wat zou die les dan zijn?
Bert: ‘Verslap niet en veranker altijd in de heilige drie-eenheid van mensen, processen en technologie.’
Sander: ‘Ik heb er drie: cybersecurity is van iedereen, meten is weten en de zwakste schakel bepaalt de sterkte van de keten.’