Jaargang 8, nummer 15 – najaar 2018
VOOR PROFESSIONALS IN INFORMATIEVOORZIENING EN -BEVEILIGING
Motiv bestaat 20 jaar. In deze periode hebben wij onszelf herhaaldelijk
opnieuw uitgevonden, gedreven door de mogelijkheden die digitalisering
biedt. Ook onze klanten kennen deze digitale transformatie. Een proces
dat naast kansen ook een flinke uitdaging betekent in de huidige tijd waarin
cyberaanvallen en cyber security niet meer uit de kranten weg te denken zijn.
Motiv zet zich in om Nederlandse bedrijven een veilige basis voor digitale
transformatie te bieden. Zo dragen wij ons steentje bij aan de succesvolle,
en vooral veilige, digitalisering van Nederland. Daarmee zij we in 1998 gestart
en dat zullen we voortzetten!
NUMM
ER 15 – NAJAAR 2018
2 15 | najaar 2018M Motivator Magazine
MAGAZINEMotivator Magazine
is een uitgave vanMotiv ICT Security
3
Ton Mooren en Aksel Dorèl
over 20 jaar Motiv:
‘I LOVE IT WHEN A PLAN COMES TOGETHER’
6Michel Hartogsveld,
IT-directeur bij
Loyens & Loeff:
‘WE NEMEN AFSCHEID VAN DE HARDCORE IT’
30Pierre Bankras,
Digital Transformation Lead
bij Royal FloraHolland:
‘TRANSFORMATIE VAN EEN BUSINESSMODEL’
12Marco van Beek en
Maarten Bruinsma van
Gemeente Amsterdam:
‘SECURITY MET GRACHT EN BRUG IS ACHTERHAALD'
44Hans de Vries,
Hoofd Nationaal Cyber
Security Centrum:
‘WIJ WILLEN NEDERLAND VEILIGER MAKEN’
48
M O T I VA T O R M A G A Z I N E N R . 1 5 - N A J A A R 2 0 1 8
COLOFONMotivator Magazine, voor professionals in informatievoorziening en -beveiliging
JAARGANG 8
NUMMER 15
NAJAAR 2018
ContactgegevensMotivUtrechtseweg 34E,3402 PL IJsselsteinT +31 (0)30 - 68 77 [email protected]
RedactieSebastian Stigter (Motiv)Else Storm (Motiv)Richard Wolters (Motiv)Co-Workx
Concept & vormgevingStudio Incognito, IJsselstein
FotografieRuud JonkersThomas FastingChristine van RooijeniStock/Getty images
DrukDrukkerij van Midden, Benschop
Advertentie-indexCheck Point 4Micro Focus 11NXTApps 29Motiv Academy 43RedSocks 57Forcepoint 63
[email protected] +31 (0)30 - 68 77 007
Motivator Magazine is een uitgave van Motiv ICT Security in IJsselstein. Deze uitgave verschijnt twee keer per jaar in een oplage van 4000 exemplaren.
© 2018 Motiv ICT Security
Foto
graf
ie: R
uud
Jonk
ers
TROTS!Wij zijn trots op Motiv, op ons modernste SOC van Nederland,
op onze 150 Motivaren, op onze klanten en wat we voor hen
betekenen, op onze prachtige vernieuwde thuisbasis in IJsselstein
en we zijn trots op de toekomst die wij met elkaar tegemoet treden.
Kortom: wij zijn trots op 20 jaar Motiv! Lees verder op pagina 6.
20 jaar Motiv en er is één woord dat steeds bij iedereen terugkomt...
4 15 | najaar 2018M Motivator Magazine
VOORWOORD20 jaar digitale transformatie
Voor u ligt een bijzondere editie van Motivator Magazine, een heus bewaar-nummer! Motiv bestaat dit jaar 20 jaar en in deze 15e uitgave kijken we terug op deze twee bewogen decennia. De wereld waarin wij leven is sinds 1998 in hoog tempo gedigitaliseerd en daarmee veranderd. In deze tijd waarin de innovaties ons om de oren vlogen heeft ook Motiv een grote metamorfose doorgemaakt. Van een klassieke IT- en netwerkorganisatie hebben we ons ontwikkeld tot dé specialist op het gebied van cyberveiligheid in Nederland.Op dezelfde manier hebben onze klanten en relaties een grote transformatie doorgemaakt in deze periode. In deze jubileumeditie van Motivator Maga-zine vertellen wij de verhalen van een aantal van deze transformaties, zoals bijvoorbeeld die van Royal Flora Holland, de gemeente Amsterdam en Loyens & Loeff.
Ook laten we een aantal belangrijke adviesorganen aan het woord. Zo zetten Hans de Vries, hoofd Nationaal Cyber Security Centrum (NCSC) en Petra Oldengarm, directeur branchevereniging Cyberveilig Nederland, hun visie uiteen. Zij vertellen over het huidige cyberveiligheidslandschap, dreigings-risico’s en de rol van overheid en bedrijfsleven in een veilig digitaal transformatieproces.
Ten slotte staan we natuurlijk stil bij de heropening van het pand waar het in 1998 voor Motiv allemaal begon; de historische Uitspanning aan de Poortdijk in IJsselstein. Deze plek vervult van oudsher een belangrijke functie als pleisterplaats waar mensen elkaar ontmoeten en waar zaken en plezier al zo’n 400 jaar samenkomen. Geheel in lijn met deze historie opende Motiv hier in september het modernste SOC van Nederland en het Motiv Grand Café waar collega's, leveranciers en klanten van Motiv elkaar iedere 13e van de maand tijdens een gezellige, informele borrel ontmoeten en waar u vanzelfsprekend ook van harte welkom bent.
Namens de gehele redactie wens ik u veel lees- en kijkplezier. Bastiaan Bakker, Directeur Business Development bij Motiv
In deze editie ook aandacht voor:
De ambiteuze doelstellingen van branchevereniging
Cyberveilig Nederland
Het modernste SOC van Nederland:
Motiv's groeibriljant richting de toekomst
Koen Moesman van Sophos:
'Wie stilstaat verliest de strijd'
16
20
24Nederlandse Spoorwegen zet zwaar in op de cloud
Bastiaan Bakker, Youri Jelsma en Jeroen Fokkema:
'Motiv is eigenlijk één grote familie'
54
58
VR Experience vergroot bewustzijn over impact
cyberpesten
34
Pepijn Janssen van RedSocks:
'Komt er een einde aan het vrije internet?'
Motiv opent Academy voor SOC-analisten
Chantal 't Gilde van Qualys:
'Volledig inzicht in uw infrastructuur is bittere noodzaak'
Rohald Boer en Vincent Kalkhoven van NXTApps:
'Security wordt onderdeel van de applicatie'
38
40
52
26
5
Foto
graf
ie: R
uud
Jonk
ers
C
M
Y
CM
MY
CY
CMY
K
genV AD_A4 copy.pdf 1 5/7/2018 10:56:08 AM
V I S I E
H E A D L I N E ' I L O V E I T W H E N A P L A N C O M E S T O G E T H E R '
X X20 JAA
R M
OTIV
| VISIE | M
OTIV
20 JAA
R M
OTIV
| VISIE | M
OTIV
' I love it when a plan comes together'
Motiv ICT Security maakte de afgelopen vijf jaar een snelle groei door, van 90 'Motivaren' in 2013 naar bijna 150 nu. Hoe verklaren medeoprichter Ton Mooren en algemeen directeur Aksel Dorèl die groei? Het twintigjarig bestaan van het bedrijf was voor Motivator Magazine een goede aanleiding om ze hierover aan de tand te voelen.
Ton Mooren en Aksel Dorèl over 20 jaar Motiv:
Het gesprek begint met een lange stilte. Mooren
neemt nog even een paar minuten de tijd om
een vijf jaar oud artikel uit Motivator Magazine
door te nemen. Toen was ‘15 jaar Motiv’ het on-
derwerp. Hij doorbreekt de stilte met een vraag
aan de interviewer: “Moet ik nu herhalen wat ik
destijds heb gezegd?”
Geen onterechte vraag. De ontstaansgeschiede-
nis van Motiv is niet veranderd, en de uitgangs-
punten zijn nog altijd hetzelfde. Ook vijf jaar gele-
den draaide het al om het ontzorgen van klanten
en het veiliger maken van Nederland. “En onze
cultuur, de ‘Motiv-vibe’, is ook niet veranderd. Wel
anders dan vroeger is dat ik niet meer van alle
Motivaren weet hoe de kinderen heten en wan-
neer de partner jarig is.”
Het grote verschil met vijf jaar geleden is de om-
vang die Motiv nu heeft, zo concludeert Mooren. >
We zijn nu een klein groot bedrijf Ton Mooren (L) en Aksel Dorèl (R)
7
Foto
: Ruu
d Jo
nker
s
6 15 | najaar 2018M
“Vijf jaar geleden had ik niet gedacht dat we in
zo’n korte periode zo hard zouden groeien. Ook
had ik niet verwacht dat zoveel klanten met echt
grote omgevingen voor Motiv zouden kiezen.”
NS en de gemeente Amsterdam zijn daar goede
voorbeelden van. Recent gunde het Radboud
Universitair Medisch Centrum een Europese aan-
besteding aan Motiv.
BusinessboostVolgens Mooren en Dorèl hebben een aantal
factoren bijgedragen aan die groeiversnelling.
“Op de eerste plaats heeft de verhuizing naar een
nieuw kantoorpand voor een enorme business-
boost gezorgd”, stelt Mooren. “Grote organisaties
die ontzorgd willen worden, zoeken een part-
ner die bij hen past. Ons oude kantoorpand de
Uitspanning (zie ook het kader) had daarvoor niet
de juiste uitstraling.”
De professionaliseringsslag die Motiv de afge-
lopen jaren heeft doorgevoerd, heeft eveneens
bijgedragen aan de groeiversnelling. “Als grote
corporates in hun kernprocessen afhankelijk zijn
van je dienstverlening, is het absoluut noodza-
kelijk dat je kritisch naar jezelf blijft kijken als het
gaat om bijvoorbeeld leiderschap, riskmanage-
ment en efficiency”, aldus Mooren. Zo voerde
het ICT-securitybedrijf veranderingen door in de
managementstructuur. Als onderdeel daarvan
maakte Mooren als algemeen directeur plaats
voor de ervaren bestuurder Dorèl.
Onderscheidend vermogenOok noemen Mooren en Dorèl de ‘volledige
focus’ op security als stimulans voor groei, en dan
met name managed security en SOC-dienstverle-
ning. “De levensader van Motiv is niet het leveren
van security, maar de managed dienstverlening
op security”, aldus Mooren. “Onze SOC-dienst-
verlening wordt steeds belangrijker. Daar ligt ook
ons onderscheidend vermogen. Security is niet
iets detecteren of tegenhouden, maar voorspel-
len wat er gaat gebeuren en de markt en je klant
daartegen beschermen.”
“In ons ‘strategisch plan 2020’ hebben we enkele
jaren geleden al heel duidelijk aangegeven dat
Motiv moet worden geassocieerd met security”,
aldus Dorèl. Dit is ook de reden dat applicatie-
20 JAA
R M
OTIV
| VISIE | M
OTIV
20 JAA
R M
OTIV
| VISIE | M
OTIV
V I S I E
H E A D L I N E ' I L O V E I T W H E N A P L A N C O M E S T O G E T H E R '
We moeten niet alleen roepen dat we Nederland veiliger willen maken, maar er ook handen en voeten aan geven
VAN FEESTZAAL TOT SOC
De geschiedenis van Motiv is nauw verbonden met de
Uitspanning. Dit historische pand aan de IJsselsteinse
Poortdijk deed in de tweede helft van de 19e eeuw
dienst als paardenstal die hoorde bij de aangrenzende
horecagelegenheid. De paarden van de gasten konden
hier op adem komen. In recentere tijden was de Uitspan-
ning een schilderswerkplaats.
In oktober 1998 kreeg Motiv de sleutel van de Uitspan-
ning, dat vanaf dat moment een kantoorfunctie zou
krijgen. Bij de feestelijke opening in januari 1999 waren
ongeveer 200 klantrelaties aanwezig. Voor die tijd wer-
den zij ontvangen in een restaurant in Utrecht, bij gebrek
aan een Motiv-kantoor.
Focus op securityIn de beginjaren was Motiv vooral actief op het gebied
van Oracle-databasetechnologie, applicatieontwikke-
ling en networking. Als een drietal grote organisaties
Motiv inschakelt om hun beveiligingsbeleid op te zetten,
komt de focus echter al snel op security te liggen.
Motiv wordt voor haar klanten de partner op het gebied
van informatievoorziening en -beveiliging, die niet
alleen de beveiligingsproducten en -diensten levert
maar ook beheert. Een partner waarmee je kunt spar-
ren over complexe beveiligingsproblemen. De nadruk
op ontzorging van de klant zit al vanaf het begin in het
DNA. Wat Motiv daarbij speciaal maakt, is het serviceap-
paraat dat onder andere is gecertificeerd op basis van
ISO 9001 (kwaliteitsmanagement), ISO 27001 (infor-
matiebeveiliging), ISO 20000 (Service Management op
basis van ITILv3).
Modernste SOC van NederlandOmdat de Motivaren niet allemaal meer in de Uitspan-
ning pasten, nam Motiv in 2010 een tweede kantoor-
pand in gebruik. Een situatie die tijdelijk zorgde voor een
fysieke scheiding in de Motiv-familie. Die breuk werd in
2013 hersteld toen Motiv het huidige kantoorpand aan
de Utrechtseweg in gebruik nam.
De huidige thuisbasis bevindt zich op steenworp afstand
van de Uitspanning, waar onlangs het ‘modernste SOC
van Nederland’ werd geopend. En waar tijdens de maan-
delijkse ‘Motiv Grand Cafés’ wordt gegeten en gedron-
ken. Zo is en blijft de Uitspanning een plaats waar zaken
en plezier verenigd worden, net als 150 jaar geleden.
8 15 | najaar 2018M Motivator Magazine
10 15 | najaar 2018M
20 JAA
R M
OTIV
| VISIE | M
OTIV
V I S I E
ontwikkeling is ondergebracht onder het nieuwe
label NXTApps. Deze stap heeft volgens Dorèl
gezorgd voor nieuwe energie, een energie die
kenmerkend is voor een startende onderne-
ming. “Ik vind het mooi om te zien hoe NXTApps
in korte tijd is gaan bruisen en het Motiv-label
versterkt. NXTApps steekt het securityhuis aan, en
vice versa.”
Groot in aanzien“Veel punten uit ons strategisch plan 2020
hebben we gewoon gerealiseerd”, stelt Mooren
tevreden vast. Dorèl: “Ken je The A-Team nog?
Een bekende uitspraak van Hannibal was ‘I love it
when a plan comes together’. Dat is nu ook bij
Motiv het geval, en daar ontleen ik mijn plezier
aan. Daarvoor ben ik naar Motiv gekomen.”
“We zijn nu een klein groot bedrijf”, vervolgt
Dorèl. “Nog altijd bescheiden in omvang, maar
in een gefragmenteerde securitymarkt groot in
aanzien. Er zijn niet veel private ondernemingen
met bijna 150 securityspecialisten in dienst. Dat
brengt ook verplichtingen met zich mee.”
“Er wordt van Motiv een actieve rol verwacht als
het gaat om het veiliger maken van Nederland”,
verduidelijkt Dorèl. “We moeten niet alleen roe-
pen dat we Nederland veiliger willen maken,
maar er ook handen en voeten aan geven. Dat
doen we nu al, onder andere door als founding
partner van de branchevereniging Cyberveilig
Nederland een gesprekspartner te zijn voor de
politiek. En door samen met partners cyberpes-
ten aan te pakken. De komende vijf jaar zullen we
verder invulling geven aan de sociaal-maatschap-
pelijke verplichtingen die we hebben.”
De verhuizing naar een nieuw kantoorpand heeft voor een enorme businessboost gezorgd
A Holistic Approach to Security Intelligence
Want to simplify security operations and keep pace with your growing security needs? You need a flexible, comprehensive threat detection and compliance solution that unifies SIEM and security analytics. ArcSight understands the threat potential of every event across your organization. ArcSight analyzes the broadest set of data sources, such as log data from devices on premise or in the cloud. Then it prioritizes events based on risk level, and displays them on a customizable dashboard to turn data into actionable intelligence. So you can get to bad guys before they get to you.
Data Theft
Phishing
Malware
Worm
Data Theft
Bad IPS Address
Insider Threat
Nmap Scanning
DDoS Port Scan
Keyloggers
Rootkits
Keyloggers
DDoS
H E A D L I N E ' I L O V E I T W H E N A P L A N C O M E S T O G E T H E R '
13 Motivator Magazine12 15 | najaar 2018M
H E A D L I N E ' V E R T R O U W E N I S VA N L E V E N S B E L A N G V O O R H E T F U N C T I O N E R E N VA N O N Z E M A R K T P L A A T S ’D
IGITA
LE TRA
NSFO
RM
ATIE | KLA
NT A
AN
HET W
OO
RD
| RO
YAL FLO
RA
HO
LLAN
D
'Vertrouwen is van levensbelang voor het functioneren van onze marktplaats'
K L A N T C A S U S
Royal FloraHolland wil wereldwijd dé toonaangevende digitale marktplaats voor de sierteeltsector worden. “Maar daarvoor is wel een robuust,
flexibel en stabiel IT-eco systeem nodig”, stelt Pierre Bankras, Digital Transformation Lead bij Royal FloraHolland. Voor de grootste
bloemenveiling ter wereld reden om de IT ‘radicaal te disrupten’.
