Ongeveer 250 gevulde stoelen, sterke presentaties en veel inhoudelijke gesprekken tussen bezoekers vanuit het hele IT-ecosysteem. Dat was de opbrengst van het event ‘Cyber Security Visie 2024’ van it2grow en Protinus IT. In het Woudschoten Hotel in Zeist werd er gesproken over de belangrijkste securitytrends voor 2024 en de jaren daarna. De twee thema’s die veruit het meest aan bod kwamen, waren AI en NIS2. Maar het ging ook veel over samenwerken.
Het was een event voor het hele ecosysteem, zo maakte it2grow-directeur Patrick Louwe al in zijn openingswoord duidelijk. Het werd bezocht door leveranciers, distributeurs, allerlei soorten IT-partners en ook door beslissers bij eindklanten, zowel aan de security- als de businesskant. De twee organisatoren geven het goede voorbeeld als het om samenwerken gaat: het met name in security gespecialiseerde it2grow en managed sourcing-specialist Protinus IT trekken vaak samen op.
Louwe hamerde later op de dag tijdens een interview nog extra op het belang van samenwerken. “Het onderwerp cybersecurity is enorm relevant, omdat getroffen worden een heel grote impact kan hebben. Dat we dit voor het hele ecosysteem organiseren is omdat we het enorm belangrijk vinden dat we met zijn allen gaan samenwerken, dat we de gevaren inzien en er samen wat mee doen.”
Automatiseer je security
De oproep om samen te werken kwam terug tijdens de openings-keynote van Don Eijndhoven, specialist op het gebied van cybercrime en cyber-warfare. Hij riep bedrijven op om zich aan te sluiten bij securitynetwerken om kennis te delen. Vooral ook wanneer er iets mis gaat. “We moeten af van de gêne om een hack te melden. Het is geen schande.”
De belangrijkste tip van zijn presentatie had hij daarvoor al prijsgegeven: automatiseer je security. “Het aantal aanvallen stijgt enorm snel en ze vinden ook in een veel hoger tempo plaats. Menselijke verdediging is daardoor vaak kansloos. Ten eerste omdat mensen vaak niet snel genoeg kunnen reageren. Ten tweede omdat er een tekort is aan goede mensen.”
Toegevoegde waarde
Praat je over het automatiseren van security, dan kun je niet om kunstmatige intelligentie heen. Het is een zeer belangrijk middel voor de verdediging, zo zei Eijndhoven. “Vijf jaar geleden werd er al veel over gesproken, maar viel de realiteit nog tegen. Nu zie je wel concrete toepassingen van échte AI.” Hij noemde zes factoren waarin AI van grote toegevoegde waarde kan zijn: continu monitoren, zorgen voor geautomatiseerde response, het herkennen van insider threats, het verbeteren van de toegangscontrole, het herkennen van ‘false positives’ en ‘false negatives’ en het bewaken van de volledige supply chain.
Tegelijkertijd profiteren cybercriminelen ook van de mogelijkheden van AI. Ondanks dat schetste Eijndhoven een redelijk positief beeld. “Cybersecurity werkt”, zo gaf hij aan. Aan het eind van zijn presentatie legde hij als cyber-warfare-expert uit hoe Oekraïne zich door goed beleid en veel internationale steun succesvol wapent tegen de krachtige cyberaanvallen vanuit Rusland.
Na die keynote werden er breakout-sessies gegeven, waarin het vaker wel dan niet over AI ging. Ook tijdens de lunchpauze was het een onderwerp dat vaak over de tong ging. Ook bij Niels Goderie, sales director van Protinus IT. “Cybersecurity is hot en met AI komt er veel nieuwe innovatie bij, maar ook extra risico’s. Daarom is dit een belangrijk evenement.” Het event past volgens hem bij de rol die Protinus IT voor zichzelf ziet. “We zijn een onafhankelijke partner voor onze klanten en we werken graag samen met andere onafhankelijke partners die specialistische kennis toevoegen. Daarvan is it2grow een perfect voorbeeld. Door dat soort samenwerkingen kunnen we bij een vraag van een klant altijd de juiste mensen aan tafel brengen.”
