Zo tussen een van zijn laatste directieoverleggen van dit jaar en de voorbereidingen van de eindejaarsspeech, interview ik Arwi van der Sluijs (algemeen directeur van NFIR) om terug te blikken op het afgelopen jaar. Of zoals hij het zelf noemt een ‘soort tussenjaar’ ten opzichte van eerdere jaren. Desalniettemin is het een jaar waarin NFIR gegroeid is in aantal medewerkers en op het vlak van haar dienstverlening. Ik kijk ook naar de toekomst met Arwi. Een toekomst waarin cyberdreigingen blijven voortbestaan en waarin het oefenen en testen van informatiebeveiligingsprocessen alsmaar belangrijker wordt, aldus Arwi. Maar voor ik dat doe, blik ik eerst terug naar het bijzondere jaar 2022.
22 december 2022
NFIR is nog lang niet is uitgegroeid. Ik zie dat we in Nederland nog fors kunnen groeien, maar ook daarbuiten.
Wat was 2022 voor een jaar voor NFIR?
Arwi hoeft niet lang na te denken over dit antwoord. Hij heeft hier al meerdere keren gedurende het jaar op gereflecteerd en geeft dan ook resoluut aan dat 2022 een soort tussenjaar was. ‘We hebben jaren achter van extreme groei waarin de omzet zich steeds verdubbelde. Al vroeg in 2022 is het tij gekeerd. De oorlog in Oekraïne brak uit en dat had onmiddellijk als gevolg dat we echt beduidend minder incidenten hadden. Dit vertaalde zich in een lagere omzet met een organisatie die er wel klaar voor is. Dat was wel even wennen. Het jaar 2022 is daarmee een duidelijke trendbreuk. Niet alleen voor ons, maar voor de gehele cybersecurity branche.’
Dat is onverwachts een domper. Heeft deze medaille ook een positieve keerzijde?
Dat elke medaille twee zijdes heeft, kan Arwi gelukkig beamen. Hij kan namelijk vooralsnog met veel trots terugkijken naar een mooi jaar voor NFIR. Dat legt hij als volgt uit: ‘Als het iets rustiger is op een bepaald vlak, dan heb je ook de tijd om na te denken over je bouwwerk, je organisatie. Dan moet ik aan het eind van het jaar ook gewoon constateren dat we het bedrijf verbouwd hebben. Er is een management laag tussen gekomen, de organisatie groeit flink in aantal medewerkers en er zijn een heleboel processen verbeterd. Ik mag concluderen dat er in die zin sprake is van groei waardoor we de toekomst aankunnen en dat we naar 150 man kunnen groeien.’
Mijn wens is altijd dat we het normaal gaan vinden om informatieveiligheid te testen. Dat het de gewoonste zaak van de wereld is. Want als het dan een keer mis gaat -en dat is niet uit te sluiten- dan ben je er optimaal op voorbereid.
2022 betitel je als tussenjaar, maar de dreiging van een security incident blijft voor iedere organisatie bestaan. Kunnen organisaties zich eigenlijk wel voorbereiden op een security incident?
‘Jazeker’, antwoordt Arwi vastberaden. ‘Ik denk dat het een groot gebrek is dat dat nu niet gebeurt. Ik vergelijk het graag met wat mensen van de veiligheidsregio doen of de brandweer. Die controleren bedrijven op brandveiligheid en die verplichten je om ontruimingsoefeningen te doen. Dus schijnbaar helpt het als je oefent. Dat geldt ook voor cyberincidenten. Dat betekent niet dat je af en toe alles plat moet gooien of een systeem bewust moet uitschakelen. Stap 1 is een plan maken, stap 2 is de plannen testen aan de hand van een scenario. Wat doe je als je ineens niet meer kunt mailen of als er poorten ongewenst open staan? Mijn wens is altijd dat we het normaal gaan vinden om informatieveiligheid te testen. Dat het de gewoonste zaak is van de wereld. Want als het een keer misgaat -en dat is niet uit te sluiten- dan ben je wel optimaal voorbereid.’