DIG
ITALE TR
AN
SFOR
MATIE | K
LAN
T AA
N H
ET WO
OR
D | R
OYA
L FLOR
AH
OLLA
ND
Royal FloraHolland is een coöperatie van en
voor ruim vierduizend kwekers van sierteelt-
producten. “Al ruim een eeuw verbinden we
mensen”, vertelt Bankras. “We zijn het ultieme
fysieke ecosysteem tussen kwekers, handelaren
en allerlei andere partijen die een rol spelen in
de sierteeltketen. Met onze veiling en logistieke
dienstverlening helpen we kwekers om bloe-
men bij de mensen thuis in de vaas te krijgen.”
De fysieke marktplaats van Royal FloraHolland
krijgt wel steeds meer concurrentie. Het volu-
me dat langs de veilingklokken gaat neemt af.
Alternatieve online marktplaatsen rukken op en
sommige kwekers doen rechtstreeks zaken met
hun klanten. “We moeten het radicaal anders
gaan doen”, aldus Bankras. “Anders lopen we het
risico onze relevantie te verliezen.”
Digital firstDit inzicht leidde bij Royal FloraHolland tot een
digitale transformatie. “We veranderen met behulp
van technologie ons businessmodel”, licht Bankras
toe. Het resultaat is een strategie waarin het digi-
tale platform Floriday een belangrijke rol speelt.
Hier wordt het bloemen- en plantenaanbod van
kwekers bij elkaar gebracht. De online afzetkana-
len KOA, FloraMondo en FloraXchange zijn >
Pierre Bankras van Royal FloraHolland:
Foto
: Ruu
d Jo
nker
s
andere voorbeelden van de digitalisering bij de
bloemen veiling.
“Door de digitale transformatie die we hebben
ingezet, zijn we als organisatie constant in flux”,
constateert Bankras. “Dat vraagt wel om een
ander soort IT. Je hebt een IT- en securitylaag
nodig die niet alleen stabiel en robuust is, maar
die ook genoeg integratiemogelijkheden en
flexibiliteit biedt. Dan kun je er later op een
andere manier gebruik van maken dan oorspron-
kelijk de bedoeling was.”
Aan die ‘stabiele digitale basis’ ontbrak het tot
voor kort. Bankras: “Onze IT was echt verouderd
en we hadden met aardig wat verstoringen te
maken. We moesten onze IT echt radicaal veran-
deren. Een digitale transformatie begint met het
op orde hebben van je IT-basis.”
Radicale uitbestedingHet woord ‘radicaal’ zal tijdens het gesprek in het
Fleurcentergebouw in Naaldwijk nog meerdere
keren vallen. Zo koos Royal FloraHolland vol-
gens Bankras voor een ‘radicale uitbesteding van
alle operationele IT’. “Partners hebben jarenlang
geïnvesteerd in het eigen vakgebied en in het
binnenhalen en blijven ontwikkelen van de juiste
mensen. Die kennis en expertise gebruiken we
om ons eigen innovatievermogen te versterken.”
“We hebben gezocht naar partijen die flexibel
en creatief zijn, en in staat zijn om constant mee
te bewegen met Royal FloraHolland”, vervolgt
Bankras. “Het is daarbij belangrijk dat alle betrok-
ken partijen goed met elkaar kunnen samen-
werken. Het gaat erom dat je samen iets moois
neerzet, ongeacht welke werkgever boven je sala-
risstrook staat. Je moet met elkaar kunnen samen-
werken en volledig op elkaar kunnen vertrouwen.”
Secure landschapSamenwerken met vertrouwen doet Royal Flora-
Holland bijvoorbeeld met Conclusion, dat onder
andere verantwoordelijk is voor applicatieontwik-
keling en -maintenance en een stuk infrastruc-
tuurbeheer. “Motiv biedt Royal FloraHolland een
secure landschap en heeft onze bestaande secu-
ritysystemen overgenomen. Die samenwerking
begon bij de hardening van onze infrastructuur
en firewallbeheer.” De oude firewalls zijn inmid-
dels vervangen. Ook zijn er nieuwe diensten zoals
e-mailfiltering toegevoegd. “Bij iedere stap die we
zetten, stellen we vast wat we van elkaar mogen
verwachten.”
“Motiv zorgt ervoor dat wij betrouwbaar zijn”,
schetst Bankras. “Onze marktplaats drijft op ver-
trouwen. Kwekers en handelaren moeten erop
kunnen vertrouwen dat wij op een goede manier
met transactiedata, geld en spullen omgaan. Bij
een securitybreach loopt dat vertrouwen gevaar.
Wij moeten daarom de kans op een incident zo
klein mogelijk maken, en de schade beperken als
er toch iets gebeurt. Het vertrouwen van onze
leden is van levensbelang.”
Sociale transformatieNaast een digitale transformatie heeft Royal Flora-
Holland volgens Bankras ook nog te maken met
een ‘sociale transformatie’. “Nieuwe technologie
betekent ook dat mensen anders moeten gaan
werken en op een andere manier gebruik moeten
gaan maken van de technologische middelen. En
je hebt de mensen nodig die technologie kunnen
zien in samenhang met de businessmodellen
die veranderen. De mensen zijn zelf de business.”
“Radicale uitbesteding betekent ook dat je een
nieuwe organisatie moet neerzetten die de regie
kan voeren”, zegt de Digital Transformation Lead.
Bij de bloemenveiling betekende dit dat de
IT-afdeling werd vervangen door een veel klei-
nere Business Technology Organization (BTO).
Deze afdeling is bijvoorbeeld verantwoordelijk
voor het verder ontwikkelen van Floriday en het
analyseren van de datastromen om hier meer
waarde uit te halen. De meeste IT’ers die niet
de overstap maakten naar BTO traden in dienst
van een sourcingpartner.
Amazon Web Services“We staan nog maar aan het begin van onze digi-
tale transformatie”, weet Bankras. “De IT-basislaag
is op orde en ook de organisatiestructuur is er
klaar voor. Maar we moeten bijvoorbeeld ook
nog het Identity & Access Management inregelen
en onze netwerkinfrastructuur moderniseren met
behulp van software-defined networking.”
Een stap waar Royal FloraHolland nu middenin
zit, is het uitschakelen van een groot deel van de
applicaties. De resterende applicaties verhuizen
voor een groot deel naar Amazon Web Services.
“Een megaoperatie, maar absoluut noodzakelijk.
Vanuit een verouderde situatie met systemen die
soms wel twintig jaar oud zijn, maken we in één
keer de sprong naar de cloud.”
“Door de migratie naar AWS profiteren we op-
timaal van de flexibiliteit van de cloud”, besluit
Bankras. “Ook kunnen we de standaardfacilitei-
ten in AWS gebruiken om de businesskennis
en logica die in onze applicaties zitten op een
andere manier te gebruiken. Door het radicaal
anders aan te pakken, spelen we tijdig in op
verande rende behoeften.”
We moesten met behulp van technologie ons businessmodel veranderen
Motiv zorgt ervoor dat wij betrouwbaar zijn
K L A N T C A S U S
H E A D L I N E ' V E R T R O U W E N I S VA N L E V E N S B E L A N G V O O R H E T F U N C T I O N E R E N VA N O N Z E M A R K T P L A A T S ’
15 Motivator Magazine14 15 | najaar 2018M
Meer referenties lezen? Ga naar www.motiv.nl/referenties
Foto
: Ruu
d Jo
nker
s DIG
ITALE TR
AN
SFOR
MATIE | K
LAN
T AA
N H
ET WO
OR
D | R
OYA
L FLOR
AH
OLLA
ND
DIG
ITALE TR
AN
SFOR
MATIE | K
LAN
T AA
N H
ET WO
OR
D | R
OYA
L FLOR
AH
OLLA
ND
V I S I E
H E A D L I N E ‘ S E C U R I T Y V E R D I E N T E E N P L E K I N H E T H A R T VA N D E B U S I N E S S ’
Petra Oldengarm (L) en Aksel Dorèl (R)
XSAM
ENW
ERK
ING
IN C
YB
ERSECU
RITY | V
ISIE | BR
AN
CHEV
EREN
IGIN
G C
YB
ERV
EILIG N
EDER
LAN
D
SAM
ENW
ERK
ING
IN C
YB
ERSECU
RITY | V
ISIE | BR
AN
CHEV
EREN
IGIN
G C
YB
ERV
EILIG N
EDER
LAN
D
'SECURITY VERDIENT EEN PLEK IN HET HART VAN DE BUSINESS'
De belangen van de securitysector vertegenwoordigen, de kwaliteit en transparantie in de branche verbeteren en het veranderen van het imago van security. Met die pittige maar nobele doelstellingen in het achterhoofd zag in mei dit jaar branchevereniging Cyberveilig Nederland het levenslicht. Wij spraken met directeur Petra Oldengarm en penningmeester Aksel Dorèl.
De ambitieuze doelstellingen van Cyberveilig Nederland:
Enkele maanden geleden richtten acht security-
bedrijven een nieuwe branchevereniging op: Cy-
berveilig Nederland. De vereniging wil niet alleen
de weerbaarheid van organisaties verbeteren,
maar ook als spreekbuis dienen voor de gehele
securitybranche. “Er zijn natuurlijk meerdere be-
langenbehartigers in de IT-sector. Denk bijvoor-
beeld aan Nederland ICT en FME”, vertelt Dorèl.
Als Algemeen Directeur van Motiv is hij een van
de ‘founding partners’ van de vereniging. “Maar
zij benaderen vraagstukken waarmee klanten
en de maatschappij als geheel geconfronteerd
worden vanuit een veel breder belang. Dat gaat
niet zelden ten koste van security.”
Niet alleen zaak van ITDe loskoppeling van de IT-sector is om meer
redenen belangrijk. Security is in de hoofden van
bestuurders nog te vaak een zaak van IT, en dus
met name een kostenpost. Een mindset waar
Cyberveilig Nederland wat aan wil doen. Volgens
Oldengarm ontbreekt vaak de nodige kennis.
“Bovendien is het voor veel bestuurders een
ver-van-mijn-bedshow. Daardoor zijn basismaat-
regelen vaak niet op orde.”
Dat is zorgwekkend, want ondertussen is techno-
logie tot diep in de haarvaten van steeds meer
organisaties doorgedrongen. En daarmee ook
het belang van security. Oldengarm: “Het raakt
allerlei primaire businessprocessen. Dat maakt
security niet enkel een zaak van IT, maar zeker
ook van de business.” >
Foto
: Ruu
d Jo
nker
s
17 Motivator Magazine
Motivator Magazine 19
VertrouwenDorèl vult haar aan: “Security biedt bovendien
kansen. Een veilig en privacyvriendelijk karakter
van je organisatie zorgt voor een enorme ima-
goboost en vertrouwen bij je klanten. Klanten
moeten blind kunnen varen op de veiligheid van
authenticiteit van hun gegevens op het moment
dat ze deze aan een organisatie toevertrouwen.
Dienstverlening moet zo veilig mogelijk zijn, die
verantwoordelijkheid heb je als organisatie. Een
datalek schaadt dat vertrouwen enorm en kan
je zelfs de das omdoen. Dat besef leeft nog te
weinig. Dat gaat ten koste van de kwaliteit van
investeringsbeslissingen en uiteindelijk van het
algemene securityniveau.”
Klokhuis-taalCyberveilig Nederland is vastbesloten dat imago-
probleem aan te pakken. Niet met moeilijk
jargon. Ook niet met de beproefde FUD (Fear,
Uncertainty and Doubt)-strategie, waarbij secu-
ritybedrijven verkopen op angst. Maar juist met
eerlijke, objectieve informatie, in een taal die
aansluit bij de business. “We moeten het belang
van security uitleggen in Klokhuis-taal”, verduide-
lijkt Dorèl.
Drie businesspijlers zijn volgens hem daarbij
leidend: risico, kosten en gebruiksgemak. Welk
risico loop ik? Welke kosten moet ik maken om
dat risico te verkleinen? En welke gevolgen heeft
dit voor het werk dat ik (of mijn medewerkers)
doe? “Dan spreek je de board direct aan”, licht
Dorèl toe. “Uiteindelijk is iedere securitymaatregel
een balansoefening tussen deze drie elementen.
Daarom bieden we organisaties de middelen
om eenvoudig hun risicoprofiel te bepalen.”
Aanschuiven bij de overheidNiet alleen richting de business voelt Cyberveilig
Nederland zich verantwoordelijk voor het
overdragen van kennis. “We zijn er ook voor
het bredere belang. We zitten graag aan tafel
bij de overheid wanneer het gaat om nationale
cyberveiligheid”, aldus Oldengarm. “Cyberveilig
Nederland brengt de kennis van de security -
branche samen. Kennis die nu en in de toekomst
hard nodig is om het securityniveau van Neder-
land te versterken.”
“Er zijn genoeg overheidsfunctionarissen die
van alles in de krant lezen. Over Rusland, over in-
menging in verkiezingen, over cyberspionage”,
vult Dorèl aan. “Ze weten niet altijd hoe ze die
dreiging moeten inschatten, wat dat betekent
voor Nederland. En wat het uiteindelijk betekent
voor de binnenlandse veiligheid als daadwerke-
lijk iedereen vanuit een zolderkamer een Security
Operations Center (SOC) kan starten. De overheid
vindt het erg lastig om met individuele bedrijven
hierover gesprekken te voeren. Dan is het prettig
als ze een gesprekspartner hebben die de hele
sector vertegenwoordigt en ze van de juiste
context en advies kan voorzien.”
“We zijn ook voor hun eigen informatievoorzie-
ning een inhoudelijke sparringpartner voor ze”,
zegt Oldengarm. “Zo heeft de overheid onlangs
het Digital Trust Center opgericht. Van daar-
uit wordt advies gegeven over bijvoorbeeld de
basismaat regelen voor het verhogen van de
cyberweerbaarheid. Dergelijke adviezen krijgen
wij voorgelegd, zodat wij hier input op kunnen
geven. Daarnaast heeft de overheid veel infor-
matie over incidenten. Denk bijvoorbeeld aan de
Autoriteit Persoonsgegevens die informatie over
datalekken beheert. Daar wordt nagenoeg niet
over gepubliceerd, terwijl die zaken voor onze
achterban potentieel waardevolle informatie
bevatten die helpen de dienstverlening te
verbeteren. Aan de andere kant beschikken
securitybedrijven over veel incidentinformatie.
Wij brengen als schakel tussen de overheid en de
securitysector die kennisuitwisseling op gang.“
Transparatie en kwaliteitDe oprichting van Cyberveilig Nederland kwam
niet op een toevallig moment. “De securitymarkt
groeit hard. Niet zo vreemd, want technologie
neemt een enorme vlucht. Het nadeel van die
groeimarkt is dat cowboys hiervan een graan-
tje willen meepikken”, legt Dorèl uit. “Maar
hoe weet je nu echt wat je in huis haalt? Die
wild groei komt de transparantie niet ten goede.
Orga nisaties weten niet precies wat ze kopen,
en dat is nadelig voor de veiligheid in het
algemeen.”
Het verbeteren van die transparantie is dan ook
een belangrijk aandachtspunt voor Cyberveilig
Nederland. Er worden veel verschillende dien-
sten verkocht onder dezelfde noemer. De pen-
test is daarvan volgens Oldengarm een goed
voorbeeld. “De ene aanbieder biedt onder die
noemer een grondige test met tooling en creatief
hack- en denkwerk van ethical hackers. Terwijl
een pentest bij de ander eigenlijk niets meer
behelst dan een snelle, volautomatische kwets-
baarhedenscan. Dat zorgt bovendien voor
ondoorzichtige prijsverschillen. De ene partij
biedt een pentest voor duizend euro, terwijl
bij een ander deze dienst voor tienduizend euro
in de boeken staat. De klant herkent de ver schillen
niet, terwijl de invulling en de kwaliteit ondanks
hetzelfde label sterk uiteen kunnen lopen.”
KeurmerkenCyberveilig Nederland wil die ondoorzichtigheid
onder andere bestrijden met certificeringen en
keurmerken. Om bij het voorbeeld van de pentest
te blijven: deze moet volgens de vereniging aan
een aantal voorwaarden en minimumvereisten
voldoen. “Kwaliteit is daarbij een belangrijk aan-
dachtspunt. Je mag van een pentest zelf en van
de personen die deze uitvoeren een bepaalde
mate van kwaliteit verwachten. Die kwaliteit maak
je met een keurmerk zichtbaar”, aldus Oldengarm.
Met zo’n keurmerk weet de klant niet alleen beter
wat hij of zij krijgt, maar wordt ook de algehele vei-
ligheid van Nederland vergroot. Dorèl: “Bedrijven
kunnen zich dankzij zo’n keurmerk sterken in hun
security. Je verzekert je immers van kwalitatieve
securityproducten en -diensten.”
Start-upmentaliteitTot nu toe zijn de reacties op het initiatief positief.
