Het verhaal van Joe, zoals hij zichzelf noemt, stond op de agenda van het Boef de baas-event 2021. Helaas gooide corona roet in het eten en moest Shenouda verstek laten gaan. Een paar weken na het event is hij weer fit genoeg om alsnog zijn verhaal te doen. “Ik heb het gelukkig niet zo erg gehad als veel anderen, maar je merkt het wel.”
Het gesprek vindt plaats via Teams en Shenouda blijkt een veelzijdig expert. Hij is begonnen als installateur van securitysystemen, al tijdens zijn studie, en heeft daarna de overstap gemaakt naar de consultancy. “Of ik nou bedrijven informeer, adviseer of training geef, mijn hoofdboodschap is altijd dat je veel kunt doen, maar dan wel diep genoeg moet graven naar de risico‘s. Als je een schat in huis hebt, moet je die beschermen. Dat snapt iedereen. De meeste bedrijven weten ook heel goed wat de risico’s zijn, maar ze doen te weinig.”

Is dat de meest gemaakte fout: te weinig doen?

“De meest gemaakte fout is dat bedrijven te veel leunen op ingehuurde kennis en dan denken dat het wel goed komt. Je moet je altijd de vraag stellen hoe snel je de boel weer recht kunt trekken als je aan de beurt bent. Ik ben dagelijks met cyber bezig, al jaren, en leer nog elke dag. Er komen ook dagelijks nieuwe technieken bij, dus je moet er wel bewust mee aan de gang gaan om het onder de knie te krijgen. Bedrijven moeten vooral flink investeren in eigen kennis. Als ik bij een bedrijf binnenkom, zeg ik van tevoren: ik kom voor zes maanden en dan ben ik weer weg, maar het werk is dan niet af hé? Wat doen jullie met de opgebouwde kennis? Komt er een projectgroepje? Een compleet team? Of leunen jullie liever op twee mensen van de leverancier die je hebt rondlopen? Ik heb het bij grote bedrijven meegemaakt dat hackers dwars door de firewall zijn gekomen en iedereen vervolgens naar elkaar wees. Dan heb je het niet bepaald onder controle toch?”

Hoe komt het dat cybersecurity nog in de kinderschoenen staat?

“Er wordt pas sinds 2014 geluisterd naar cybersecurity-experts. Bovendien zijn er in die zeven jaar wel stappen gezet, maar dat is altijd meer uit nood en door dreiging geweest. Het bewustzijn ontbreekt. Cyber is nog steeds geen integraal deel van ons werkzame leven. Sterker nog, veel bedrijven staan nog maar net in de startblokken als het om maatregelen gaat. Ik vraag altijd: heb je honderd procent zicht op wat er op je netwerken gebeurt? Monitor je dat? Haal je daar de verdachte dingen uit? Ben je alert op verdachte bewegingen? Vergis je niet, een bedrijf krijgt kansen zat om een hacker buiten de deur te houden. Die hacker moet eerst door de poort heen. Daarna moet hij door de gangen lopen, vervolgens de trap op en dan nog eens de kluis zien open te krijgen. Wij noemen dat de lateral movement, oftewel de bewegingen die de hacker maakt op het netwerk. Deze zijn makkelijk te volgen, maar als je er niet op let, zie je die bewegingen ook niet. Vergelijk het maar met een bewakingscamera. Leuk om op te hangen, maar als de bewaker tussendoor een boek zit te lezen, ziet hij ook geen verdachte gedragingen.”

Hoe groot is de kans dat een hacker wordt gepakt?

“Als je die monitoring goed regelt, is de kans misschien wel 99 procent. Net zo groot als een goede bewaker een verdachte beweging signaleert wanneer hij continu naar de camerabeelden kijkt in plaats van een boek leest.”

Het lijkt mij, eerlijk gezegd, wel makkelijk geld verdienen. Als je tien aanvallen doet, zal er toch wel eentje raak zijn?

“Buiten het feit dat je strafbaar bezig bent en in de gevangenis kan belanden als je wordt gepakt, wordt het cybercriminelen inderdaad wel makkelijk gemaakt. Hackers scannen en soms zien ze ramen en deuren wagenwijd openstaan. Daarmee nodig je een hacker als het ware zelf uit om even te komen kijken of er wat te halen valt bij jou. Het is net als met gewone inbraken. Als jij goed bent beveiligd, gaan ze naar de buren. Een slim bedrijf kijkt daarom met andere ogen naar zijn eigen bedrijf om te achterhalen of een hacker makkelijk binnenkomt. Bedrijven denken vaak dat ze wel worden overgeslagen, omdat er niet zoveel te halen is, maar je bent heel simpel een ip-adres op het internet. En als ze eenmaal binnen zijn, hebben ze vaak beet.”