Geschiedenis
Naast AI was er nog een ander onderwerp dat als een rode draad door de dag liep: NIS2. Eijndhoven had dat kort aangestipt, want hij wilde niet te veel gras voor de voeten wegmaaien van de slotspreker: Raymond Bierens. “Het is eigenlijk een heel saai onderwerp”, zei Bierens met een beetje zelfspot tijdens zijn keynote. Hij promoveerde aan de VU in Amsterdam door onderzoek te doen naar processen voor risico-management en digital risk. NIS2 is daar onderdeel van.
Bierens beschreef een aantal belangrijke gebeurtenissen in de geschiedenis van de cybercrime en liet zien hoe het doel daarvan en de perceptie erop in de loop der jaren zijn veranderd. Het boek The Cuckoo’s Egg uit 1989, waarin de term cybercrime werd geïntroduceerd, kwam aan bod. Ook liet hij zien dat Suske en Wiske al in 1999 met een ransomware-aanval te maken kregen. Hij beschreef de eerste computervirussen die diskettes infecteerden, tot en met onder andere WannaCry, NotPetya en de keten-aanval op SolarWinds, die allemaal in een bepaalde zin uniek waren. Bierens liet zien dat het doel van cybercrime in de loop van de jaren steeds verder is uitgebreid: van het stelen van informatie tot het platleggen van omgevingen en complete ecosystemen. Hij maakte onderscheid tussen drie soorten risico’s waar CISO’s mee te maken hebben: ‘information security risk’, ‘cyber security risk’ en ‘digital security risk’.
Drempel of opstap
De kernvraag van zijn presentatie was of NIS2 een drempel of een opstap is. Over het antwoord was hij genuanceerd. Hij ziet nog veel uitdagingen. Het raamwerk is niet duidelijk en niet volledig, zo zei hij. “Wat als ik ervoor kies om te beschermen met vijf diskettes met een ouderwetse anti-virus-scanner. Dan heb ik toch maatregelen genomen? Krijg ik dan toch een boete? Daar heeft niemand mij nog een goed antwoord op kunnen geven.”
Hij ziet ook weinig heil in het persoonlijk aansprakelijk stellen van personen, omdat dat er alleen maar toe zal leiden dat die persoonlijke risico’s worden afgeschoven en afgedekt. Daarnaast vindt hij dat veel wetgeving, waaronder ook NIS2, probeert om de regels van de fysieke wereld rechtstreeks te plotten op die van de digitale wereld. “Maar de digitale wereld zit heel anders in elkaar. Hij kent bijvoorbeeld geen grenzen.”
De onderverdeling in vitale en niet-vitale sectoren in combinatie met de ketenverantwoordelijkheid zal bij NIS2 tot veel discussie gaan leiden, verwacht hij. Het is ook geen goede zaak dat deadlines worden uitgesteld en er nog maar weinig over NIS2 bekend is, terwijl het in minder dan een jaar moet zijn omgezet in landelijke wetgeving.
Toch was hij zeker niet alleen negatief over de richtlijn. “Voor wie zijn hygiëne nog niet op orde heeft, kan dit een belangrijke reden zijn om tot actie over te gaan. Bij andere bedrijven bestaat het risico dat ze compliance gaan managen in plaats van risico’s. Zijn we daarmee geholpen? Misschien. We worden er zeker niet slechter van. Maar het is ook niet zo dat we hiermee in één keer klaar zijn voor de toekomst.”
Samenwerkingsverbanden
Na afloop werd er nog lang nagepraat tijdens de borrel en het afsluitende diner. Niels Goderie van Protinus IT had nog een belangrijke tip voor partners: “Security is een lastig onderwerp, zo bleek vandaag. Bedrijven denken hun zaakjes op orde te hebben, maar de werkelijkheid is vaak anders. Er gebeurt heel veel, onder andere met AI. Onze klanten moeten daar aandacht aan gaan schenken, want anders zijn ze te laat. Dat wilden we vandaag meegeven.” Patrick Louwe van it2grow riep nogmaals op tot samenwerken: “Samen staan we sterker. Gelukkig zien we veel meer samenwerkingsverbanden ontstaan, tussen commerciële bedrijven, maar ook met de overheid. Alleen door samen te werken kun je voorkomen dat je getroffen wordt. En als dat toch gebeurt, helpt het je om ervoor te zorgen dat je snel weer op de been bent.”