Oldengarm: “We krijgen vaak te horen dat er bin-
nen onze vereniging een nieuw soort energie
bruist. Bij ons geen ellenlange vergaderingen of
mooie verhalen, maar we zetten daadwerkelijk
stappen. Zo zitten we met FME, de ondernemers-
vereniging voor de technologische industrie,
aan tafel om samen te kijken hoe we deze sector
veiliger kunnen maken. Voor de keurmerken
en certificeringen werken we samen met het
Centrum voor Criminaliteitspreventie en Veilig-
heid (CCV) en een groot aantal publiek-private
samenwerkingspartners, zodat dat stelsel dat
we ontwikkelen geen wij-van-wc-eend-verhaal
wordt. Die pragmatische start-upmentaliteit
oogst waardering bij de samenwerkingspart-
ners. Die frisse wind zorgt ook in Den Haag voor
vertrouwen.”
ToekomstplannenCyberveilig Nederland is opgericht door Com-
putest, Fox-IT, Guardian360, Hoffmann, Motiv,
Northwave, QSightIT en Zerocopter. Op het
moment van schrijven bestaat de vereniging al
uit 25 leden. Daar zal het niet bij blijven. “Nieuwe
leden zijn meer dan welkom. We willen nog veel
verder doorgroeien, zodat we een brede afspie-
geling vormen van de Nederlandse security-
branche. Maar we willen vooral ook laten zien dat
wat we beloven ook daadwerkelijk waarmaken.
We zullen daarvoor onze website uitbouwen tot
een informatieplatform. Zo komt er bijvoorbeeld
een duidelijk stappenplan voor de implemen-
tatie van een resposible-disclorebeleid”, vertelt
Oldengarm. “Juist dat soort praktische zaken
hebben nu onze focus. Laten zien dat we dingen
waarmaken. We willen nu vooral doén, dan komt
de rest vanzelf”, besluit Dorèl.
18 15 | najaar 2018M
SAM
ENW
ERK
ING
IN C
YB
ERSECU
RITY | V
ISIE | BR
AN
CHEV
EREN
IGIN
G C
YB
ERV
EILIG N
EDER
LAN
D
SAM
ENW
ERK
ING
IN C
YB
ERSECU
RITY | V
ISIE | BR
AN
CHEV
EREN
IGIN
G C
YB
ERV
EILIG N
EDER
LAN
D
Foto
's: R
uud
Jonk
ers
V I S I E
H E A D L I N E ‘ S E C U R I T Y V E R D I E N T E E N P L E K I N H E T H A R T V A N D E B U S I N E S S ’
20 15 | najaar 2018M Motivator Magazine 21
HET M
OD
ERN
STE SOC VA
N N
EDER
LAN
D | V
ISIE | MO
TIV
HET M
OD
ERN
STE SOC VA
N N
EDER
LAN
D | V
ISIE | MO
TIV
Motiv heeft een naam hoog te houden als SOC-
dienstverlener. Het securitybedrijf zette al in 2013
een grote stap in de dienstverlening richting de
klant met de opening van haar eerste Security
Operations Center. Dit SOC behaalde tijdens een
onafhankelijke beoordeling de hoogste score ooit
toegekend tijdens een eerste assessment. Het aan-
tal klanten dat gebruikmaakt van het SOC groeide
de afgelopen jaren bovendien in hoog tempo.
“Wat vijf jaar geleden begon met een paar man,
is uitgegroeid tot de grootste afdeling binnen
Motiv”, vertelt Bastiaan Bakker, bij Motiv directeur
Business Development. “Dit geeft wel aan dat
securitymonitoring en de dienstverlening daar-
omheen cruciaal zijn voor onze klanten. En voor-
lopig zien we nog geen einde aan de groei.”
Complete omgevingen monitorenVolgens Ronald van der Westen, bij Motiv Mana-
ger SOC, is enige omvang ook nodig voor een
goede SOC-dienstverlening. “Onze klanten beste-
den steeds meer uit, en verwachten dat security
deel uitmaakt van de diensten die ze afnemen. >
'Dit is onze groeibriljant richting de toekomst'
Onlangs opende Motiv de deuren van ‘het modernste Security Operations Center van Nederland’. En dat op een historische locatie: het pand aan de IJsselsteinse Poortdijk waar 20 jaar geleden de geschiedenis van Motiv begon. “Dit SOC is het hart van onze cyberveiligheidsdiensten.” Bastiaan Bakker en Ronald van der Westen leggen uit waarom.
Motiv opent hightech SOC in historisch pand
V I S I E
H E A D L I N E ' D I T I S O N Z E G R O E I B R I L J A N T R I C H T I N G D E T O E K O M S T '
Foto
: Ruu
d Jo
nker
s
HET M
OD
ERN
STE SOC VA
N N
EDER
LAN
D | V
ISIE | MO
TIV
Dat betekent dat het niet meer volstaat om losse
sensoren zoals next-gen firewalls te monitoren.
Een SOC moet in staat zijn om de gehele omge-
ving van de klant in de gaten te houden.”
“Het gevolg is dat het SOC van Motiv maande-
lijks tussen de 1000 en 1500 meldingen ana-
lyseert, en dat aantal groeit nog altijd”, schetst
Van der Westen. Die groei vraagt volgens de
SOC Manager om een uitbreiding van de
eerste lijn met analisten die meldingen kunnen
beoordelen. “Maar ook om automatisering.”
Geautomatiseerde tooling kan bij een melding
beoordelen of er echt iets aan de hand is,
bijvoorbeeld door een verdacht bericht te onder-
zoeken in een sandbox en op geautomatiseerde
wijze het verdachte bericht uit de mailbox te ver-
wijderen. “De analisten houden dan tijd over voor
het adviseren van en een nauwe samenwerking
met de klant.”
Van detecteren naar jagenOp deze adviserende rol komt binnen SOC’s
steeds meer de nadruk te liggen. “We zien dat
moderne SOC’s niet alleen monitoren en wach-
ten tot er iets gebeurt”, legt Bakker uit. “De taak
van een SOC is steeds nadrukkelijker het actief
speuren naar dreigingen en ingrijpen nog voor-
dat een incident plaatsvindt. Dat kan bijvoor-
beeld op basis van de threat intelligence die
steeds breder beschikbaar is via zowel interne als
externe bronnen.”
“Je kijkt dan waar het elders fout gaat, hoe aanne-
melijk het is dat een gesignaleerde cyberaanval
ook de gemonitorde omgeving treft en wat je
kunt doen om dat te voorkomen”, vervolgt Bakker.
“Naast detectie draait het dus om preventie, en
om het daadwerkelijk oplossen van problemen
met bijvoorbeeld de uitgebreide set aan secu-
ritydiensten die we leveren. Het SOC is het hart
van de dienstverlening die we bieden. Ook denk
je met de klant mee hoe een incident in de toe-
komst kan worden voorkomen. Samenwerking is
daarbij cruciaal. Samen met de klant werk je aan
de cyberveiligheid.”
“In de oude situatie bedenk je vooraf wat er
kan gebeuren. Dan heb je het over securitymo-
nitoring op basis van voorspelbare scenario’s.
Daar komt nu hunting bij, waarbij je moni-
tort op basis van onvoorspelbare scenario’s”,
vult Van der Westen aan. “Analisten zoeken in
de securityinformatie die beschikbaar is actief
naar ‘indicators of compromise’. Ze zijn dus con-
tinu aan het jagen, of proberen vooraf gestelde
vragen te beantwoorden. Zijn er bijvoorbeeld
indicatoren van fraude?”
Groeibriljant“Moderne SOC’s hebben dus mensen uit uiteen-
lopende expertisegebieden nodig die een com-
plete klantomgeving overzien, mensen die kun-
nen jagen en mensen die beslissingen durven
te nemen als de dreiging hoog is”, concludeert
Bakker. “Die mensen zijn op de markt erg lastig
te vinden. Dat is ook de reden dat we een Motiv
Academy hebben opgezet waar we onze eigen
SOC-analisten opleiden" (zie ook het artikel op
pagina 40 in deze editie).
“Ons nieuwe hightech SOC is een extra reden
om de Motiv Academy te doorlopen”, besluit
de directeur Business Development. “Het is
een aantrekkelijke omgeving om te werken, met
de modernste middelen en een grote, groeien-
de groep specialisten. En je werkt voor klanten
die ertoe doen. Het nieuwe SOC is onze
groei briljant voor cyberveiligheid: nu en in de
toekomst.”
HET M
OD
ERN
STE SOC VA
N N
EDER
LAN
D | V
ISIE | MO
TIV
V I S I E
22 15 | najaar 2018M Motivator Magazine 23
Foto
: Ruu
d Jo
nker
s
Ronald van der Westen (L) en Bastiaan Bakker (R)
Een SOC moet in staat zijn om de gehele omgeving van de klant
in de gaten te houden
H E A D L I N E ' D I T I S O N Z E G R O E I B R I L J A N T R I C H T I N G D E T O E K O M S T '
Samen met de klant werk je aan de cyber veiligheid
24 15 | najaar 2018M 25 Motivator Magazine
IT-BEV
EILIGIN
G | V
ISIE | SOP
HO
S
IT-BEV
EILIGIN
G | V
ISIE | SOP
HO
S
In de praktijk merken wij dat veel klanten door de bomen het bos niet meer zien
PARTNER IN DE SCHIJNWERPERS:Senior Channel Account Executive bij Sophos
Deze wapenwedloop is onder andere zichtbaar in de
ontwikkeling van beveiligingsoplossingen. Zo bie-
den traditionele beveiligingsoplossingen niet langer
voldoende bescherming. “Iedere malwarevariant die
wordt ontdekt, krijgt een signature toegewezen. Deze
signature vormt in feite een unieke handtekening, aan
de hand waarvan de malware razendsnel kan worden
ontdekt en gestopt”, legt Moesman uit. “Voor onbekende
malware is echter geen signature beschikbaar, waar-
door deze werkwijze niet kan worden gebruikt om deze
malware te herkennen.”
Staatshackers en scriptkiddiesCybercriminelen zijn er in allerlei vormen en maten.
“Zo zijn er aanvallers die handelen in opdracht van een
statelijke actor en bijvoorbeeld doelen aanvallen die
door een overheid als vijandig worden beschouwd. Deze
groep heeft vaak veel middelen tot zijn beschikking en
voert veelal geavanceerde en complexe cyberaanval-
len uit", aldus Moesman. "Aan de andere kant zien we
cybercriminelen die simpelweg een boterham willen
verdienen. Zij beschikken doorgaans niet over verre-
gaande kennis en middelen om complexe aanvallen uit
te voeren. Deze groep koopt vaak via internet op on-
dergrondse marktplaatsen scripts en cyberwapens, die
vervolgens op brede schaal worden ingezet in de hoop
slachtoffers te maken en inkomsten te genereren."
"Geavanceerde cybercriminelen beschikken over de tijd
en middelen om onbekende kwetsbaarheden – ook wel
zerodays genoemd – op te sporen en exploits te schrijven
waarmee deze beveiligingsproblemen kunnen worden
uitgebuit. Aangezien het om onbekende kwetsbaarhe-
den gaat die nog niet eerder zijn ontdekt, is het niet
eenvoudig dergelijke aanvallen te detecteren. Je weet
immers niet waarnaar je zoekt", benadrukt Moesman.
Kunstmatige intelligentieSteeds vaker wordt daarom IT-beveiliging op basis van
kunstmatige intelligentie (AI) ingezet. AI wordt hierbij
gebruikt om patronen te herkennen in het gedrag van
malware, zodat deze kan worden ontdekt zonder dat
hiervoor een signature nodig is. Ook onbekende mal-
ware kan hierdoor in de praktijk razendsnel worden
ontdekt en gestopt.
Moesman: "Historische gegevens zijn hierbij zeer
waardevol. Sophos is al dertig jaar actief op het gebied
van IT-beveiliging en beschikt hierdoor over een
enorme hoeveelheid historische gegevens over alle
dreigingen die wij ooit zijn tegengekomen. Door op
deze data AI los te laten, kunnen we allerlei patronen
en trends in deze gegevens ontdekken. Deze helpen ons
nieuwe en onbekende malware te detecteren aan de
hand van bijvoorbeeld gedrag en andere terugkerende
kenmerken, zodat we beter zijn voorbereid op toekom-
stige dreigingen."
Het vinden van de juiste balansEen andere grote uitdaging op het gebied van IT-bevei-
liging is de wens vanaf iedere locatie toegang te hebben
tot belangrijke bedrijfsgegevens en -applicaties. "Dit
betekent in de praktijk dat gevoelige gegevens via inter-
net toegankelijk worden gemaakt, met alle risico's die
dit met zich meebrengt. Indien een werknemer immers
eenvoudig en gemakkelijk toegang kan krijgen tot be-
paalde data, kan een aanvaller die bijvoorbeeld toegang
heeft tot het apparaat van deze werknemer dat ook",
waarschuwt Moesman.
"IT-beveiliging is in mijn ogen dan ook in belangrijke
mate het vinden van de juiste balans tussen bevei-
liging enerzijds en toegankelijkheid anderzijds. Het
heeft geen zin een toepassing volledig dicht te tim-
meren, aangezien deze hierdoor onbruikbaar wordt.
Waar de balans ligt, kan een bedrijf alleen zelf bepalen.
Hierbij is een belangrijke rol weggelegd voor partners,
die klanten over deze afweging kunnen adviseren."
Door de bomen het bos niet meer zien"In de praktijk merken wij dat veel klanten door het
grote aanbod aan securityoplossingen door de bomen
het bos niet meer zien”, vervolgt Moesman. “Vendoren
en partners bieden vaak een grote variatie aan oplos-
singen aan, die ook nog eens beschikbaar zijn in allerlei
versies. Ook in ons eigen portfolio zien wij dit terug;
zo boden wij tot vorig jaar al drie verschillende ver-
sies van onze endpointbeveiliging aan. Leg hier de
proposities van andere vendoren naast en je hebt al
snel tientallen verschillende oplossingen die allemaal
endpointbevei liging bieden. Daardoor luidt de vraag
bij bijna elke security specialist als volgt: “Welke oplos-
sing sluit nu het beste aan bij de wensen en behoeften
van de klant?”
Op dit gebied is volgens Moesman dan ook werk aan
de winkel voor zowel vendoren als partners. “Door het
aanbod transparanter te maken en voor klanten duide-
lijker uiteen te zetten welke oplossing aansluit bij hun
specifieke behoeften, kunnen we klanten helpen voor
de juiste oplossing te kiezen. Sophos heeft hier zelf
overigens ook zijn verantwoordelijkheid in genomen.
Zo bieden wij sinds vorig jaar minder varianten van
onze endpointbeveiliging aan."
Veiligheid en kosten afwegen"Ook hierbij speelt balans overigens weer een belang-
rijke rol”, merkt Moesman op. “Iedere oplossing biedt
immers een ander veiligheidsniveau, waar een ander
prijskaartje aan verbonden is. Hoeveel ben je als be-
drijf bereid te investeren in IT-security en welk vei-
ligheidsniveau is noodzakelijk? Ook hierover kunnen
partners klanten adviseren. Welke specifieke dreigin-
gen zijn voor een klant relevant en hoe kunnen zij zich
hiertegen wapenen? Denk echter ook aan wetgeving
waar rekening mee moet worden gehouden of andere
relevante ontwikkelingen die impact hebben. Alleen
op basis van goede informatie kan de klant een goede
beslissing nemen."
Sophos is sinds begin 2018 officieel partner van Motiv.
De partijen werken echter al langer samen. "Sophos
heeft onlangs zijn strategie omgegooid. De focus ligt
hierbij op partners die een totaalconcept op het gebied
van IT-beveiliging aanbieden. Het gaat dan om partners
die niet alleen een oplossing kunnen leveren aan een
klant, maar ook advies kunnen leveren en kunnen mee-
denken. Motiv heeft een diepgaande expertise en kan
dit als geen ander”, besluit Moesman.
Op het gebied van IT-beveiliging is een continue wapenwedloop gaande tussen enerzijds cybercriminelen en anderzijds IT-bevei-
ligingsbedrijven. “Door deze wapenwedloop is het van groot belang te blijven vernieuwen en innoveren. Als je stilstaat, verlies je
de strijd en gaan cybercriminelen er met de winst vandoor”, zegt Koen Moesman, Senior Channel Account Executive bij Sophos.
'WIE STILSTAAT,VERLIEST DE STRIJD'
I N D E S C H I J N W E R P E R S
Koen Moesman
V I S I E
H E A D L I N E ' S E C U R I T Y W O R D T E E N O N D E R D E E L VA N D E A P P L I C A T I E '
X XNEX
T GEN
ERATIO
N A
PP
LICATIEON
TWIK
KELIN
G | V
ISIE | NX
TAP
PS
NEX
T GEN
ERATIO
N A
PP
LICATIEON
TWIK
KELIN
G | V
ISIE | NX
TAP
PS
' Security wordt een onderdeel van de applicatie'
“Wat je vandaag bedenkt, moet morgen in productie”, zegt Vincent Kalkhoven, directeur Business Innovation & Development bij Motiv. Om de snelheid op het gebied van applicatieontwikkeling erin te houden, zette Motiv de ‘twintig jaar oude start-up’ NXTApps in de markt. “Bij NXTApps draait alles om snel, goed en veilig.”
