Sinds begin dit jaar heeft IT-dienstverlener Vooruit een aparte security-afdeling. Aan het roer staat Earth Grob, die eerder werkte bij Fox IT en al als tiener zijn weg vond in de wereld van hacken. Zijn ervaring laat zien hoe organisaties steeds meer zoeken naar praktische invulling van cybersecurity.
Grob raakte op jonge leeftijd geïnteresseerd in technologie en beveiliging. “Toen mijn ouders de router uitzetten, besloot ik de wifi te hacken. Dat ondeugende zat er vroeg in,” zegt hij. Na een studie informatica in Delft werkte hij bij verschillende securitybedrijven, waaronder Fox IT. Daar deed hij zowel offensieve ervaring op (pentesten en hacken) als defensieve (incident response). Tegelijkertijd zag hij dat bedrijven vaak hoge bedragen uitgaven aan rapporten zonder dat de daadwerkelijke problemen werden opgelost.
Die ervaring was aanleiding om een andere aanpak te zoeken. Waar consultancy vaak eindigt met een rapport, is er volgens Grob juist behoefte aan het uitvoeren van aanbevelingen. “Klanten hebben niets aan nog een rapport in de la. Ze willen dat hun omgeving veilig wordt gemaakt.”
De praktijk laat zien dat de aanpak verschilt per organisatie. Voor sommige mkb-bedrijven neemt een externe partij de beveiliging grotendeels over, omdat kennis of capaciteit ontbreekt. Bij grotere organisaties, zoals zorginstellingen of gemeenten, gaat het vaak om aanvulling op bestaande teams of expertise.
Kostenaspect belangrijk voor mkb
Voor kleinere bedrijven is het kostenaspect altijd een factor. Grob wijst erop dat maatregelen in verhouding moeten staan tot de risico’s. Waar grote ondernemingen uitgebreide logging en detectiesystemen inzetten, wordt in een mkb-omgeving soms volstaan met het monitoren van inlogacties. Subsidies via het Digital Trust Center helpen om de drempel te verlagen.
Veel incidenten zijn terug te voeren op relatief eenvoudige fouten. Een voorbeeld zijn verkeerd ingestelde cloudopslagdiensten, waarbij gevoelige documenten openbaar toegankelijk blijven. Grob: “We vonden binnen twee uur paspoorten uit tachtig landen in openstaande S3- en Azure-buckets. Zulke fouten zijn eenvoudig te voorkomen, maar komen telkens terug.”
De komst van strengere wetgeving, zoals de NIS2-richtlijn, kan volgens Grob organisaties helpen om stappen te zetten. “Dat je anno 2025 nog moet discussiëren over multifactor-authenticatie bij organisaties die met medische data werken, is eigenlijk bizar.” Tegelijkertijd is de implementatie voor kleinere bedrijven ingewikkeld. Er blijft behoefte aan een praktische vertaalslag: wat is echt noodzakelijk, wat is haalbaar?
Hetzelfde geldt voor zero trust, een model dat veel aandacht krijgt maar in de praktijk altijd om balans vraagt. Waar security-engineers de neiging hebben alles dicht te zetten, willen beheerders werkbare oplossingen. “Het gaat erom per organisatie een evenwicht te vinden,” zegt Grob.
Dreigingsbeeld
Volgens Grob ligt de grootste dreiging bij criminelen, niet bij statelijke actoren. Die laatste ontwikkelen vaak geavanceerde tools, maar zodra kwetsbaarheden bekend worden, neemt de criminele onderwereld het over en ontstaat massaschade. “Een APT kost miljoenen om op te zetten, maar met dezelfde kwetsbaarheid kan een criminele groep duizenden organisaties platleggen.”
Ook vitale infrastructuur blijft een aandachtspunt. In sectoren zoals de water- en energiesector wordt in Nederland veel aandacht besteed aan beveiliging. Toch ziet Grob een risico in het blijven hangen in rapporten en adviezen. “Uiteindelijk moeten systemen daadwerkelijk worden beveiligd.”
De verwachting is dat security de komende jaren steeds meer zal draaien om het praktisch toepassen van bestaande kennis en adviezen. Voor organisaties, van mkb tot publieke instellingen, betekent dit dat beveiliging geen papieren exercitie mag zijn, maar onderdeel moet worden van de dagelijkse praktijk.
Lees het hele interview met Earth Grob in het komende nummer van ChannelConnect, dat te vinden is op de beurzen Cybersec Netherlands, Data Expo en MSP Show.