Het gevaar op een hack neemt heel rap toe, maar het aantal cyberverzekeringen niet. Hoe kan dat?

“Omdat een verzekering niet verplicht is. Een cyberverzekeraar eist een bepaalde mate van beveiliging, maar heel veel bedrijven willen die regie (nog) niet uit handen geven. Zij willen liever zelf bepalen wat ze wel of niet doen. Pas als een cyberverzekering serieuzer wordt genomen, zoals in Frankrijk het geval is, zal het beveiligingsniveau omhooggaan. Ieder bedrijf wordt dan immers verplicht om aan bepaalde voorwaarden te voldoen.”

Jij bent voorstander van een verzekering?

“Absoluut. Bedrijven moeten eerst heel basaal beginnen met onderdelen, waaronder de NDR-analyse (Netwerk, Detectie & Response), maar dat is pas het begin. Voor een betere beveiliging zul je veel meer stappen moeten zetten. Cyberverzekeraars werken vaak met standaarden (ISO 27001, CIS-Controls  (CIS = Computer Internet Security) en Sans). Dat zijn een soort draaiboeken voor het cyberveiliger maken van een bedrijf op alle gebieden. Als bedrijven die standaarden leren omarmen, kunnen ze stap voor stap hun beveiliging naar een hoger niveau tillen. Er wordt nu vaak gedacht dat hackers zo slim zijn, maar dat is de wereld op zijn kop. Wij maken die hackers zelf succesvol. We hebben er te lang geen prioriteit aan gegeven en zullen nu echt alle zeilen moeten bijzetten om het niveau op te krikken.”

Nemen de risico’s toe als een bedrijf groter is? Of kan de slager om de hoek net zo goed worden gehackt?

“Hoe meer mensen er rondlopen in jouw bedrijf, hoe meer activiteit er is en dus ook hoe complexer de beveiliging. Dus ja, hoe groter het bedrijf des te meer risico’s. Elke persoon in een bedrijf is een risicopost, want iedereen kan op een verkeerd mailtje of een foute link klikken. Een slager kan zeker ook met een hack te maken krijgen, maar de impact blijft dan meestal beperkt tot die slager. Een groot bedrijf als VDL is na drie, vier weken nog bezig met de schadeafwikkeling en is wekenlang uit de running.”

Jij hebt ook programma’s ontworpen voor militaire organisaties en de NAVO. Verschilt dat veel van andere bedrijven?

“Eigenlijk komen de beveiligingsmechanismen in grote lijnen altijd wel overeen. Alleen moet je voor het leger de beveiliging iets meer op maat maken. Er is bij defensie geen eenheidsworst en als die er wel is, moet het vaak alsnog in kleine plakjes worden gesneden. Bij het leger moet je meer in maatwerk denken, omdat je rekening moet houden met een vijand die ook anders denkt. Bij gewone bedrijven zoek ik vooral naar generieke oplossingen, waarmee ik als het ware een schil creëer. Kort samengevat kun je stellen dat hoe meer standaard het bedrijf is, hoe simpeler (en goedkoper) de oplossing kan zijn.”

Verzekeraars hebben als het ware een dubbele pet op. Ze moeten bedrijven informeren over de cyberverzekering, maar ondertussen intern ook de boel op orde hebben. Welke pet is het belangrijkst?

"Die interne boel, zonder enige twijfel. Je kunt geen cyberpolis verkopen als je ooit slecht in het nieuws komt of wordt gehackt. Zie je het voor je, dat een verzekeraar eisen stelt aan een bedrijf die een verzekering wil sluiten, terwijl ze zelf open huis hebben gehad? Dan neemt toch niemand je meer serieus. Een timmerman heeft toch ook geen piepende en krakende voordeur in zijn eigen huis.”

Welke kennis moet een verzekeraar in huis hebben om cyberpolissen te kunnen verkopen?

“Iedere cyberverzekeraar moet zijn kennis altijd op orde hebben en inspelen op ontwikkelingen. Met welke dreiging hebben we wanneer te maken? Nu is het ransomware, maar morgen of volgende week is er weer wat anders. De wereld van cybersecurity staat niet stil, dus moet een verzekeraar steeds nieuwe stappen zetten en zijn producten continu updaten.”

