Sinds begin dit jaar heeft IT-dienstverlener Vooruit een eigen security–afdeling. Aan het roer staat Earth Grob, een specialist die zijn sporen verdiende bij Fox IT en als tiener begon met hacken. Met zijn team bouwt hij aan een aanpak die zich onderscheidt door niet alleen te adviseren, maar ook daadwerkelijk te implementeren. “Klanten hebben niets aan nog een rapport in de la. Ze willen dat hun IT-omgeving veilig wordt gemaakt.”
Jij begon ooit als hacker. Hoe is dat gegaan?
“Dat klopt. Als puber mocht ik thuis maar beperkt internetten of gamen. Toen mijn ouders de router uitzetten, besloot ik de wifi te -hacken. En omdat ik elke avond mijn iPod moest inleveren, legde ik er een kapot exemplaar neer dat ik via Marktplaats had gekocht. Zo hield ik toch toegang. Dat ondeugende en rebelse zat er vroeg in. Later ben ik informatica gaan studeren in Delft. Dat was niet altijd mijn passie – ik wilde vooral systemen kraken – maar achteraf legde die studie een belangrijke basis voor mijn werk in security.”
Wat was je eerste stap in de cybersecuritywereld?
“Mijn eerste baan was bij een klein securitybedrijf, daarna ben ik naar Fox IT gegaan. Daar heb ik veel geleerd, zowel over offensieve security – het hacken – als over defensieve aspecten, zoals incident response. Ik mocht er veel verschillende rollen vervullen, tot en met voorzitter van de ondernemingsraad. Die brede ervaring heeft mijn blik verruimd. Maar ik zag ook de keerzijde van consultancy: klanten betalen soms tonnen voor rapporten, terwijl hun problemen onopgelost blijven.”
Was dat de reden om met een team van Fox IT naar Vooruit te gaan?
“Ja. We zagen dat het vaak bij rapporteren bleef. Terwijl je als securityspecialist juist wilt dat een klant daadwerkelijk veiliger wordt. Ik ben iemand die graag de knop omzet in plaats van er alleen over schrijft. Samen met vier collega’s ben ik in januari naar Vooruit overgestapt. Inmiddels zijn we met tien mensen. Vooruit gaf ons de kans om een eigen businessunit cybersecurity op te zetten, waarin we onze visie kunnen uitwerken.”
Wat maakt die visie anders dan bij veel andere partijen?
“Vooruit wil security tastbaar -maken. We adviseren niet alleen, we voeren ook uit. Dat betekent dat we klanten helpen bij pentesten en incident response, maar ook bij implementatie en beheer. Ik heb bij de start een businessplan geschreven waarin we nadruk leggen op security engineering. Daarmee willen we de brug slaan tussen advies en praktijk. Klanten krijgen bij ons niet alleen een APK, maar ook de monteur die het probleem direct oplost.”
Hoe werkt dat concreet in de praktijk?
“Voor sommige klanten, zeker mkb-bedrijven, nemen we de beveiliging volledig over. Die hebben vaak niet de kennis of capaciteit om met complexe oplossingen te werken. Dan regelen wij het gewoon. Voor grotere klanten – bijvoorbeeld in de zorg of de publieke sector – vullen we bestaande teams aan. Onze oplossingen zijn gebundeld in pakketten onder de naam Vooruit Beschermt: basis, uitgebreid of compleet, afhankelijk van het risicoprofiel. Zo willen we security overzichtelijker en beter toepasbaar maken.”
Voor sommige klanten, zeker mkb-bedrijven, nemen we de beveiliging volledig over
Je noemde eerder je frustratie over rapporten die in een la verdwijnen. Kun je een voorbeeld geven?
“Zeker. Ik heb meegemaakt dat er €80.000 werd uitgegeven aan adviesrapporten, zonder dat er iets was opgelost. Terwijl ik wist dat ik met een paar aanpassingen direct resultaat kon bereiken. Dat is zonde van het geld en de tijd. Wij willen dat anders doen. Soms betekent dat dat we tijdens een incident–responsecase zeggen: we kunnen nu uren onderzoek doen, maar daar word je niet veiliger van. Laten we liever de aanbevelingen meteen -implementeren.”
Voor het mkb speelt ook het kosten-aspect sterk. Hoe ga je daarmee om?
“Klopt. Voor kleinere bedrijven is security vaak een kostenpost. Ze begrijpen dat het belangrijk is, maar hebben beperkte middelen. Dan moet je creatieve keuzes maken. Een enterprise kan zich uitgebreide logging veroorloven; bij een mkb-klant kijken we misschien alleen naar inlogacties. Het gaat erom dat de maatregelen in verhouding staan tot de risico’s. Daarnaast helpt de overheid met subsidies, zoals via het Digital Trust Center. Dat maakt het voor kleine organisaties haalbaarder om stappen te zetten.”