Rohald Boer en Vincent Kalkhoven van NXTApps:
“Motiv heeft al twintig jaar ervaring met applica-
tieontwikkeling”, schetst Rohald Boer, bij Motiv
Business Line Manager voor Applicatieontwikke-
ling. “Daarbij is security al sinds jaar en dag een
kwaliteitskenmerk.” Kalkhoven: “Applicatieontwik-
keling doen we altijd vanuit de best practices
voor security en privacy by design. We kunnen
niet anders.”
“Motiv is gewend om grote en complexe pro-
jecten te doen”, vervolgt Boer. Daarbij stipt hij
indirect ook een verbeterpunt aan van Motiv uit
het verleden. Snel kleinere projecten oppakken
en volgens principes als DevSecOps en Agile snel
een werkend prototype van een applicatie bou-
wen, dat waren niet de eigenschappen waar de
ICT-securityspecialist om bekendstond.
Mode 2-bedrijfHet nieuwe Motiv-label NXTApps brengt daar
verandering in. “Hiermee zetten we onszelf na-
drukkelijk in de markt als applicatieontwikkelpartij
die ook de kleinere projecten kan oppakken. We
hebben de flexibiliteit van een start-up, die echter
wel de power van Motiv achter zich heeft staan”,
licht Boer toe. “Het portfolio van Motiv is aanvul-
lend op de applicaties die we ontwikkelen. Als een
klant bijvoorbeeld behoefte heeft aan secure hos-
ting van een applicatie, dan kan Motiv die leveren.”
Security by design blijft ook onder de vlag van
NXTApps het uitgangspunt bij de ontwikkeling
van applicaties. “Dat koppelen we aan de nieuwe
energie en wendbaarheid die nodig zijn om snel
te reageren”, zegt Kalkhoven, die zijn directiefunctie
bij Motiv combineert met die van directeur van
NXTApps. “In Gartner-termen zou je NXTApps
kunnen zien als een ‘mode 2’-bedrijf.” In die visie
zorgt ‘mode 1’ voor een stabiele basis, en ligt in
de tweede versnelling de nadruk op zaken als
innovatie, snelheid en agility.
Low-code platformVoor een hoge ontwikkelsnelheid maakt NXTApps
naast Microsoft.NET gebruik van het low-code
platform van OutSystems. “Doordat je niet alles
zelf hoeft te ontwikkelen, kun je hiermee snel
een werkende applicatie opleveren”, aldus Boer.
“De klant ziet al snel resultaat van wat er
wordt gebouwd. Daarna is het een kwestie van
bijschaven om de applicatie geschikt te maken
voor productie.” >
Foto
: Ruu
d Jo
nker
s
26 15 | najaar 2018M
Security gaat deel uitmaken van de applicatie. Het is eigenlijk een extreme vorm van security by design Rohald Boer (L) en Vincent Kalkhoven (R)
NXT | APPS
Creating the next generation of applications
a Motiv Company
NXTApps is de next step in de ontwikkeling van maatwerkapplicaties die klanten helpt hun digitale transformatie te versnellen. Door een hoge ontwikkelsnelheid, op basis van kort-cyclische en low-code ontwikkeling, is NXTApps
in staat om de behoefte van organisaties snel te vertalen naar concrete functionaliteit. Als onafhankelijk label van Motiv biedt NXTApps deze hoge ontwikkelsnelheid met een grote expertise in ICT-security.
Cloud Applications The Internet of Things Digitale Transformatie
> WWW.NXTAPPS.NL
NXTApps heeft het low-code platform van Out-
Systems onder andere ingezet voor de bouw van
een M&A-portal voor Loyens & Loeff (zie ook het
artikel op pagina 30 in deze editie). Hierin kun-
nen klanten van Loyens & Loeff precies zien wat
de stand van zaken is in het overname- of fusie-
proces. Kalkhoven: “Die portal hebben we ge-
bouwd in de nieuwe filosofie van NXTApps.
Binnen drie weken hadden we een eerste wer-
kende versie van de applicatie opgeleverd.”
IoT en analyticsDaarnaast werkt NXTApps samen met Crossyn
aan een ‘Analytics of Things Platform’ voor het
verzamelen, verrijken en analyseren van de gege-
vens van een netwerk van aangesloten voertui-
gen. Deze data worden vervolgens ingezet voor
bijvoorbeeld preventief en voorspellend onder-
houd.
NXTApps heeft inmiddels de eerste ‘demo-apps’
beschikbaar die draaien op het Analytics of Things
Platform. Zo heeft de applicatieontwikkelaar een
toepassing gebouwd waarin bijvoorbeeld de
bij de BOVAG aangesloten garagebedrijven de
status van de motor kunnen inzien. Een ander
‘functioneel blok’ maakt het rijgedrag inzichtelijk.
Dit kan nuttige informatie zijn voor bijvoorbeeld
verzekeraars. Kalkhoven: “Klanten geven tegen-
woordig niet meer zomaar de opdracht voor een
maatwerkapplicatie. Die willen eerst zien, dan
kopen. Met Reduced Code Programming spelen
we in op deze wens.”
SensortechnologieUiteraard draagt NXTApps ook bij aan het port-
folio van Motiv. Zo is het label verantwoordelijk
voor de verdere ontwikkeling van mSafe, de
zakelijke dienst voor het veilig uitwisselen van
bestanden. Recente toevoegingen zijn een nieuwe
gebruikersinterface en de mogelijkheid om bin-
nen mSafe digitaal rechtsgeldig te ondertekenen.
Een andere Motiv-dienst waar NXTApps momen-
teel de laatste hand aan legt, is securitymonito-
ring binnen de applicatie. “We compileren een
sensor mee in de applicatie die we bouwen”,
vertelt Kalkhoven. Boer: “Voor een goede bevei-
liging heb je niet alleen hordes nodig die cyber-
criminelen buiten houden, maar ook camera’s die
registreren of iemand over de obstakels springt.
Die monitoring gebeurt vooral op basis van
loginformatie, maar als je het gedrag binnen de
applicatie monitort, krijg je veel rijkere informatie.
Zo zie je bijvoorbeeld de applicatierequests
voorbijkomen en ben je beter in staat om te
beoordelen of die valide zijn.”
“Door de beweging naar de cloud wordt de
vraag naar dit soort oplossingen steeds urgenter”,
vervolgt Kalkhoven. “In de cloud ligt minder de
nadruk op de fysieke beveiligingsoplossingen die
de infrastructuur en de endpoints beschermen.
Dan is het logisch dat security deel gaat uitmaken
van de applicatie. Dit is eigenlijk de ultieme vorm
van security by design.”
Forse groei“NXTApps is nog geen jaar oud, maar nu al fors
aan het groeien”, besluit Kalkhoven. “We heb-
ben inmiddels al veel mensen aangetrokken,
en werken samen met externe partijen. We zijn
voorbereid op het werk dat op ons afkomt. De
energie die past bij een start-up is op alle fronten
voelbaar.”
NEX
T GEN
ERATIO
N A
PP
LICATIEON
TWIK
KELIN
G | V
ISIE | NX
TAP
PS
28 15 | najaar 2018M
Applicatieontwikkeling doen we altijd vanuit de best practices voor security en privacy. We kunnen niet anders
Foto
's: R
uud
Jonk
ers
DIG
ITALE TR
AN
SFOR
MATIE | K
LAN
T AA
N H
ET WO
OR
D | LO
YEN
S & LO
EFF
DIG
ITALE TR
AN
SFOR
MATIE | K
LAN
T AA
N H
ET WO
OR
D | LO
YEN
S & LO
EFF
Loyens & Loeff verleent met zo’n 1500 mede-
werkers en vestigingen in onder andere Zwit-
serland en de Benelux zowel juridisch als fiscaal
advies. “Met onze combinatie van fiscalisten,
notarissen en advocaten zijn we uniek in een
markt die redelijk traditioneel is”, vertelt Har-
togsveld. Het is een wereld waarin volgens de
IT-directeur ‘uurtje-factuurtje’ bij veel kantoren
nog altijd gangbaar is en ‘oeverloos veel’ tekst
wordt geproduceerd.
“Maar je ziet nu wel een verschuiving”, vervolgt
Hartogsveld. “De verwachtingen van klanten
veranderen en ze vragen vaker om een ‘fixed
price’. Ook zie je dat digitale dienstverlening
steeds belangrijker wordt. Nieuwe technolo-
gieën zoals kunstmatige intelligentie, big data
en data-analytics zullen onze sector en onze
manier van werken ingrijpend veranderen.”
ChatbotsDit inzicht leidde bij Loyens & Loeff tot de op-
richting van een eigen Legal Lab. Dit is de plaats
waar het kantoor experimenteert met veelbe-
lovende functionaliteiten en leert omgaan met
veranderingen. “Op het moment dat je aan >
IT-directeur Michel Hartogsveld van Loyens & Loeff:
' We nemen afscheid van de hardcore IT'
Een manager of directeur voor innovatie? “Ik geloof er niet in dat je innovatie vanuit een directiekamer kunt afdwingen”, zegt Michel Hartogsveld, IT-directeur bij internationaal advocatenkantoor Loyens & Loeff. “De drang naar vernieuwing moet in de genen van de organisatie gaan zitten.” Het kantoor koos daarom voor een andere aanpak en gaf met ‘Legal Lab’ een impuls aan zijn digitale dienstverlening.
H E A D L I N E ‘ W E N E M E N A F S C H E I D VA N D E H A R D C O R E I T ’
K L A N T C A S U S
Motivator Magazine 31 30 15 | najaar 2018M
Analyses van big data wringen nog wel eens met
compliance Michel Hartogsveld
Foto
: Ruu
d Jo
nker
s
32 15 | najaar 2018 Motivator Magazine 33 M
de slag gaat met innovatie, ontstaat er vanzelf
een bepaalde ‘vibe’”, merkte Hartogsveld tot
zijn tevredenheid. “Mensen gaan anders naar
de organisatie kijken, ongeacht of een project
daadwerkelijk wordt opgeleverd. En ze komen
zelf met de vraag of iets mogelijk is.”
“We zijn twee jaar geleden begonnen met niets
en hebben gekeken hoe we onze adviseurs en
eventueel onze klanten kunnen ondersteunen
met technologie”, schetst de IT-directeur. “We
kwamen al snel uit in de M&A-hoek van fusies
en overnames.” Meer specifiek de Sales and
Purchase Agreements (SPA’s) die soms wel
1500 pagina’s dik kunnen zijn.
“We hebben al onze
SPA’s geanalyseerd om
te begrijpen hoe zo’n
document precies in
elkaar zit” , aldus Har-
togsveld. Het Legal
Lab ontwierp ver-
volgens een chatbot
die advocaten helpt
een SPA samen te stellen. Door bij voorbeeld
het land en de sector in te voeren, komt er al
snel een basis te staan. “Advo caten hoeven een
SPA niet meer vanaf ‘scratch’ op te bouwen,
wat een enorme tijdwinst oplevert.”
Red flagging‘Red flagging’ is een andere vorm van digitali-
sering waarmee Loyens & Loeff de kwaliteit en
snelheid van de dienstverlening verwacht te
verhogen. Hartogsveld: “Als bijvoorbeeld een
vastgoedportefeuille wordt verkocht, gaat het
misschien wel om duizenden woningen. Dan
wil je per woning weten of er zaken spelen die
de verkoop lastig kunnen maken, zoals onder-
huur of funderingsproblemen.”
“Wij kunnen met software alle contracten ana-
lyseren en bijvoorbeeld de 25 punten aanwij-
zen waar de klant echt direct naar moet kijken”,
zo legt de IT-directeur uit. De grootste ‘pijnpun-
ten’ worden gemarkeerd met een rood vlag-
getje. Minder urgente zaken die de verkoop
vermoedelijk niet in de weg staan, kunnen dan
wachten tot later. “Dat zorgt voor een enorme
snelheid in het proces.”
Veranderende rol IT“We hebben met het Legal Lab grote stap-
pen gezet”, stelt Hartogsveld tevreden vast.
Tegelijkertijd bestempelt hij de ingezette digi-
talisering als een ‘lange reis voor IT’, waar een
even lange adem voor nodig is. “Deze transitie
vraagt ook om een andere IT-organisatie die
de regie voert over de diensten die ze afneemt.
Je neemt afscheid van de ‘hardcore IT’ en gaat
IT-partners aansturen. Dit betekent wel dat je
moet leren om een goede opdrachtgever te
zijn en dat je heel duidelijk moet commu niceren
wat je wilt hebben. Om samen succesvol te
kunnen reizen, moeten de eisen duidelijk zijn.”
“Bij ons is het bijvoorbeeld heel belangrijk
dat er een ‘securitystempel’ staat op alles wat
we afnemen”, zo verduidelijkt Hartogsveld.
“Datalekken zijn in onze branche een belang-
rijk aandachtspunt. Een kantoor zoals Loyens
& Loeff werkt voor veel internationale, beurs-
genoteerde ondernemingen. Daar wisselen we
grote hoeveelheden gevoelige informatie mee
uit. Als die gegevens uitlekken, heeft dat direct
impact op onze eigen organisatie. We monito-
ren dan ook heel veel en doen al het mogelijke
om datalekken te voorkomen.”
Securityaspect zwaar meegewogenDe noodzaak voor een strikt securitybeleid
wordt volgens Hartogsveld nog groter door
de digitalisering van de dienstverlening. “Ana-
lyses van big data wringen nog wel eens met
compliance. Je analyseert externe data, en dat
kunnen bijvoorbeeld gevoelige bedrijfsgege-
vens of bijzondere persoonsgegevens zijn.”
“Bij alles wat we ontwikkelen, wordt het se-
curity- en privacyaspect dan ook zeer zwaar
meegewogen”, benadrukt Hartogsveld. Dit is
ook de reden dat Loyens & Loeff voor software-
ontwikkeling samenwerkt met NXTApps, een
onafhankelijk label van Motiv. “We bouwen
samen een M&A-portal waarin de klant precies
kan zien wat de stand van zaken is en wat er
in het overname- of fusieproces allemaal al is
gebeurd.” Door de Motiv-achtergrond kan NXT-
Apps deze portal ‘secure by design’ opleveren
en voorzien van het gewenste securitystempel.
Daarnaast is Motiv bij Loyens & Loeff verant-
woordelijk voor de securityomgeving. “De
fire walls komen bijvoorbeeld van Motiv en zij
verzorgen het beheer. Wij doen zelf ook nog
een beetje, maar wel steeds minder. Uiteinde-
lijk zul len we security als een full-blown dienst
afnemen.”
Veilige alternatieven biedenHartogsveld plaatst
daarbij wel een kant-
tekening. Het zal niet
zo zijn dat Loyens &
Loeff helemaal geen
omkijken meer heeft
naar security. “Mensen blijven de zwakste
schakel. Daar moeten we continu aandacht
aan besteden”, weet de IT-directeur. “Bijvoor-
beeld via onze eigen Academy. Daar maken we
onze advocaten bewust van de securityrisico’s.
Zo laten we zien wat er kan gebeuren als ze
privémail voor werk gebruiken.”
Volgens de IT-directeur is het aanspreken van
medewerkers op risicovol gedrag effectiever
dan het opleggen van restricties, zoals het
‘dichtzetten’ van de privémail. “Daarnaast moe-
ten we ervoor zorgen dat onze medewerkers
hun werk zo makkelijk mogelijk kunnen doen”,
besluit Hartogsveld. “Dat doe je niet door
zaken te verbieden, maar door veilige alterna-
tieven te bieden.”
DIG
ITALE TR
AN
SFOR
MATIE | K
LAN
T AA
N H
ET WO
OR
D | LO
YEN
S & LO
EFF
H E A D L I N E ‘ W E N E M E N A F S C H E I D VA N D E H A R D C O R E I T ’
K L A N T C A S U S
Meer referenties lezen? Ga naar www.motiv.nl/referenties
Met een M&A-portal kan de klant precies zien wat de stand van zaken is
Bij ons moet er eensecuritystempel staan op alles
wat we afnemen
DIG
ITALE TR
AN
SFOR
MATIE | K
LAN
T AA
N H
ET WO
OR
D | LO
YEN
S & LO
EFF
35 Motivator Magazine34 15 | najaar 2018M
H E A D L I N E V R E X P E R I E N C E V E R G R O O T B E W U S T Z I J N O V E R I M P A C T C Y B E R P E S T E NV
R EX
PER
IENCE TEG
EN C
YB
ERP
ESTEN | V
ISIE | STICHTIN
G 1N
P EN M
OTIV
VR Experience vergroot bewustzijn over impact
cyberpesten
V I S I E
Cyberpesten is een omvangrijk maatschappelijk probleem dat voortvloeit uit onze snel digitaliserende samenleving. "Waar een pester bij traditionele vormen van pesten direct de impact van zijn gedrag op het slachtoffer ziet, blijft deze bij cyberpesten verborgen", aldus Gerard van Kesteren, directeur van Stichting 1nP. Om het bewustzijn over de impact van cyberpesten te vergroten en een gedrags-
verandering teweeg te brengen, zijn de Stichting 1nP en Motiv ICT Security vanuit het Consortium tegen Cyberpesten gestart met de ontwikkeling
van een Virtual Reality Experience.