Je geeft aan dat de organisatie het afgelopen jaar is gegroeid en die groei zal zich voortzetten in de komende jaren. Is de groei ook te zien in het aanbod aan diensten dat NFIR biedt?
Een Incident Response Retainer spreekt niet direct tot de verbeelding. Kun je kort uitleggen wat de dienst inhoudt?
Dat wil Arwi zeker. ‘Zie het als een verzekeringspremie waarbij bedrijven een bedrag betalen en dan garanderen wij dat er capaciteit is op het moment dat zij te maken hebben met een incident en ons CERT willen inschakelen. Dus dat is een hele duidelijke ontwikkeling. We zien dat een bepaalde behoefte groeit en beantwoorden die graag met onze dienstverlening.’
Het digitale inbraakalarm op het OT netwerk. Ook dat moet op orde zijn. Daar hebben we de kennis en kunde voor in huis en daar ben ik apetrots op.
Zijn er in 2022 ook nog ontwikkelingen geweest binnen het monitoren van netwerken?
‘Ja, binnen de bestaande incident response en pentestdiensten zie je steeds vaker dat wordt gevraagd om naast de infrastructuur ook de Operationele Techniek (hierna: OT) te testen.’ Arwi legt uit wat er wordt bedoeld met het testen van OT. ‘Het gaat daarbij over de vraag hoe kwetsbaar operationele processen zijn. Of dat nu gaat om een kraan in de Rotterdamse haven of een weeg unit binnen een voedselverpakkingsfabrikant. Je kunt het zo gek niet verzinnen. OT is heel erg lang onderdeel van de maatschappij en dat willen ze steeds vaker getest hebben. Immers, deze omgevingen worden steeds vaker aan het internet verbonden en dat brengt automatisch risico’s met zich mee. Een verstandige CISO zegt dan “ik wil mijn OT getest hebben, kun je dat pentesten?” Ja, dat kunnen we.’
Een toename in het testen van Operationele Techniek dus, kun je daar wat praktijkvoorbeelden bij geven?
Er verschijnt een tevreden blik op Arwi zijn gezicht. Hij vervolgt zijn verhaal. ‘Ik ben er trots op dat we na een jaar kunnen zeggen dat we windmolenparken, haveninstallaties, inblikfabrieken hebben getest. Dat is gewoon gaaf. Klanten stellen ons steeds vaker vragen zoals ‘‘Ik dacht in eerste instantie bij cybersecurity aan het beveiligen van mijn werkplek, maar kun je ook mijn OT omgeving monitoren?’’ Met monitoren bedoel ik dan het digitale inbraakalarm op IT netwerken, maar wijs ik ook op het digitale inbraakalarm op het OT netwerk. Ook dat moet op orde zijn. Daar hebben we de kennis en kunde voor in huis en daar ben ik apetrots op.’
Je noemt dat monitoren en digitaal inbraakalarm. Dit doet mij denken aan het Security Monitoring seminar wat in juni is georganiseerd. Waarom is er voor dit specifieke onderwerp gekozen?
Arwi neemt een korte pauze en begint zijn uitleg. ‘Omdat we Security Monitoring na een aantal jaren tot een volwassen fase hebben gebracht. We hadden een duidelijke visie voor onze Security Monitoring oplossing: een betaalbaar product leveren dat ook geschikt is voor midden- en kleinbedrijf en wat te interpreteren is. Een product wat je ook echt kunt gebruiken, zonder dat je de cybersecurity specialisten in huis hebt. Dat product staat nu als een huis en dit jaar konden we daar ook aan de commerciële kant vol gas geven. We hebben al sinds jaar en dag klanten in zowel de publieke als private sector die daar gebruik van maken en die ons hebben geholpen bij de ontwikkeling. Onze Security Monitoring tak is nu zo volwassen dat we het groots kunnen aanbieden. Dat hebben we bezegeld met een leerzaam en geslaagd seminar.
