Jan-Martijn Broekhof, al 20 jaar ondernemer. Hij vindt het oneerlijk dat bedrijven en mensen zich zorgen moeten maken over Cybercriminelen. Daar wil hij wat tegen doen. Hij startte Guardian360 in 2015 en na 5 jaar hard werken, veel missionaris werk loopt zijn business nu goed een rebelse wijze, pragmatisch met “gewone mensen” geen cybersecurity specialisten, laat hij zijn partners de netwerken en systemen van hun klanten uitstekend beveiligen.
We leggen hem een aantal dilemma’s voor, groeien in het buitenland of focus op nederland, gebruikmaken van ontwikkelingen van derde, of alles zelf doen, brede IT dienstverleners, of specialistische partners. Hij heeft overal een goed antwoord op.
Vooral met grote brede IT-dienstverleners is Guardian360 succesvol. En hij zou nog veel sneller kunnen groeien indien hij de juiste medewerkers zou kunnen vinden.
Zijn ambitie is echter niet een groot bedrijf (veel medewerkers runnen) gebruikmakend van de door Google ontwikkelde Site Reliability Engineering aanpak, automatiseren ze alle interne processen zoveel mogelijk weg. Hierdoor blijven de kosten laag en ben schaalbaarder als organisatie.
Zijn opvolger zou hij de vraag stellen, hoe kun je zorgen dat je klanten 25 % veiliger zijn volgend jaar.
Kortom een leuke podcast van een ondernemer met ambitie.
Laten we eerlijk zijn: de meeste MSP’ers hebben al jaren aandacht voor informatiebeveiliging. Alleen noemden we het al die tijd niet zo. Antivirus, anti-spam, back-up, disaster recovery en andere oplossingen werden vooral verkocht om menselijke fouten te kunnen herstellen en de continuïteit van de IT van organisaties te waarborgen. Van criminele hackers hebben we lang niet echt last gehad en vertrouwelijkheid was ook niet zo’n hot topic. Maar tijden zijn veranderd!
Waar komen we vandaan?
Ik herinner mij nog dat ik in 2005 grote moeite moest doen om klanten van mijn MSP te overtuigen dat ze toch echt € 1,- per emailadres per maand moesten betalen voor een anti-spam oplossing. Anti-virus werd langzaam al wel als een noodzakelijk kwaad gezien, maar mocht niet te veel kosten. Sommige bedrijven maakten wel back-ups op tape, maar online backup was nog spannend en werd als te duur ervaren. Dat niemand ooit de tapes testte of verving was geen probleem, want het ging over het algemeen toch wel goed.
Inmiddels is de wereld veranderd. Anti-spam en anti-virus zijn geen optie meer. En een zichzelf respecterende MSP neemt geen klanten aan die geen backup hebben ingeregeld. Tegelijkertijd zijn de eisen aan informatiebeveiliging zo hoog geworden, dat deze basismaatregelen niet meer voldoende zijn.
Wat is informatiebeveiliging nu eigenlijk?
Binnen informatiebeveiliging gaat het om beschikbaarheid, integriteit en vertrouwelijkheid. Kort samen gevat:
Beschikbaar: Informatie moet beschikbaar en toegankelijk zijn.
Integer: Het in overeenstemming zijn van informatie met de werkelijkheid (informatie is juist, volledig en actueel).
Vertrouwelijk: De bevoegdheden en mogelijkheden om kennis te nemen van informatie voor een gedefinieerde groep gerechtigden.
Waar staan we nu?
Waar er dus lange tijd vooral aandacht is geweest voor de beschikbaarheid van data en systemen, zijn integriteit en vertrouwelijkheid steeds belangrijker geworden.
In de afgelopen twee jaar is het aantal ransomware aanvallen schrikbarend toegenomen. De integriteit van data werd aangetast doordat criminelen data versleutelden, soms zelfs onherstelbaar. Ook zien we helaas steeds meer voorbeelden van incidenten waarbij data is aangepast, denk bijvoorbeeld aan facturen waarop het bankrekeningnummer is aangepast waarop de betaling moet binnenkomen.
Door strenger wordende privacywetgeving (AVG) is vertrouwelijkheid ook een steeds belangrijker onderwerp geworden. Deel je data met derden terwijl dat niet de bedoeling is, dan heb je al snel te maken met een datalek dat bij de Autoriteit Persoonsgegevens gemeld moet worden. In theorie met een boete tot gevolg.
Dit betekent dat de eisen aan IT-omgevingen en de bedrijven die aangesteld zijn om deze te beheren, fors verzwaard zijn.