VR
EXP
ERIEN
CE TEGEN
CY
BER
PESTEN
| VISIE | STICH
TING
1NP EN
MO
TIV
Stichting 1nP en Motiv slaan handen ineen
Foto
: Ruu
d Jo
nker
s
"Een dramatisch voorbeeld van de impact van
cyberpesten is de zelfmoord van de 15-jarige
Amanda Todd. De Canadese plaatste in septem-
ber 2017 een video online waarin zij vertelde
over de pesterijen die haar tot deze daad hebben
gedreven." "Cyberpesten doorbreekt de causale
relatie tussen pestgedrag en de impact hiervan
op het slachtoffer. Doordat derden het gedrag
niet opmerken, kunnen pesters bovendien vaak
langere tijd ongemerkt hun gang gaan”, legt Van
Kesteren uit.
Cyberpesten wijkt daarin dus af van traditionele
vormen van pesten. "Daarom is het van belang
dat het bewustzijn onder jongeren wordt ont-
wikkeld over de impact van online pesterijen op
slachtoffers maar tegelijkertijd ook een oplos-
sing wordt aangeboden hoe de keten acties en
reacties kan worden doorbroken", aldus Vincent
Kalkhoven, directeur Business Innovation & Deve-
lopment bij Motiv.
Consortium tegen CyberpestenMotiv ICT Security en Stichting 1nP hebben
zich dit voorjaar samen met onder andere de
gemeente Amsterdam verenigd in een consor-
tium dat zich tot doel stelt om een bijdrage te
leveren aan de oplossing van het maatschap-
pelijke probleem van cyberpesten op basis van
virtual reality. Het consortium maakt gebruik
van dit nieuwe medium omdat met VR het be-
wustzijn sterker kan worden bevorderd dan met
traditionele methoden. Motiv paste deze tech-
nologie al eerder toe in haar security awareness
programma’s. Kalkhoven: “Mensen leren het
snelst door ervaring en virtual reality biedt een
bijna levensechte ervaring. Zoals wij de mede-
werkers van onze klanten met VR laten ervaren
wat de gevolgen kunnen zijn van onzorgvuldig
handelen met gevoelige data, zo laten wij ook
jongeren nu ervaren wat het gevolg kan zijn van
digitale pesterijen.” >
Naast Motiv, Stichting 1nP en de gemeente Am-
sterdam zijn ook Shootlab en VR Storytellers bij
het initiatief betrokken. Shootlab is een sociale
firma waar jongeren met afstand tot de arbeids-
markt onder begeleiding van ervaren filmmakers
helpen bij het maken van video's. VR Storytellers
richt zich op het creëren van het script voor de
VR Experience. Daarnaast krijgen het consortium
en haar doelstellingen inmiddels bijval vanuit
verschillende hoeken. Zo wordt de productie
van de film uitgevoerd met de studenten van het
Mediacollege Amsterdam, onder regie van Hugo
Metsers en heeft de organisatie VeiligheidNL,
onafhankelijke expert op het gebied van onge-
vallen en veilig gedrag, zich aangesloten om de
distributie naar de scholen te begeleiden.
Social Return on Investment Met het ontwikkelen van de VR Experience geeft
Motiv op alternatieve wijze invulling aan haar
Social Return on Investment (SROI)-verplichting.
Deze verplichting is onderdeel van een aanbe-
steding van de gemeente Amsterdam die door
Motiv is gewonnen. Kalkhoven: "Van partijen die
een aanbesteding van overheden gegund krij-
gen, wordt verwacht dat zij teruggeven aan de
maatschappij, wat ook wel SROI wordt genoemd.
Traditioneel wordt invulling gegeven aan deze
verplichting door mensen met een achterstand
op de arbeidsmarkt te helpen hun kansen te
verbeteren, bijvoorbeeld door hen opleidingen,
stages of werkplekken aan te bieden. Motiv voert
echter gespecialiseerd werk uit, wat het moeilijk
maakt op deze wijze invulling te geven aan
SROI. In overleg met de gemeente Amsterdam
kiest Motiv er daarom voor om met deze VR
Experience een bijdrage te leveren aan de
oplossing voor dit concrete maatschappelijke
probleem, dat direct in lijn ligt met de visie en
de missie van Motiv; een veiligere digitale wereld.
Aangeboden aan middelbare scholen en zorginstantiesDe VR Experience wordt vanaf het najaar aan-
geboden aan zowel middelbare scholen als
zorginstanties, zoals de Parnassia Groep waar
Stichting 1nP deel van uitmaakt. "Regelmatig
worden we in de GGZ geconfronteerd met de
gevolgen van cyberpesten. Denk hierbij aan
kinderen die sociaal angstig worden, zich terug-
trekken, depressief worden en zich geen raad
meer weten, met alle gevolgen van dien. Wij
willen deze ellende voorkomen, wat alleen kan
door op een zo vroeg mogelijke leeftijd bewust-
zijn te creëren over de impact van cyberpesten",
stelt Van Kesteren.
"Het kunnen aanbieden van een dergelijke ex-
perience is voor ons erg relevant, aangezien we
hiermee preventief te werk kunnen gaan”, ver-
volgt de bestuurder van Stichting 1nP. “Deze VR
Experience maakt de Parnassia Groep daarnaast
een extra interessante partner voor gemeentes,
die sinds 1 januari 2015 de regie hebben over
jeugd-GGZ.” De VR-experience wordt niet alleen
via Stichting 1nP, maar ook via andere onderdelen
van de Parnassia Groep en middelbare scholen
aangeboden. "Gezien het belang van de aan-
pak van cyberpesten was voor ons van cruciaal
belang dat de VR Experience op landelijk niveau
kan worden verspreid, zodat zoveel mogelijk
partijen hiervan kunnen profiteren.”
ExtenzoStichting 1nP en Motiv zijn overigens geen onbe-
kenden van elkaar en werken al jarenlang samen.
Van Kesteren: "Stichting 1nP zocht in 2009 een
partner die voor ons een nieuw webportaal kon
ontwikkelen. Dit portaal moest onze ruim 600
zzp'ers vanaf iedere locatie toegang geven tot
patiëntendossiers en andere relevante informatie
om ambulante zorg mogelijk te maken", legt Van
Kesteren uit. "Veiligheid is hierbij van cruciaal be-
lang, aangezien wij met gevoelige gegevens van
patiënten werken. We hebben daarom gezocht
naar een 'security first'-organisatie, die security
by design in het DNA heeft zitten. Veel partijen
kunnen een webapplicatie bouwen, maar slechts
weinig bedrijven zijn in staat een applicatie van
de grond af aan veilig te ontwikkelen."
Deze applicatie is Extenzo geworden, een online
portaal met invoerwizards om het invoeren van
gegevens door behandelaars te vereenvoudigen.
Daarnaast is een volledige bronregistratie be-
schikbaar, waardoor altijd inzichtelijk is uit welke
bron data afkomstig zijn. De VECOZO-check om
de verzekeringsgegevens van patiënten te con-
troleren, is in Extenzo geïntegreerd. Daarnaast is
de samenwerking met partners waar mogelijk
volledig geautomatiseerd.
Compleet programmaIn november van dit jaar wordt de Cyberpesten
VR Experience gelanceerd, maar deze zal niet op
zich staan. Bij het realiseren van een gedrags-
verandering speelt herhaling een belangrijke rol;
hoe vaker je je neus stoot, hoe groter de kans
dat je je gedrag aanpast. We willen het creëren
van VR Experiences rond cyberpesten daarom
vastleggen in een programma, zodat we in de
toekomst ook bij andere aanbestedingen hierop
kunnen inzetten. Op termijn hopen we hierdoor
een reeks VR Experiences te kunnen creëren",
aldus Kalkhoven.
36 15 | najaar 2018M
X
V I S I E
H E A D L I N E V R E X P E R I E N C E V E R G R O O T B E W U S T Z I J N O V E R I M P A C T C Y B E R P E S T E N
Het is van belang dat het bewustzijn onder
jongeren over de impact van online pesterijen
wordt ontwikkeld
Het consortium wil een bijdrage leveren aan de oplossing van een maatschappelijk probleem
VR
EXP
ERIEN
CE TEGEN
CY
BER
PESTEN
| VISIE | STICH
TING
1NP EN
MO
TIV
VR
EXP
ERIEN
CE TEGEN
CY
BER
PESTEN
| VISIE | STICH
TING
1NP EN
MO
TIV
Foto
's: R
uud
Jonk
ers
37 Motivator Magazine
Vincent Kalkhoven (L) en Gerard van Kesteren (R)
38 15 | najaar 2018M 39 Motivator Magazine
CY
BER
DR
EIGIN
G | V
ISIE | RED
SOCK
S
CY
BER
DR
EIGIN
G | V
ISIE | RED
SOCK
S
'KOMT ER EEN EINDE AAN HET VRIJE INTERNET?'
I N D E S C H I J N W E R P E R S
PARTNER IN DE SCHIJNWERPERS:Chief Technology Officer van RedSocks
Pepijn Janssen
Het dreigingslandschap is volop in ontwikkeling en
Janssen geeft hiervan meerdere voorbeelden. “Doordat
bedrijven steeds meer technische beveiligingsmaatrege-
len nemen, wordt de mens meer en meer dé zwakke plek
in de beveiliging van bedrijven. Cybercriminelen zullen
daarom steeds meer inzetten op social engineering.”
“Ook de wildgroei aan apparaten op de werkvloer brengt
grote risico's met zich mee, aangezien de controle over
deze devices zeer beperkt is”, vervolgt Janssen. “Zo
heeft een bedrijf geen controle over bijvoorbeeld een
smartwatch van een gebruiker, terwijl dit apparaat de
volgende dag wel weer direct of indirect met het be-
drijfsnetwerk wordt verbonden. Kantoren worden zelf
ook steeds smarter en waar een bedrijfsbeleid nog
wel opgelegd kon worden op Bring Your Own Device
(BYOD), is dat een stuk lastiger bij Internet of Things
(IoT)-devices.”
Monitoring als vorm van preventieDoor deze veranderingen in het dreigingslandschap
verandert ook de wijze waarop bedrijven zich tegen
cyberdreigingen wapenen. Janssen: “Zo verwacht ik
dat bedrijven BYOD met het oog op deze risico’s steeds
vaker aan banden zullen leggen en het gebruik van privé-
apparatuur op de werkvloer verbieden of in ieder geval
duidelijk segmenteren.”
“De Algemene verordening gegevensbescherming (AVG)
is hiervoor een goede aanjager. Een privélaptop die op va-
kantie wordt gestolen, hoort natuurlijk geen gevoelige data
te bevatten. Bij goede implementatie van de AVG wordt dit
voorkomen. Daarnaast zal worden ingezet op monitoring.
Indien je immers het netwerkverkeer in realtime moni-
tort, kun je aanvalsverkeer direct detecteren en voor-
komen dat aanvallers bijvoorbeeld data buitmaken. Een
niet-gemonitord netwerk is anno 2020 echt ondenkbaar.”
EncryptieEen andere belangrijke ontwikkeling is het versleute-
len van alle mogelijke vormen van data en dataverkeer.
“Bedrijven zullen steeds vaker stilstaande data zoals
gegevens op laptops, smartphones en tablets verplicht
versleutelen, zodat kwaadwillenden deze data niet kun-
nen inzien. Encryptie kan overigens heel goed worden
gecombineerd met tweefactorauthenticatie, zodat ver-
sleutelde data pas worden ontsleuteld als een gebruiker
zijn identiteit via twee methodes heeft bevestigd. Dit
zijn allemaal voorzieningen die al jaren beschikbaar
zijn, maar nu ineens doorgevoerd worden met de AVG
als aanjager”, licht Janssen toe.
“Daarnaast zullen alle mogelijke communicatielijnen
worden versleuteld. We zitten nu al aan zo’n 90 pro-
cent versleuteld verkeer bij een gemiddeld bedrijf.
Securityappliances die in het verkeer kijken door de
versleuteling open te breken, werken al niet meer bij
de slimmere malware.”
Metadata analyseren“Versleuteling is iets waar we bij RedSocks al sinds
2012 op inspelen door specifiek te kijken naar metadata
van netwerkverkeer. Versleuteld netwerkverkeer kan
immers niet worden ingezien, waardoor het niet mo-
gelijk is de inhoud van dit verkeer te analyseren. Je
kunt dus alleen nog naar metadata kijken om te bepalen
welk netwerkverkeer verdacht is en geblokkeerd dient
te worden”, legt Janssen uit.
“Het analyseren van metadata biedt nieuwe kansen. Zo
zijn metadata zeer klein, daarom kan je er grote hoe-
veelheden van verzamelen, bewaren en analyseren. De
metadata van alle communicatie binnen een organisa-
tie van de afgelopen paar weken nemen bijvoorbeeld
maximaal een paar gigabyte in beslag. Dit maakt het
mogelijk te zoeken naar trends en patronen, waardoor
je inzichten kunt vergaren die je niet krijgt door uit-
sluitend naar actuele data te kijken. Deze trends en
patronen helpen onder meer malware op te sporen die
doelbewust probeert verborgen te blijven, bijvoorbeeld
door langere tijd stil te blijven of uitsluitend tijdens
werktijden te communiceren met zijn maker.”
‘IT-beveiliging wordt een papieren tijger’Ook verwacht Janssen dat IT-beveiliging steeds juridi-
scher wordt. “Dit wordt sterk in de hand gewerkt door
de AVG, die bedrijven en zelfs individuele bestuurders
aansprakelijk maakt voor de naleving van deze veror-
dening. Nog te vaak denken managers ten onrechte
dat een outsourcingcontract ook de verantwoordelijk-
heid verlegt. Bedrijven zullen steeds vaker juristen
moeten inschakelen om aansprakelijkheden af te dek-
ken in contracten. IT-beveiliging wordt hierdoor een
steeds grotere papieren tijger. En wat niet afgedekt kan
worden, kan eventueel nog verzekerd worden.”
“Met het oog op deze aansprakelijkheden en eventuele
boetes, verwacht ik dat cyberverzekeringen complexer
en duurder worden. Verzekeraars zullen steeds verder
inzoomen op de beveiligingsmaatregelen die bedrijven
hebben genomen en de policy’s die organisaties heb-
ben opgesteld. Als we kijken naar 2028 verwacht ik dat
verzekeraars in belangrijke mate bepalen hoe bedrijven
hun data beveiligen. Zo zullen verzekeraars in de nabije
toekomst al kortingen bieden als organisaties bepaalde
volwassenheidsniveaus hebben bereikt in hun secu-
rity- en privacypolicy's. Mogelijk krijgen ze hiermee
zelfs verregaande invloed op de keuzes voor bepaalde
vendors of partners.”
Grote delen van het internet blokkeren“Al deze ontwikkelingen hebben tot gevolg dat bedrij-
ven zich beter moeten wapenen tegen cyberdreigingen,
waardoor de kosten van IT-beveiliging net als de afge-
lopen tien jaar zullen blijven stijgen. Op termijn (2028
en later) leidt dit ertoe dat we op een geheel andere
wijze naar het internet gaan kijken”, verwacht Janssen.
“Er wordt al jaren door overheden en bedrijven
gediscussieerd over een ‘nieuw internet’ waar andere
regels moeten gelden dan in het huidige Wilde Westen.
Een nieuw netwerk aanleggen is echter geen optie.”
“Als uitvoerbaar alternatief verwacht ik dat uiteinde-
lijk grote delen van het internet preventief worden ge-
blokkeerd om aanvallers de pas af te snijden. Als jouw
werknemers op de zakelijke lijn met maar maximaal
1 procent van het internet communiceren, wil je dan
die overige 99 procent nog wel kunnen bereiken? Of
in dit geval, jóu laten bereiken? Hier spreek ik expli-
ciet over ‘zakelijke lijn’ omdat 'het vrije internet’ een
belangrijk iets is. Zakelijk mag je best anders kijken
naar die vrijheden omdat je met andere belangen te ma-
ken hebt, belangen die steeds meer geleid worden door
aansprakelijkheidsvraagstukken”, zegt Janssen. “Zo zie
ik al steeds vaker in high-securityomgevingen dat door
middel van geofencing hele landen of zelfs werelddelen
worden geblokkeerd. Dat kan je nog extremer uitvoeren
waardoor je uiteindelijk niet meer probeert te blokkeren
of detecteren wat fout is, maar alleen nog maar toelaat
wat je nodig acht voor je bedrijfsvoering.'
Cyberaanvallen worden niet alleen steeds complexer, ook neemt het aantal aanvallers in hoog tempo toe.
“Op termijn gaat dit tot drastische maatregelen leiden en zullen we zelfs grote delen van het internet preventief gaan blokkeren”,
voorspelt medeoprichter en Chief Technology Officer Pepijn Janssen van RedSocks.
De kosten van IT-beveiliging zullen net als de afgelopen tien jaar blijven stijgen
V I S I E
H E A D L I N E VA N I T - T A L E N T N A A R C Y B E R S E C U R I T Y E X P E R T I N A C H T M A A N D E NVA
N IT-TA
LENT N
AA
R C
YB
ERSECU
RITY
-ELITE | VISIE | M
OTIV
ACA
DEM
Y
VAN
IT-TALEN
T NA
AR
CY
BER
SECUR
ITY-ELITE | V
ISIE | MO
TIV A
CAD
EMY
Van IT-talent naar cybersecurity-expert in acht maandenSecuritytalent is bijzonder schaars. De vaardigheden van hbo- en universitair opgeleide IT-professionals sluiten vaak niet aan bij de praktijk. Motiv wil niet meer wachten op de onderwijsinstellingen en neemt nu het heft in eigen hand. Het bedrijf heeft een eigen opleidingsinstituut opgericht voor SOC-analisten: de Motiv Academy. “We gaan onze eigen elitetroepen opleiden”, zegt Motiv Academy-oprichter Ton Mooren.