Je noemde ook voorbeelden van misconfiguraties, zoals open cloud–buckets.
“Ja, dat blijft een groot probleem. Wij hebben eens gekeken hoeveel paspoorten we konden vinden via verkeerd geconfigureerde S3- en Azure-buckets. Binnen twee uur hadden we documenten uit tachtig landen. Het erge is dat zulke -buckets standaard ‘privé’ staan. Het zijn dus fouten van beheerders die ze per ongeluk openzetten. Zulke basisproblemen zijn relatief eenvoudig te voorkomen met toegangscontroles, maar komen toch telkens terug. En dat geldt ook voor kwetsbaarheden als cross-site scripting, die al sinds 2002 bekend zijn.”
Zijn wetten als NIS2 dan niet nodig om organisaties wakker te schudden?
“Die zijn zeker nuttig. Veel eisen zijn eigenlijk vanzelfsprekend, zoals multifactor-authenticatie. Dat je daar anno 2025 nog over moet discussiëren bij bedrijven die met medische data werken, is onvoorstelbaar. Wetgeving legt druk op organisaties om in actie te komen. Maar de interpretatie en implementatie blijven lastig, zeker voor kleinere bedrijven. Daarom zie ik het als onze rol om die vertaalslag te maken: wat moet je echt doen, wat kan praktisch en wat is haalbaar?”
Vooruit bouwt deels ook eigen oplossingen. Wat doen jullie zelf en wat koop je in?
“Het is een mix. Voor endpoint-detectie en -respons gebruiken we bijvoorbeeld ESET. Daarmee maken we bewust de keuze voor een Europese leverancier. Bovenop die -tooling schrijven we onze eigen detectieregels. Daarnaast bouwen we zelf netwerksensoren en hebben we een eigen threat-intelportaal ontwikkeld. We noemen die Vooruit Observatie Service of VOS. Dat portaal haalt informatie uit publieke bronnen zoals het NCSC, maar de engine is door ons team gebouwd. Zo combineren we bestaande oplossingen met -eigen innovatie, zodat we klanten echt maatwerk kunnen bieden.”
Een veelgehoord begrip in security is zero trust. Hoe kijken jullie daar tegenaan?
“Zero trust klinkt mooi, maar in de praktijk moet je altijd zoeken naar een compromis. Een security-engineer zegt: alles dicht, een beheerder zegt: het moet werkbaar blijven. Uiteindelijk moet je per klant bepalen waar het evenwicht ligt. Bij een zorginstelling maak je andere keuzes dan bij een gemeente. Het belangrijkste is dat security en beheer met elkaar in gesprek zijn. Daarom hebben we bewust een team waarin beide disciplines samenwerken.”
Wat zie jij als de grootste dreiging: cybercriminelen of statelijke actoren?
“De meeste schade wordt veroorzaakt door criminelen. Natuurlijk zijn statelijke actoren gevaarlijk. Zij ontwikkelen vaak de tools en exploits. Maar zodra die publiek bekend worden, gaat de criminele onderwereld ermee aan de haal en dan wordt de impact veel -groter. Een APT kost miljoenen om op te zetten. Een criminele groep kan met dezelfde kwetsbaarheid duizenden organisaties platleggen. Dat volume maakt het risico groter. Ik vind dat we ons daar niet blind op moeten staren: de alledaagse aanvallen zijn vaak het schadelijkst.”
Maak je je zorgen over de vitale infrastructuur in Nederland?
“Ja, dat is altijd een punt van aandacht. Ik heb meerdere trajecten gedraaid bij waterschappen. Gelukkig wordt daar in Nederland veel aandacht aan besteed. Waar ik me meer zorgen over maak, is dat we te veel blijven hangen in rapporteren en adviseren. Uiteindelijk moeten systemen daadwerkelijk worden beveiligd. Dat geldt net zo goed voor energiebedrijven als voor kleinere mkb’ers.”
Waar hoop je over een paar jaar te staan met de security-afdeling van Vooruit?
“Dat we bekendstaan als de partij die dingen oplost. Dat klanten ons bellen omdat ze weten dat er niet alleen een adviesrapport komt, maar dat er daadwerkelijk iets gebeurt. En dat we ook voor kleinere organisaties een manier hebben gevonden om security haalbaar te maken. Want uiteindelijk draait het erom dat je risico’s verkleint en dat je als organisatie gewoon door kunt werken.”