Van ‘nice to have’ naar ‘permission to play’
In de afgelopen vijf jaar zien we binnen Guardian360 een verschuiving. Waar MSP’ers en IT-dienstverleners ‘security’ nog als upsell mogelijkheid zagen, is het inmiddels wel duidelijk dat een goed niveau van informatiebeveiliging standaard is.
Helaas is de jurisprudentie niet eenduidig over wat er van een IT-leverancier verwacht mag worden, Dirkzwager geeft echter een goed inzicht op basis van verschillende gerechtelijke uitspraken. De (bijzondere) zorgplicht van de IT-leverancier (MSP) omvat onder andere:
Algemeen criterium: redelijk handelend en bekwaam
Stelt belang van afnemer te allen tijde voorop
Voldoet aan functionaliteiten en specificaties, en kostenbeheersing
Waarschuwt voor risico’s
Draagt verantwoordelijkheid voor back-up van data
Doet voldoende onderzoek naar afnemer
Draagt verantwoordelijkheid voor inschakelen derden
Heeft bijzondere zorgplicht jegens derden
Kijkend naar een aantal gerechtelijke uitspraken is het waarschuwen voor risico’s niet voldoende. Als MSP word je geacht meer kennis te hebben dan een klant. Daardoor moet je klanten ook aantoonbaar ondersteunen bij het omgaan met deze risico’s. Dit is ook gerelateerd aan de bijzondere zorgplicht: doordat een MSP meer kennis en ervaring heeft en de klant zijn/haar data en systemen aan de MSP toevertrouwt, moet de MSP extra inspanningen leveren om de beschikbaarheid, integriteit en vertrouwelijkheid te garanderen
Om het simpel te stellen: informatiebeveiliging voor klanten op orde hebben is geen optie meer, het is een vereiste. Dit wordt onderschreven door nieuwe wetgeving in 2023: de NIS2.
NIS2
Het Europees Parlement heeft een “voorlopig akkoord” aangekondigd dat tot doel heeft de cyberbeveiliging en de veerkracht van zowel publieke als private entiteiten in de Europese Unie te verbeteren. De herziene richtlijn, genaamd “NIS2” (kort voor netwerk- en informatiesystemen), zal naar verwachting de bestaande wetgeving inzake cyberbeveiliging vervangen die in juli 2016 werd vastgesteld.
In de nabije toekomst moeten organisaties met meer dan 50 werknemers en meer dan 10 miljoen omzet in verschillende sectoren (waaronder financiële, gezondheids- en overheidsinstellingen) kunnen aantonen dat ze aan de nieuwe richtlijn voldoen. Er is digitaal werk aan de winkel, want de beveiligingseisen gaan omhoog: de noodzakelijke maatregelen worden explicieter, het toezicht erop wordt verscherpt en de boetes bij niet-naleving stijgen fors. Daarnaast wordt het verplicht om verder te kijken dan de eigen beveiligingsrisico’s. Ook de risico’s in de relaties met leveranciers in de toeleveringsketen (zoals managed service providers) moeten in aanmerking worden genomen.
Tot de bepalingen in de nieuwe wetgeving behoren het binnen 24 uur signaleren van cyberbeveiligingsincidenten bij de autoriteiten, het patchen van kwetsbaarheden in software en het treffen van risicobeheersmaatregelen om netwerken te beveiligen.
Hoe Guardian360 MSP’ers ondersteunt
Het Guardian360 Lighthouse platform scant IT-omgevingen elke dag op bekende kwetsbaarheden, zwakke wachtwoorden, openstaande poorten en tienduizenden andere zwakke plekken in de beveiliging van netwerken en webapplicaties. MSP’ers krijgen hierdoor dagelijks inzicht en kunnen snel schakelen. Daardoor kan aan de patch verplichting worden voldaan.
De hacker alert appliance detecteert kwaadwillenden in netwerken. Hierdoor kan hoge schade voorkomen worden. Én kan er worden voldaan worden aan de meldplicht.
Ook brengt het Lighthouse platform afwijkingen van de AVG en 15 normen en richtlijnen in kaart, waardoor een organisatie snel inzicht heeft waar zij afwijkt van dwingende wetgeving.
Uiteraard worden alle gevonden aandachtspunten voorzien van adviezen hoe deze te verhelpen. Hier zijn geen informatiebeveiliging specialisten voor nodig. Ervaren systeem- en netwerkbeheerders kunnen direct met de bevindingen aan de slag!