Motiv opent Academy voor SOC-analisten
Een analist in een Security Operations Center
(SOC) moet over een brede skillset beschikken.
Zo is een sterk technisch-analytisch vermogen
onmisbaar in de strijd tegen nieuwe cyberdrei-
gingen. Maar ook communicatieve vaardigheden
moeten goed ontwikkeld zijn. “Die mensen – wij
noemen ze de elite – zijn gewoon heel lastig te
vinden”, erkent Mooren. “Securitybedrijven vissen
bij de zoektocht naar talent ook nog eens allemaal
in dezelfde vijver. Dan kun je er nog 36 recruiters
tegenaan gooien, maar dat heeft geen zin.”
Bovendien blijft de aanwas uit het onderwijs
achter. “We zien dat er vanuit de IT-opleidingen
nauwelijks aansluiting is op de wereld van cyber-
security. De juiste vakken en docenten zijn er
niet. Er bestaan speciale opleidingstrajecten,
maar die leiden mensen niet op tot volwaardige
cybersecurityspecialisten. De praktijk ontbreekt.
IT-opleidingen en studies zoals criminologie
brengen wel analytisch sterke kandidaten voort.
Zij moeten het vak leren en hun kennis in de prak-
tijk kunnen toepassen. Wij kwamen tot de con-
clusie: dat moeten we echt zelf gaan faciliteren.”
Groeiende vraag naar SOC-analistenMooren liep al 2,5 jaar rond met het idee. “Maar
bedrijfsmatig was de timing niet ideaal. We waren
bezig met een professionaliseringsslag en groei-
den snel. Wel hebben we een plan gemaakt. Hoe
moet dat curriculum eruitzien? Voor welke func-
ties willen we mensen opleiden?” Motiv stelde
vast dat er de grootste behoefte is aan SOC-ana-
listen. “Dat heeft ook te maken met de volwas-
senheid van ons SOC en de opkomst van het ‘fe-
derated’ SOC, waarbij Motiv-medewerkers in het
SOC van de klant werken. Er zijn nu meer moge-
lijkheden om trainees in de praktijk in te zetten.”
De opleiding duurt acht maanden. Mooren: “We
gingen uit van zes maanden, maar tijdens een
pilot kwamen we erachter dat het curriculum
toch iets meer tijd nodig heeft.” Dat curriculum
is behoorlijk pittig. Trainees doen zowel kennis
als praktijkervaring op in allerlei disciplines: van
digital forensics en ethical hacking tot SIEM,
programmeren en soft skills. “In het begin zullen
trainees drie dagen per week met hun studie
bezig zijn en twee dagen in de praktijk werken.
Gedurende het traject draait dat om naar twee
dagen theorie en drie praktijk.”
SANS-certificeringMotiv-medewerkers verzorgen een deel van de
trainingen. Ook wordt een deel uitbesteed aan
gerenommeerde gastdocenten. “Het is heel be-
langrijk dat elke training van topniveau is" zegt
Mooren. In de laatste twee maanden van de >
40 15 | najaar 2018M
Ton Mooren
De afsluitende SANS-training
is natuurlijk het neusje
van de zalm
Motiv Academy leidt ICT-starters in de beroeps-
praktijk op tot de beste securityspecialisten.
Na een strenge voorselectie (alleen de besten komen
in aanmerking) volgen onze talenten in 8 maanden
tijd een prestigieus opleidingsprogramma.
Naast een prestigieus opleidingsprogramma van
8 maanden, waarin wij zorgen voor de benodigde
certifi cering, vinden wij het van cruciaal belang dat
onze talenten ook volop in de praktijk meedraaien.
Zij zijn vanaf de start van het traineeship werkzaam in
het SOC van Motiv. Maar ze zijn ook direct beschikbaar
om de nieuwste technieken voor u in praktijk te
brengen in uw eigen SOC.
Bent u geïnteresseerd in onze talenten of bent u
nieuwsgierig naar wat wij voor u kunnen betekenen?
Neem dan contact met ons op: 030 68 77 007 of
WWW.MOTIV-ACADEMY.NL
Motiv Academy leidt jonge toptalenten op tot cybersecurity elite team!
opleiding vindt een SANS-training plaats. “Dat
is natuurlijk het neusje van de zalm. Die SANS-
training is best heftig en vereist een goede voor-
bereiding. Maar daarna heb je ook alle deel- en
eindcertificaten voor de onderwerpen die aan
bod zijn gekomen.”
Het thuisfront van de Academy is een geheel
vernieuwd gebouw op het terrein van Motiv in
IJsselstein. “We hebben overwogen om iets in
Utrecht te zoeken. Maar tijdens de pilot bleek
dat het een voordeel is om trainees in de buurt
te hebben, zodat ze mee kunnen draaien in ons
SOC. Dat heeft ook een positief effect op be-
staand personeel. Je krijgt een uitwisseling van
ideeën tussen generaties. Trainees leren van
onze experts, maar ook andersom. Dat werd door
beide groepen als zeer prettig ervaren. Het mes
snijdt dus aan twee kanten.”
Strenge selectieprocedureDe eerste lichting ging in september van start.
Motiv streeft ernaar om elk jaar 12 tot 15 trainees
op te leiden. Dit keer is voor een iets kleinere
groep gekozen, zodat Motiv de trainees nog in-
tensiever kan begeleiden en eventueel accenten
kan verleggen in het curriculum. De kandidaten
hebben geen slagingsgarantie. “We verwachten
niet dat iedereen de acht maanden volmaakt”,
laat Mooren weten. “We willen mensen uitdagen
om het beste uit zichzelf te halen. Deze oplei-
ding is echt bedoeld voor de grootste talenten.
Als je het haalt, hoor je bij de elite.”
De selectieprocedure is dan ook vrij streng. “De
toelatingseisen zijn minimaal een afgeronde hbo-
opleiding en maximaal twee jaar werkervaring”,
vertelt de oprichter van de Motiv Academy. “En
na de sollicitatie onderwerpen we de kandidaten
aan allerlei testen. We laten ze bijvoorbeeld een
‘capture the flag’ doorlopen. Zijn ze inventief? Dit
sluit ook aan bij onze doelstelling om in 2023 in de
top drie van de Global Cyberlympics te eindigen.
Dan heb je ook dit soort mensen nodig. Het zou
toch prachtig zijn als we straks de hoofdprijs
pakken met door Motiv zelf opgeleide security-
professionals?”
Werk maken van securityHet thema van de opleiding is ‘Werk maken van
security’. De talenten die toegelaten worden tot
de Academy hebben dan ook vanaf dag één
een baan bij Motiv, in het SOC van Motiv of van
een klant. “Het is de bedoeling dat de trainees in
ieder geval drie jaar na de opleiding aan Motiv
verbonden blijven”, legt Mooren uit. “In die pe-
riode verdienen ze de investering terug. Daarna
zijn ze vrij om te kiezen.” Overigens is het zeker
niet zo dat de kandidaten na acht maanden klaar
zijn met leren. Dat is een continu proces. Motiv
blijft investeren in talentontwikkeling, bijvoor-
beeld via specialistische trainingen.
De animo voor de Academy is groot. “Er is veel
belangstelling, maar we zijn erg selectief. We
zien dat een deel van de sollicitanten buiten de
doelgroep valt. Zij hebben al meer werkervaring
en zijn gewend aan een bepaald basissalaris. Het
kan ook gebeuren dat de timing net niet uitkomt.
Iemand gaf bijvoorbeeld aan dat hij graag mee
had willen doen aan dit traject, maar dat hij
inmiddels een baan heeft aangenomen. Mede
daarom zijn we nu al begonnen met campagne
voeren voor de volgende lichting, die begin 2019
van start gaat.”
Aparte entiteitOok vanuit de markt vangt Mooren positieve sig-
nalen op. “Klanten en branchegenoten vinden
het goed dat we dit initiatief nemen.” Staat de
Academy dan eigenlijk ook open voor samen-
werkingen? “Jazeker, ik zou niets liever willen.
Dan zouden we bijvoorbeeld meerdere curricula
kunnen samenstellen op het gebied van cyber-
security. De Academy is bewust als aparte entiteit
neergezet, met het oog op toekomstige samen-
werkingen en om verregaande verwevenheid
met Motiv te voorkomen. Maar we wilden niet
wachten tot die samenwerkingen van de grond
komen.”
Mooren sluit niet uit dat de Academy in de toe-
komst ook andere typen securityprofessionals op
gaat leiden. De eerste lichtingen zullen echter
geënt zijn op SOC-analisten. “Ik weet zeker dat
onze SOC-dienstverlening stevig blijft groeien. In
ons nieuwe SOC – waar ook veel meer ruimte is –
voorzien we de komende jaren zelfs een verdub-
beling van het aantal analisten. Die elitetroepen
vallen dus met hun neus in de boter.”
VAN
IT-TALEN
T NA
AR
CY
BER
SECUR
ITY-ELITE | V
ISIE | MO
TIV A
CAD
EMY
42 15 | najaar 2018M
Trainees leren in de praktijk van onze experts, maar ook andersom
Vanuit het onderwijs is er nauwelijks aan-sluiting op de securitywereld
V I S I E
H E A D L I N E V A N I T - T A L E N T N A A R C Y B E R S E C U R I T Y E X P E R T I N A C H T M A A N D E N
Motivator Magazine 45
' Onze informatiebeveiliging heeft een metamorfose doorgemaakt'
“Ik heb de leukste baan van heel Amsterdam”,
vertelt een enthousiaste Van Beek. “Als CISO
van een gemeente sta je midden in het sociale
domein en heb je bijvoorbeeld te maken met
de hulp aan burgers, met projecten zoals de
Noord/Zuidlijn en met financiën. En binnen
het domein van openbare orde en veiligheid
moet je een antwoord vinden op toenemende
dreigingen zoals cyberaanvallen op de vitale
infrastructuur. Dan is de vraag wat voor organi-
satie je hebt klaarstaan en of je in staat bent om
adequaat te reageren.”
Centralisatie IT“Die CISO-rol kun je echter pas goed invullen
als je één IT-omgeving hebt”, vervolgt Maarten
Bruinsma, bij de gemeente Amsterdam Mana-
ger Ondersteuning primair proces ICT. Daar
was volgens hem vijf jaar geleden nog geen
sprake van. “We hadden binnen de gemeente
Amsterdam veertig losse IT-omgevingen met
allemaal verschillende werkomgevingen en
verschillende e-maildomeinen en konden bij-
voorbeeld geen afspraken in elkaars agenda’s
plannen of documenten veilig uitwisselen.”
“Zowel op het gebied van IT als op het gebied
van applicaties moesten we een centralisatie-
slag maken”, constateert Van Beek. De veer-
tig IT-afdelingen – die soms bestonden uit
tien man – zijn enkele jaren geleden samen-
gebracht op één locatie. “240 mannen en vrou-
wen zijn nu samen verantwoordelijk voor het
beheer van 18.000 werkplekken en 450 appli-
caties die het altijd moeten doen. Dat vraagt
van de gehele organisatie een andere manier
van denken en werken volgens de kaders
van ITIL. Medewerkers kunnen niet meer >
De gemeente Amsterdam maakte de afgelopen jaren een transformatie door op
het gebied van IT en security. “De CISO-functie bestond vijf jaar geleden nog
niet binnen deze stad”, zegt Chief Information Security Officer Marco van Beek.
“Dat is nu niet meer voor te stellen.” Hoe maakte Amsterdam de transitie van
‘decentrale IT’ naar centraal aangestuurde IT-organisatie?
DIG
ITALE TR
AN
SFOR
MATIE | K
LAN
T AA
N H
ET WO
OR
D | G
EMEEN
TE AM
STERD
AM
DIG
ITALE TR
AN
SFOR
MATIE | K
LAN
T AA
N H
ET WO
OR
D | G
EMEEN
TE AM
STERD
AM
Marco van Beek en Maarten Bruinsma van de gemeente Amsterdam:
H E A D L I N E ' O N Z E I N F O R M A T I E B E V E I L I G I N G H E E F T E E N M E T A M O R F O S E D O O R G E M A A K T '
K L A N T C A S E
Motivator Magazine 47
DIG
ITALE TR
AN
SFOR
MATIE | K
LAN
T AA
N H
ET WO
OR
D | G
EMEEN
TE AM
STERD
AM
46 15 | najaar 2018M
‘Piet van IT’ roepen als de e-mail eruit ligt, maar
moeten dit bij de servicedesk melden.”
“De uitdaging is ook dat je continu stedelijk
blijft denken”, vult Bruinsma aan. “Je moet den-
ken in stedelijke architecturen die ondersteu-
nend zijn aan de informatievoorziening en de
diensten die we leveren aan de stad. Je wilt
geen specifieke koppelingen hebben tussen
systemen, maar standaardkoppelingen die
overal op dezelfde manier zijn ingericht en
ook standaard blijven. Dat realiseer je door één
centraal koppelvlak in te richten.”
SourcingEen volgende stap in de IT-transformatie bij de
gemeente Amsterdam was de sourcing van IT.
“Door de centralisatie van IT kwam de discus-
sie op gang over wat we met onze IT-diensten
gaan doen. Houden we die in eigen beheer of
kunnen wij de kwaliteit en continuïteit verster-
ken door samenwerking met externe partijen
te zoeken?”, schetst Van Beek.
Het antwoord was snel gevonden. Bruinsma:
“De gemeente Amsterdam werkt toe naar
een digitale stad maar is geen IT-bedrijf. We
verlenen diensten aan onze burgers. Daarom
maken we gebruik van de standaard IT-dien-
sten die op de markt beschikbaar zijn. Daarbij
kijken we altijd eerst of we op landelijk niveau
kunnen aansluiten op een voorziening. De vol-
gende stap is samenwerken met commerciële
marktpartijen. Als er sprake is van teveel maat-
werk, of de inhoud van de applicatie of het
ondersteunde proces leent zich naar ons oor-
deel niet voor inschakeling van marktpartijen,
is het logischer om het zelf te doen. Dat beoor-
delen we per geval.”
“Sourcing maakt je als organisatie wendbaar-
der. Bijvoorbeeld een eigen datacenter is veel
moeilijker op en af te schalen dan een data-
centerdienst”, vervolgt Bruinsma. “Bovendien
kun je gebruikmaken van de kennis van de
sourcingpartners waar je mee samenwerkt.
Zelfs voor een grote gemeente is het lastig
om kennis aan je te binden, zeker de specia-
listische kennis waar wij behoefte aan hebben.
Bijvoorbeeld de medewerkers die een Security
Operations Center daadwerkelijk operationeel
houden, zijn voor ons lastig te vinden.
Transformatie securityDe IT-transformatie heeft volgens Van Beek en
Bruinsma ook haar weerslag gehad op de secu-
rityorganisatie van de gemeente Amsterdam.
“Ook onze informatiebeveiliging heeft een me-
tamorfose doorgemaakt”, aldus de CISO. “In het
verleden hadden we één informatiebeveiliger
per organisatieonderdeel. Door de centralisatie
hebben we nu vijftien medewerkers met een
zware controlfunctie die zich met hart en ziel
inzetten voor security. En naast de informatie-
beveiligers zijn inmiddels ook privacy officers
aangesteld. ”
“Als overheid doe je alles voor de burgers, maar
dat betekent ook dat je heel veel persoonsge-
gevens opslaat in allerlei processen en syste-
men”, vervolgt Van Beek. “Dan heb je de morele
verplichting om je security en privacy op orde
te hebben. Dat wordt ook gecontroleerd aan
de hand van ENSIA, de Eenduidige Normatiek
Single Information Audit.”
“Informatieveiligheid moet in de genen van
je organisatie en van de medewerkers zitten”,
vult Bruinsma aan. “Technisch kun je op het
gebied van informatiebeveiliging heel veel
regelen, maar je hebt ook te maken met 18.000
collega’s die het werk doen. Die moeten zich
bewust zijn van de waarde van de informatie
waar ze mee werken en wat het betekent als
waardevolle informatie uitlekt of niet meer
beschikbaar is. Iedere manager heeft de ver-
antwoordelijkheid om dat bewustzijn over te
brengen. Dit geldt ook voor fysieke beveiliging,
voor iedereen moet duidelijk zijn dat je niet
zomaar iemand binnenlaat, zelfs niet als die
persoon van Motiv is.”
Nieuw kasteelmodelMotiv is op het gebied van security de partner
van de gemeente Amsterdam. “Door ontwik-
kelingen in de IT, zoals cloud, werkt het kas-
teelmodel met slotgracht en ophaalbrug niet
meer”, schetst Bruinsma. In die nieuwe situatie
zorgt Motiv voor de ‘bewaking’ van het kasteel
en slaat alarm bij een geconstateerde dreiging
van binnen of buiten. Hiervoor hebben Motiv
en de gemeente Amsterdam onder andere
een gezamenlijk, ‘federated’ SOC ingericht dat
wordt bemand door medewerkers van beide
partijen.
Ook zorgt Motiv met uiteenlopende tech-
nieken – van virusscanning tot sandboxing
en URL-filtering – voor de beveiliging van de
externe koppelingen. “Amsterdam en Mo-
tiv houden de gemeente Amsterdam veilig
voor de boze buitenwereld”, zo vat Bruinsma
de dienstverlening kort en bondig samen.