Doen ze dat nu voldoende?

“Ja, dat doen ze goed. De meeste verzekeraars hebben (voldoende) houvast aan die drie standaarden (ISO, CIS Control en Sans), die zichzelf steeds updaten en daarmee ‘automatisch’ inspelen op nieuwe dreigingen. Op basis van die standaarden hoeven verzekeraars zelf niet veel meer te doen. Totdat ze in een hoger segment terechtkomen. Als een verzekeraar een grote multinational wil verzekeren, moet hij naar duizend meer dingen kijken dan wanneer het om een mkb'er gaat.”

Is het aanbieden van een cyberpolis wel een taak voor verzekeraars?

“Dat denk ik wel. Cybersecurity kan schade opleveren die vaak is te voorkomen. Dat lijkt mij een ideaal speelveld voor een verzekeraar. Het alternatief zou zijn dat de overheid dekking biedt. Dat lijkt mij niet wenselijk, omdat je daarmee ook de dynamiek uit de markt haalt. Als er geen concurrentie is, is er voor de klant niks te kiezen.”

Pas zei iemand tegen me dat het een kwestie van tijd is voordat er een verzekeraar wordt gehackt?

“Dat denk ik ook. Ik heb meerdere verzekeraars van binnen gezien en daar ben ik eerlijk gezegd best van geschrokken. Het ontbreekt veelal aan kennis op topniveau om er echt prioriteit aan te geven. Het mag bijvoorbeeld niet teveel kosten en eerlijk is eerlijk, je krijgt wat je zaait. Er is in die zin nog veel werk aan de winkel bij verzekeraars, maar datzelfde geldt bijvoorbeeld ook voor pensioenfondsen.”

Wat zijn de grootste risico’s die verzekeraars lopen?

“Dat ze data verliezen van hun eindklanten die iets verder gaan dan alleen maar een naam, adres en bankrekeningnummer. Het tweede risico zit in de data van het bedrijf zelf, bijvoorbeeld in die van HR. Stel dat een hacker files in handen krijgt van een medewerker die in de schulden zit. Dan kan die medewerker zomaar het ideale target zijn om in ruil voor 20.000 euro even op die en die plek in te loggen. Het derde risico betreft het niet meer kunnen functioneren als bedrijf. Als een verzekeraar wordt gehackt, is hij zelf ook even out of business. En dan heb ik het nog niet eens gehad over de reputatieschade. Als een verzekeraar wordt gehackt, kan hij in ieder geval geen cyberverzekeringen meer verkopen. Die betrouwbaarheid is dan wel echt weg.”

Helaas kon je niet aanwezig zijn bij het Boef de Baas-event. Wat was jouw belangrijkste boodschap voor verzekeraars geweest?

“Dat ze moeten investeren in wat wij vulnerability management noemen. Dat is een continu proces en houdt in dat je voortdurend al je assets moet scannen op kwetsbaarheden, zodat je zo nodig actie kunt ondernemen. Als je alle apparatuur, variërend van computers en laptops tot servers, constant scant, komen daar veel, heel veel kwetsbaarheden uit. Deze moet je prioriteren, liefst door middel van een padge, dat je het beste kunt vergelijken met een software-update van je computer. In de meeste gevallen worden daarmee de gaatjes al gevuld. Want dat is wat je eigenlijk moet doen: de gaatjes vullen en de kwetsbaarheden wegnemen.”

Wat zou jij morgen anders doen als je bij een verzekeraar werkte?

“Ik zou meer herrie maken. Cyber is nog steeds een ondergeschoven kindje bij verzekeraars. Ze kunnen veel meer het belang van een goede cyberbeveiliging etaleren. Werk aan de winkel dus, want ze slaan ook nog eens twee vliegen in één klap. Verzekeraars tillen niet alleen het bedrijf naar een hoger beveiligingsniveau, maar ze nemen ook de pijn weg als een bedrijf alsnog wordt gehackt. En dat laatste is voor de meeste bedrijven slechts een kwestie van tijd. Ze denken nu vaak dat het hun niet overkomt of dat ze hun zaakjes goed voor elkaar hebben. Pure onderschatting dus, want zeker achteraf hebben bedrijven, hoe groot of klein de hack ook was, meestal spijt dat ze niet beter hebben opgelet.”

(Tekst Miranda de Groene - Fotografie Ivar Pel)