Na een korte pauze feliciteer ik Arwi met het feit dat NFIR wordt aangeduid als een van de crème de la crème van de Nederlandse cybersecurity. NFIR werkt namelijk samen met de grote cybersecurity dienstverleners in Nederland. Ik ben benieuwd hoe deze samenwerking eruitziet en waarom deze tot stand is gekomen. Arwi legt dat als volgt uit:
‘Als cybersecurity dienstverleners zijn we elkaars concurrenten en hebben we best wel wat overlap. Maar we zijn allemaal ten diepste ook gericht op een ding: we willen het liefst gewoon boefjes vangen. Dan heeft het ook nut om over je schaduw heen te stappen en samen te werken en informatie te delen. Daar zit ook een efficiëntieslag in. We zijn allemaal op jacht naar dezelfde informatie. Dus als we die op een eenduidige manier binnen kunnen halen en ik krijg ik die informatie aangeboden door een collega, dan hoef ik het niet te doen of andersom. Dat verlangt wel dat je heel eerlijk bent naar elkaar en dat je elkaar vertrouwt. Je mag daarbij ook verwachten dat iedereen gelijke inspanning levert. Dat is met dank aan de branchevereniging Cyberveilig Nederland dit jaar heel goed op gang gekomen en daar zijn Northwave en NFIR de voortrekkers van. Ik ben er trots op dat we als jonge club zoveel tijd en energie steken in deze samenwerking.’
Het is toch ook heel raar dat het meest kritische bedrijfsproces, je IT, geen inbraakalarm heeft. Daar zal in de toekomst écht verandering in moeten komen.
Het einde van het jaar is ook altijd een mooi moment om voorruit te kijken. Als we naar de toekomst kijken, welke nieuwe ontwikkelingen zie je op het gebied van cybersecurity en voor NFIR?
‘NFIR is nog lang niet is uitgegroeid. Ik zie dat we in Nederland nog fors kunnen groeien, maar ook daarbuiten. Hoewel het niet onze core beleid is om uit te breiden naar Europa, leveren we inmiddels diensten in meerdere Europese landen. Dat zal de komende jaren gewoon door blijven gaan. Maar we hebben het in Nederland druk genoeg, dus daar hebben we voorlopig onze handen vol mee. Autonoom geloof ik dat we naar 150 personeelsleden kunnen doorgroeien.’
En wat breder, als we kijken naar cybersecurity in het algemeen? Welke ontwikkeling verwacht je het komende jaar?
Ik zie Arwi terugblikken op zijn carrière in de cybersecurity wereld. Dan zegt hij met een duidelijke toon ‘de frustratie dat organisaties iets moeten doen aan cybersecurity bewustwording wordt ieder jaar groter. Ik zit vanaf 2006 in deze branche en vanaf dat moment heb ik jaar op jaar moeten constateren dat onze cybersecurity basis in Nederland en elders niet op orde is. Toch blijf ik positief en denk ik dat dat steeds beter gaat. Ik heb veel vertrouwen en ik kijk met heel veel plezier vooruit. Dat heeft onder andere te maken met NIS2 die straks actief wordt. Dit is de nieuwe Europese wetgeving die bestuurders verantwoordelijk stelt als het verkeerd gaat in hun bedrijf op het gebied van cybersecurity. Ik denk dat dat een enorme stok achter de deur is waardoor bestuurders de goede vragen gaan stellen binnen hun organisaties “hebben wij de boel op orde en hoe weet ik nou dat we de boel orde hebben?’” Ik verwacht daarom dat er meer getest, gepentest en geaudit wordt. Bovendien verwacht ik dat bedrijven relevant meer geld gaan besteden aan IT. Het is toch ook heel raar dat het meest kritische bedrijfsproces, je IT, geen inbraakalarm heeft. Daar zal in de toekomst écht verandering in moeten komen, maar ik zeg het nog maar een keer: ik blijf positief. ‘
En met die positieve noot eindigen we deze wrap up. Op naar een mooi en voorspoedig 2023.
Dit interview is afgenomen door Isra Acherrat, projectcoördinator pentesten & security awareness bij NFIR.