“Motiv is feitelijk het koppelvlak tussen binnen
en buiten. Dat is de hoofddienst die we
afnemen bij Motiv. Door het veranderende
dreigingsbeeld, een voortschrijdende behoef-
te en de stand der techniek wordt die dienst-
verlening steeds verder uitgebreid.”
“We verwachten ook dat een partner zoals
Motiv actief meedenkt over hoe bijvoorbeeld
de security nog beter kan en met kritische op-
merkingen en advies komt”, besluit Van Beek.
“Dan heb je iets aan je partner. Dat gaat ver-
der dan de klassieke klant-leverancierrelatie.
Niet alleen de SLA’s zijn leidend, maar juist het
vermogen om samen bij te dragen aan de
strategie van je organisatie.”
Meer referenties lezen? Ga naar www.motiv.nl/referenties
Foto
: Ruu
d Jo
nker
s
DIG
ITALE TR
AN
SFOR
MATIE | K
LAN
T AA
N H
ET WO
OR
D | G
EMEEN
TE AM
STERD
AM
K L A N T C A S E
H E A D L I N E ' O N Z E I N F O R M A T I E B E V E I L I G I N G H E E F T E E N M E T A M O R F O S E D O O R G E M A A K T '
Informatieveiligheid moet in de genen van je organisatie en van de medewerkers zitten
Motiv houdt de gemeente Amsterdam veilig voor de boze buitenwereld Maarten Bruinsma (L) en Marco van Beek (R)
49
H E A D L I N E ‘ A A N V A L O P V I T A L E I N F R A S T R U C T U U R I S R E Ë E L S C E N A R I O ’
V I S I E
CY
BER
SECUR
ITYB
EELD N
EDER
LAN
D | V
ISIE | NATIO
NA
AL C
YB
ER SECU
RITY CEN
TRU
M
CY
BER
SECUR
ITYB
EELD N
EDER
LAN
D | V
ISIE | NATIO
NA
AL C
YB
ER SECU
RITY CEN
TRU
M
Het Cybersecuritybeeld Nederland 2018 stemt weinig hoopvol. De omvang en ernst van de digitale dreiging in Nederland zijn nog steeds aanzienlijk. Motivator Magazine sprak hierover met Hans de Vries, hoofd van het Nationaal Cyber Security Centrum (NCSC). “Wij willen Nederland veiliger maken. Daar hebben we het bedrijfsleven hard bij nodig.”
' Aanval op vitale infra- structuur is reëel scenario'
Hans de Vries, hoofd Nationaal Cyber Security Centrum:
48 15 | najaar 2018M Motivator Magazine
De s in IoT staat voor security. Het zit er gewoon niet in
Hans de Vries
In het Cybersecuritybeeld Nederland 2018 worden sabotage en verstoring vanuit het buitenland aangemerkt als de grootste di-gitale dreiging voor Nederland. Waarom?“Omdat dit een enorme impact kan hebben op de Nederlandse samenleving. Van grootschalige malware-aanvallen zoals WannaCry en NotPetya tot cyberspionage, politieke beïnvloeding via nep-nieuws en diefstal van intellectueel eigendom: elk kunnen ze grote maatschappelijke onrust teweeg-brengen. Uiteraard spelen de hoge kosten van dergelijke incidenten ook mee. De totale schade van de NotPetya-malware – waarbij ook de contai-neroverslag in Rotterdam ernstig ontregeld raakte – bedroeg wereldwijd meer dan 8 miljard euro. En er zijn bedrijven failliet gegaan nadat hun in-tellectueel eigendom was gestolen en misbruikt door derden.”
Hoe reëel is de dreiging dat een cyberaan-val de vitale infrastructuur van Nederland verstoort?“Laat ik het anders verwoorden: in andere lan-den is bewezen dat dit een reële dreiging is. Industriële controlesystemen zijn steeds vaker aan de IT-omgeving gekoppeld. Dat brengt risico’s met zich mee. Kijk naar een land als Oekraïne, waar het elektriciteitsnet al diverse keren is plat-gelegd door hackers. Als het elders kan gebeuren, kan het hier ook. Dat is geen kwestie van of, maar wanneer. Het gaat erom dat we in een crisis adequaat kunnen handelen. We zijn in Nederland goed georganiseerd, houden ons redelijk aan pro-cessen en risicomanagement is goed doorgevoerd. Maar bij het NCSC worden wel degelijk incidenten gemeld. Wij communiceren daar verder niet over, maar het gebeurt wel.”
Denkt u dat Nederland voldoende voor-bereid is op een dergelijk scenario?“Er wordt met enige regelmaat geoefend. Zo organiseert de Nationaal Coördinator Terroris-mebestrijding en Veiligheid eens per twee jaar ISIDOOR. Dit is een grote operationele cyber- oefening met tientallen publieke en private part-ners uit diverse sectoren. Doel hiervan is het testen van de gezamenlijke aanpak en coördi- natie bij een cybercrisis. Ik zie bij de vitale infrastructuur en de rijksoverheid een hoge
bewustwording rondom het belang van crisis-coördinatie en incidentmanagement. Deze orga-nisaties weten wel hoe ze moeten reageren als er zoiets gebeurt, dus ik denk wel dat Nederland is voorbereid. Maar in de hoek van detectie en triage valt nog veel winst te behalen.” >
50 15 | najaar 2018 Motivator Magazine 51
V I S I E
M
Is Nederland een aantrekkelijk doelwit voor cybercriminelen?“Absoluut. Nederland vervult in meerdere op-zichten een gatewayfunctie. Schiphol is een van de belangrijkste vliegvelden van Europa. De Rotterdamse haven vormt voor containers de toegangspoort tot Europa. En de Amster-dam Internet Exchange behoort tot de grootste internetknooppunten ter wereld. Als hier iets gebeurt, heeft dat echt een domino-effect op de rest van de wereld. Ook kunnen onze datacen-ters en IT-infrastructuur worden misbruikt voor aanvallen op andere landen. Er liggen dus veel mogelijkheden voor aanvallers, maar we hebben ook mogelijkheden om terug te slaan. Kijk naar het uitstekende werk dat onze politie doet met bijvoorbeeld het oprollen van de Hansa Market. Daar mogen we trots op zijn.”
“Nederland hoeft overigens niet het primaire doelwit te zijn. Aanvallen door statelijke actoren vinden vooral plaats in bepaalde geografische regio’s. Maar de nevenschade daarvan kan Ne-derland wel raken, juist omdat wij zo afhankelijk zijn van IT-middelen. WannaCry was niet hoofd-zakelijk gericht op de Britse gezondheidszorg, maar daar was de schade enorm. Cybercrimi-nelen maken zich niet druk om die ‘collateral damage’.”
De digitale transformatie maakt Neder-land dus kwetsbaar?“Ja, maar tegelijkertijd liggen er kansen voor de bv Nederland om nieuwe securitytechnologie te ontwikkelen en exporteren. Ons land heeft op IT-gebied een prima reputatie. Niet alleen door onze datacenters en goede IT-infrastructuur, maar ook omdat wij snappen dat publiek-private samenwerking cruciaal is. We hebben een ge-meenschappelijk belang om Nederland veilig te houden – en daar met innovatie ook geld aan te
verdienen. De overheid overheerst niet, maar heeft een faciliterende rol. Bovendien is er in Nederland veel kennis aanwezig. Wij zijn dan ook een interessante partner voor andere landen om mee samen te werken.”
De NCSC signaleert dat veel Nederlandse organisaties hun basisbeveiliging niet op orde hebben. Waar gaat het mis?“Cybercriminelen passen dezelfde trucs bij meerdere doelwitten toe, omdat iedere organisa-tie dezelfde basisstoffen gebruikt. Met de juiste basismaatregelen kunnen de risico’s fors worden beperkt. Denk aan zaken als een streng patch-beleid, toegangsbeheer en netwerksegmentatie. Helaas constateren we dat die solide basis vaak ontbreekt. Hoe dat komt? Laten we reëel zijn: veel bedrijfseigenaren hebben weinig verstand van IT. Zij rekenen erop dat hun IT-dienstver-lener die basis verzorgt, maar dat gebeurt niet altijd.”
“Ik heb nog steeds goede hoop dat deze situatie verbetert, vooral omdat wij als NCSC IT-dienst-verleners steeds meer gaan aanspreken. Waarom heb je dit niet geregeld voor de klant? Bedrijven mogen niet verwachten dat klanten die afwe-ging zelf maken. Dat kunnen ze helemaal niet. Het is belangrijk dat we het algehele niveau van alle IT-dienstverleners omhoog brengen. Ik zou dan ook graag zien dat een grote partij als Motiv minder bekwame branchegenoten hier-bij helpt. Zo maken we Nederland samen echt veiliger.”“Geen enkele organisatie heeft alle vereiste ken-nis in huis. Dat geldt ook voor IT-dienstverle-ners. Daarom vind ik de belangenvereniging Cyberveilig Nederland ook zo’n goed initiatief. Samenwerking en kennisdeling zijn cruciaal. Ik kan me voorstellen dat we in de toekomst bij grote incidenten een crisisteam formeren met
experts van verschillende securitybedrijven en de overheid, elk met hun eigen relevante exper-tise. Dat is de symbiose tussen bedrijfsleven en overheid waar ik naar op zoek ben.”
Hoe kijkt u naar de veiligheidsproblema-tiek rondom het Internet of Things?“We zeggen weleens gekscherend: de s in IoT staat voor security. Het zit er gewoon niet in. Fabrikanten van IoT-apparaten willen vooral snel geld verdienen. Cyberbeveiliging kost juist geld en consumenten weten niet goed waar ze op moeten letten bij aanschaf. Daardoor zijn er nu miljoenen slecht beveiligde producten in omloop die vervolgens eenvoudig kunnen worden ge-kaapt door cybercriminelen. Er bestaan enorme botnets van IoT-apparaten waarmee krachtige DDoS-aanvallen kunnen worden uitgevoerd. Grip krijgen op deze aanvalsvector is een belangrijk aandachtspunt voor de komende jaren.”
“Een keurmerk voor veilige IoT-apparaten kan helpen om ‘security by design’ te stimuleren. Maar ik geloof meer in internationale samenwer-king met landen als China, waar veel van deze producten gemaakt worden. Welke maatregelen kunnen we nemen om ervoor te zorgen dat fa-brikanten vanaf het begin van de ontwikkeling rekening houden met security? De intrinsieke motivatie om dit als bedrijf goed te doen, is veel effectiever dan een wettelijke verplichting.”
Een andere uitdaging voor de bv Neder-land is het tekort aan cybersecuritytalent. Staat het NCSC open voor een samenwer-king met de Motiv Academy?“Securitytalent is inderdaad schaars. Wij groeien zelf ook naar een organisatie van zo’n 150 man, maar ik moet die mensen nog wel zien te vinden. Het is zeker interessant om na te denken over een samenwerking op het gebied van opleidingen,
bijvoorbeeld in de vorm van stageplekken of gastcolleges. Er zijn wel vraagstukken waar we dan tegenaan zouden lopen. Zo mag het NCSC niet concurreren met marktpartijen. En de men-sen die bij ons komen werken, worden uitvoerig gescreend. Dat proces neemt vier maanden in beslag. Een korte stage heeft dan geen zin.”
Als u Nederlandse organisaties tot slot één advies mag geven, wat zou dat dan zijn?“Doe jezelf een plezier en ga oefenen. Mensen raken in paniek als er iets gebeurt. Denk na over je crisisprocessen. Hoe handel je in het geval
van een ernstig cyberincident? Is je monitoring zo ingericht dat je terug kunt kijken? Heb je je back-ups geprobeerd terug te zetten? Ik heb al zo vaak gehoord dat organisaties er tijdens een incident achter komen dat hun back-ups niet leesbaar zijn, bijvoorbeeld door een verkeer-de instelling. Het is heel belangrijk om regelma-tig te testen hoe snel je weer ‘up and running’ bent.”
51
CY
BER
SECUR
ITYB
EELD N
EDER
LAN
D | V
ISIE | NATIO
NA
AL C
YB
ER SECU
RITY CEN
TRU
M
CY
BER
SECUR
ITYB
EELD N
EDER
LAN
D | V
ISIE | NATIO
NA
AL C
YB
ER SECU
RITY CEN
TRU
M
Het NCSC
Het Nationaal Cyber Security Centrum (NCSC) is het centrale
informatieknooppunt en expertisecentrum voor cybersecu-
rity in Nederland. De primaire doelgroep is de rijksoverheid
en de vitale infrastructuur. Het NCSC is ondergebracht bij de
Directie Cyber Security (DCS), onderdeel van de Nationaal
Coördinator Terrorismebestrijding en Veiligheid (NCTV),
en valt onder verantwoordelijkheid van het ministerie van
Veiligheid en Justitie.
De missie van het NCSC is het vergroten van de weerbaarheid
van de Nederlandse samenleving in het digitale domein.
Het NCSC is internationaal het Nederlandse aanspreekpunt
op het gebied van ICT-dreigingen en cyberincidenten. Ook is
het een sleutelfiguur in de operationele coördinatie bij een
grote ICT-crisis en het Computer Emergency Response Team
(CERT) voor de rijksoverheid.
De kerntaken van het NCSC zijn:
• Response op dreigingen en incidenten
• Inzicht en handelingsperspectief
• Versterken van crisisbeheersing
• Samenwerkingsplatform cybersecurity
Cybercriminelen maken zich niet druk om nevenschade
Intrinsieke motivatie isveel effectiever dan een wet
Hans de Vries
H E A D L I N E ‘ A A N V A L O P V I T A L E I N F R A S T R U C T U U R I S R E Ë E L S C E N A R I O ’
53 52 15 | najaar 2018M Motivator Magazine
DIG
ITALE TR
AN
SFOR
MATIE | V
ISIE | QU
ALYS
DIG
ITALE TR
AN
SFOR
MATIE | V
ISIE | QU
ALYS
Wie niet exact weet hoe zijn infrastructuur eruit ziet, kan ook niet zeker stellen dat deze veilig is
PARTNER IN DE SCHIJNWERPERS:Managing Director Benelux & Nordics bij Qualys
"Bedrijfsprocessen worden steeds verder geïntegreerd",
licht 't Gilde toe. “Zo beschikten bedrijven vroeger over
een ordersysteem waarin zij handmatig orders verwerkten
die telefonisch binnenkwamen. Vandaag de dag is dit soort
systemen in belangrijke mate geïntegreerd, waarbij orders
digitaal binnenkomen en automatisch worden verwerkt in
het ordersysteem.”
Vanaf iedere locatie inloggen"Deze digitalisering heeft een grote impact op organi-
saties”, vervolgt ’t Gilde. “Software is steeds meer geïn-
tegreerd in de dagelijkse processen en workflow; alle
mogelijke systemen zijn met elkaar én met het internet
verbonden. Daarnaast is een groot aantal mobiele appara-
ten in gebruik, waarmee werknemers vanaf iedere locatie
en op ieder tijdstip kunnen inloggen op bedrijfssystemen.”
"Door deze verbondenheid is het van cruciaal belang dat
organisaties inzicht hebben in en controle houden over alle
elementen van hun infrastructuur. Wie immers niet exact
weet hoe zijn infrastructuur eruitziet, kan ook niet zeker
stellen dat deze veilig is. Indien ook maar één stukje soft-
ware een beveiligingsprobleem bevat dat met succes door
kwaadwillenden wordt uitgebuit, kan deze software in het
slechtste geval worden gebruikt als een springplank naar
andere bedrijfssystemen."
Goed zicht op de cloud ontbreekt vaakEen onderdeel van de infrastructuur waar maar weinig
bedrijven goed zicht op hebben, is de cloud. "Bedrijven
gaan er vaak vanuit dat een cloudomgeving veilig is, aan-
gezien deze wordt aangeboden door een gerenommeerde
cloudprovider. Dit is echter niet altijd het geval en is in
belangrijke mate afhankelijk van keuzes die organisaties
zelf maken. Een cloudprovider schermt immers wel de
toegang tot de interface van een cloud-instance af, maar
kijkt niet naar de toegang, configuratie of veiligheid van
de systemen en software die hier worden gehost. Is deze
software niet goed geconfigureerd en niet volledig up-to-
date? Dan kan ook deze software beveiligingsproblemen
bevatten”, aldus ’t Gilde. “Zijn de endpoints die door mede-
werkers worden gebruikt om toegang te krijgen tot cloud-
systemen daarnaast veilig? Hoe zit het met de software die
op on-premises servers wordt gehost?”
Verschillende standaarden en best practices helpen bij het
veilig en goed configureren van software. Denk hierbij aan
de ISO-standaarden en best practices van onder meer het
Center for Internet Security (CIS). Zonder inzicht is het
echter niet mogelijk om te controleren of een infrastruc-
tuur voldoet aan deze standaarden en best practices.
PatchmanagementOok met het oog op patchmanagement is dit inzicht cru-
ciaal. Als patches en updates niet worden geïnstalleerd,
worden beveiligingsgaten in software niet gedicht en
kunnen deze worden misbruikt door aanvallers. Organi-
saties wordt daarom geadviseerd software te allen tijde
up-to-date te houden. “In de praktijk is dit echter niet
altijd mogelijk. Zo is het geen optie een ordersysteem
gedurende de werkweek offline te halen om een patch te
installeren, aangezien klanten gedurende dit onderhoud
geen nieuwe orders kunnen plaatsen. In sommige geval-
len kiezen bedrijven er daarom voor het installeren van
patches uit te stellen tot een regulier onderhoudsmoment,
wat betekent dat kwetsbaarheden langere tijd aanwezig
blijven. Hierbij wordt dus een afweging gemaakt tussen
de belangen van de business enerzijds en het verhelpen
van beveiligingsproblemen anderzijds”, aldus ’t Gilde.
“Om deze afweging goed te kunnen maken, is het voor
organisaties van groot belang niet alleen inzicht te heb-
ben in beveiligingsproblemen die in software worden
aangetroffen, maar ook in het misbruik hiervan. Wordt
een bepaalde kwetsbaarheid bijvoorbeeld actief mis-
bruikt door cybercriminelen? Dan is het van groot belang
deze update zo snel mogelijk te installeren. Levert een
beveiligingsgat echter relatief weinig risico op? Dan kan
dit reden zijn ervoor te kiezen het dichten van dit lek uit
te stellen tot het eerstvolgende geplande onderhouds-
moment.”
ContainersVoor effectief patchmanagement is het daarnaast van cru-
ciaal belang de volledige infrastructuur in het oog te hou-
den. De komst van containers kan dit echter een uitdaging
maken. Zo kunnen bedrijven vandaag de dag software sa-
men met alle eventuele benodigde libraries onderbrengen
in een containerimage, die vervolgens met één druk op de
knop kan worden uitgerold naar één of meerdere servers.
Door deze eenvoud gaat het overzicht over alle uitgerolde
containers snel verloren. Zo kan zomaar worden vergeten
dat een container niet alleen is uitgerold naar drie produc-
tieservers, maar ook naar die ene testserver die via inter-
net benaderbaar is. Zit er echter een beveiligingsprobleem
of configuratiefout in deze image? Dan is deze aanwezig
in alle containers die op basis van deze image zijn uitge-
rold en zullen alle containers moeten worden geüpdatet.
Indien u ook maar één container vergeet te updaten, kan
dit leiden tot een zwakke plek in de infrastructuur die kan
worden uitgebuit om toegang te krijgen tot deze server en
in het ergste geval ook de rest van de infrastructuur.
Lappendeken aan tools"Voor het verkrijgen van een beter inzicht is een groot
aantal tools beschikbaar. Denk hierbij aan tools om het
netwerk op het hoofdkantoor te beheren, software om
compliancerapportages te maken, een tool om de cloud-
instances te beheren en software om de veiligheid van
webapplicaties te testen. Door de diversiteit van de heden-
daagse infrastructuur beschikken organisaties al snel over
tientallen tools om verschillende elementen van hun infra-
structuur te beheren", zegt 't Gilde. "Deze tools overlappen
elkaar echter niet of nauwelijks, waardoor blinde vlekken
ontstaan in het zicht dat u heeft op uw infrastructuur. Ook
moet u al deze verschillende tools continu monitoren om
zeker te stellen dat eventuele security- en compliance-
problemen direct worden opgemerkt. Dit is niet alleen tijd-
rovend, maar ook erg foutgevoelig."
"Dit probleem kan worden opgelost door de verschillende
tools waar een organisatie gebruik van maakt te integre-
ren in één centraal dashboard. Het bouwen en met name
beheren van een dergelijk dashboard is echter niet een-
voudig. Niet alleen beschikt de gemiddelde organisatie
over een fors aantal tools, ook verandert de infrastructuur
van bedrijven continu waardoor ook telkens nieuwe tools
worden ingezet om deze infrastructuur te monitoren. Een
dergelijk centraal dashboard moet dus continu worden
bijgewerkt en vernieuwd om up-to-date te blijven en in-
zicht te blijven bieden in de volledige infrastructuur van
een organisatie. U kunt echter ook gebruikmaken van een
platform zoals het Qualys Cloud Platform, waardoor u hier
geen omkijken naar heeft.”
‘Bittere noodzaak’Dat het gebrek aan inzicht in infrastructuur ernstige ge-
volgen kan, hebben bewijzen recente incidenten waarbij
AWS-buckets met gevoelige data door configuratiefouten
publiekelijk toegankelijk waren. Onder andere de Ameri-
kaanse hostingprovider GoDaddy, de Dow Jones-beurs,
de leverancier van beheersoftware voor verzekeraars
AgentRun en de Australian Broadcasting Corporation
gingen hiermee de fout in. “Volledig inzicht in uw infra-
structuur is dus bittere noodzaak”, besluit ‘t Gilde.
Vrijwel iedere organisatie maakt een digitale transformatie door. Deze digitalisering heeft echter ook nadelen. Zo zorgt de digi-
tale transformatie voor een complexere infrastructuur. Met het oog op security en compliance is het echter van groot belang dat
organisaties volledig inzicht hebben in deze infrastructuur, stelt Chantal 't Gilde, bij Qualys Managing Director Benelux & Nordics.
'VOLLEDIG INZICHT IN UW INFRA-STRUCTUUR IS BITTERE NOODZAAK'
I N D E S C H I J N W E R P E R S
Chantal 't Gilde
55 Motivator Magazine54 15 | najaar 2018M
H E A D L I N E ' Z O R G D A T D E P U B L I C C L O U D E E N B E E T J E P R I VA T E I S 'D
IGITA
LE TRA
NSFO
RM
ATIE | KLA
NT A
AN
HET W
OO
RD
| NED
ERLA
ND
SE SPO
OR
WEG
EN
' Zorg dat de public cloud een beetje private is'
K L A N T C A S U S
Het IT-landschap van NS onderging de afgelopen jaren een metamorfose. “We gingen van dozen naar diensten, en van uitvoerend naar regie”, aldus Jack Krul, dienstenmanager Security bij NS. Om nog sneller te kunnen reageren op veranderingen, maakt het vervoersbedrijf de stap naar de public cloud. Wat betekent deze transitie voor de security bij NS?
DIG
ITALE TR
AN
SFOR
MATIE | K
LAN
T AA
N H
ET WO
OR
D | N
EDER
LAN
DSE SP
OO
RW
EGEN
Foto
: Ruu
d Jo
nker
s
Krul kwam zeven jaar geleden in dienst bij NS.
In die periode is er volgens hem veel veranderd.
Hij noemt onder andere de ‘On Board Informa-
tion Services’ (OBIS) die worden ingebouwd in
intercity’s, wifi in de trein en sensoren om de be-
schikbaarheid van zitplaatsen te meten. Reizigers
tussen Arnhem en Den Bosch kunnen in de ‘zit-
plaatszoeker’ zien waar nog een plaatsje vrij is. En
in het geval van een zware verstoring ontvangen
gebruikers van de NS-app hierover een push-
bericht, inclusief suggesties voor het vervolgen
van de reis.
“Wij geven reizigers steeds meer middelen om
de eigen mobiliteit en de eigen reis veel beter
te plannen”, aldus Krul. “En met sensoren maken
we ook preventief onderhoud mogelijk. Als bij-
voorbeeld een mankement aan een wiel dreigt,
krijgen we daar direct een melding van. Maar er
komt bijvoorbeeld ook een signaal binnen als we
toiletten moeten legen voordat we een treinstel
inzetten op een traject.”
Constante veranderingKrul weet het zeker: “Maar weinig bedrijven van
onze omvang zijn op deze schaal met innovatie
bezig.” Daardoor is NS constant in verandering en
verwerkt het steeds meer data die onder meer
afkomstig zijn van de reizigers en van de senso-
ren in de treinen. “Dat vraagt wel om een IT >
Jack Krul, dienstenmanager Security bij NS:
Om onze IT schaalbaar en flexibel te maken, zetten we zwaar in op de cloud Jack Krul (L) en Bastiaan Bakker (R)
waarmee je sneller kunt acteren op een verande-
rende organisatie.”
Die IT maakte volgens Krul de afgelopen jaren
diverse transformaties door, en staat nu wéér voor
een grote verandering. “Net zoals veel andere or-
ganisaties namen ook wij ‘dozen’ af en vonden
wij het allemaal wel prima. Inmiddels kopen we
diensten in en hoeven we niet te weten welke
oplossingen daarachter schuilgaan. Als IT-organi-
satie zijn we niet meer uitvoerend, maar voeren we
de regie.”
Bijna alles uitbesteed“Wij hebben echt heel veel geoutsourcet”, ver-
volgt Krul (zie ook het kader). Dan gaat het bij-
voorbeeld om de werkplekken, de hosting van
belangrijke websites en de security. “Bijna alle
security hebben wij uitbesteed.” Zo neemt NS
diensten af voor firewallbeheer, inspectie van
het netwerkbeheer, e-mailfiltering, anti-DDoS en
gebruikersbeheer. “Binnen het kavel ‘Security’
hebben we bijna alles toebedeeld aan Motiv.”
Het uitgangspunt is volgens Krul dat alle dienst-
verleners waarmee NS samenwerkt de eigen
broek ophouden als het gaat om security. “Alle
diensten die wij afnemen, of het nu gaat om de
werkplekken of om hosting, moeten inherent
veilig zijn.” Bastiaan Bakker, directeur Business
Development bij Motiv: “Het gaat niet meer om
het leveren van securitydiensten, maar om het
leveren van veilige diensten waarin de security is
ingebouwd.”
“Veiligheid is goed, maar controle is nog beter”,
vult Krul aan. “Die controle vult Motiv in. Een
Client Information Security Officer van Motiv ziet
erop toe dat alle diensten die NS afneemt veilig
zijn en bijvoorbeeld op tijd worden gepatcht. De
dienstenmanagers van de verschillende kavels
rapporteren ook aan deze CISO, die weer rappor-
teert richting NS.”
Cyberweerbaarheid“Het is belangrijk dat je een integraal beeld hebt
van de beveiligingsmaatregelen”, schetst Bakker.
“Je moet weten of die maatregelen samen vol-
doende zijn om de organisatie weerbaar te
maken tegen cybercriminelen.” Krul: “Onze ope-
rationele systemen mogen nooit plat. Als bijvoor-
beeld onze applicatie voor be- en bijsturing niet
beschikbaar is, rijden de treinen niet. Maar ook
een website als NS.nl moet altijd beschikbaar zijn.
We hebben dan ook veel geïnvesteerd in de
continuïteit van die ‘kroonjuwelen’.”
‘Cyberweerbaarheid’ betekent ook dat persoons-
gegevens zo goed mogelijk zijn beschermd, ze-
ker naarmate er meer privacygevoelige gegevens
worden verzameld. Al plaatst Krul daar wel direct
een kanttekening bij. De schaal van verwerking
maakt volgens hem niet uit. “Of je nu zevendui-
zend of tien miljoen records verwerkt, de be-
scherming van persoonsgegevens moet altijd
optimaal zijn.”
“Als een van de grootste dataverwerkers van
Nederland zijn wij al heel vroeg begonnen met
privacy”, verzekert de dienstenmanager. “Bijvoor-
beeld door met filmpjes en e-learning continu
aandacht te besteden aan een veilige omgang
met persoonsgegevens en door heel transparant
te zijn over wat wij wel en niet verwerken.”
CloudstrategieDe outsourcing van security is slechts één ele-
ment in de transformatie van de IT bij NS. Om met
een schone lei de uitbesteding in te gaan, zette
NS een grote schoonmaak van het IT-landschap
in gang en consolideerde het haar datacenters.
Elf datacenters sloten de deuren. “We gingen van
dozen naar diensten, van uitvoerend naar regie,
en nu is het tijd voor de volgende stap”, zo vat
Krul het kort en bondig samen.
“Om onze IT schaalbaar en flexibel te maken,
zetten we zwaar in op de public cloud”, licht hij
toe. Het streven is om de komende twee jaar 30
procent van het applicatielandschap naar de
public cloud te brengen. “Per applicatie moeten
we beoordelen waar die het beste kan landen.
Bijvoorbeeld een bijsturingsapplicatie is niet
gebouwd voor schaalbaarheid en flexibiliteit.
Dan heeft het ook geen zin om zo’n toepassing
naar de cloud te verplaatsen.”
Security naar de cloud“Een overgang naar de cloud betekent ook dat
de beveiliging naar de cloud moet”, zegt Bakker.
Krul: “We moeten onder andere afstappen van
de traditionele datacenterbeveiliging en samen
met Motiv nadenken over het beveiligen van
data op bestandsniveau. Maar ook andere vragen
worden actueler. Hebben de leveranciers van de
clouddiensten hun beveiliging op orde, en waar
verwerken ze de data?”
“Je moet de security die al in de diensten is in-
gebouwd optimaal benutten”, besluit Krul. “En je
moet de public cloud toch ook een beetje private
houden. Dat doen we door al het verkeer van en
naar de public cloud door een ‘Cloud Hub’ te laten
lopen waar het door de securitydiensten van Motiv
wordt gescand en geïnspecteerd. En uiteraard
moet je de toegang tot de cloud ook beveiligen
met onder andere firewalls en access gateways.
Als je met een goed programma transformeert,
hoeft een stap naar de public cloud helemaal geen
reden voor extra zorgen te zijn.”
K L A N T C A S U S
H E A D L I N E ' Z O R G D A T D E P U B L I C C L O U D E E N B E E T J E P R I VA T E I S '
56 15 | najaar 2018M
Meer referenties lezen? Ga naar www.motiv.nl/referenties
DIG
ITALE TR
AN
SFOR
MATIE | K
LAN
T AA
N H
ET WO
OR
D | N
EDER
LAN
DSE SP
OO
RW
EGEN UITBESTEDING IT
Al in 2007 besloot NS om IT-diensten uit te besteden,
toen aan HP, CSC en KPN. Binnen het contract dat NS in
2014 sloot met KPN, Conclusion en Motiv werd vrijwel de
gehele infrastructuur van NS ondergebracht in de private
cloud van KPN. Zo verhuisden maar liefst twaalfduizend
werkplekken naar de virtuele ‘KPN Werkplek’. Maar bij-
voorbeeld ook de servicedesks, de hosting van websites
zoals www.ns.nl, applicatiebeheer, datacenterdiensten
en de integratie met publieke clouddiensten zoals Office
365 kwamen onder regie van KPN te staan.
Motiv is binnen deze constructie als ‘senior supplier’ ver-
antwoordelijk voor het leveren van geavanceerde secu-
ritydiensten, terwijl partner Conclusion zorgdraagt voor
onder andere de technische applicatiebeheerdiensten.
We moeten onder andere afstappenvan de traditionele datacenterbeveiliging
Het bewijs dat je in control bent
Laat zien wat anderen missen
Faciliteert compliance met GDPR
Continue monitoring van het netwerk
Voor meer info of een demo, bel +31(0)88 13 33 300
Hoge kwaliteit Cyber Threat Intelligence
20 JAA
R M
OTIV
| MO
TIVAR
EN A
AN
HET W
OO
RD
| MO
TIV
20 JAA
R M
OTIV
| MO
TIVAR
EN A
AN
HET W
OO
RD
| MO
TIV
Eigenlijk is het niet eerlijk om Jeroen en Youri
aan te duiden als ‘newbies’. Dat klinkt een tik-
keltje denigrerend, terwijl beiden over zeer
waardevolle ervaring beschikken. Youri (28),
die sinds februari 2018 bij Motiv werkt, is af-
gestudeerd criminoloog. Hij deed in het kader
van zijn scriptie onderzoek naar de hackers-
gemeenschap. Jeroen (27), sinds mei 2017
Motivaar, heeft een master computersecu-
rity afgerond en weet bijvoorbeeld alles van
cryptografische protocollen. De twee hebben
nu al een cv waar menig young professional
jaloers op is.
Maar in vergelijking met Bastiaan komen
Jeroen en Youri inderdaad net kijken. Dat is ook
helemaal geen schande: de directeur Business
Development van Motiv is bijna twee decennia
ouder. Bastiaan was zelfs de allereerste werk-
nemer die door Motiv-oprichters Ton Mooren
en Vincent Kalkhoven werd aangenomen. Het
contrast kan bijna niet groter.
Hacken via de telefoon“Twintig jaar geleden bestond cybersecurity
nog niet, dat heette beheer van informatie-
beveiliging, zo bijt Bastiaan het spits af. >
De eerste securityspecialist en de volgende generatie
' INTERNET WAS EEN KAART VAN NEDERLAND MET STIPPEN EROP'
Bastiaan Bakker werkt al sinds de oprichting in 1998 bij Motiv. Zijn collega’s Jeroen Fokkema en Youri Jelsma behoren tot de nieuwste lichting Motivaren. Wat gebeurt er als je ‘Motivaar #1’ aan tafel zet met twee jonge honden?
H E A D L I N E ‘ I N T E R N E T W A S E E N K A A R T VA N N E D E R L A N D M E T S T I P P E N E R O P ’
M O T I VA R E N A A N H E T W O O R D
Motivator Magazine 59 58 15 | najaar 2018M
Motiv is eigenlijk één grote familie
Jeroen Fokkema (L), Bastiaan Bakker en Youri Jelsma (R)
Foto
: Ruu
d Jo
nker
s
“Mijn studie was 70 procent keiharde wiskunde:
zonder rekenmachine ingewikkelde formules
oplossen. IT-beveiliging was toen nog rocket
science. Internet was een kaart van Neder-
land met stippen erop van plekken waar een
internetkoppeling lag: een paar universiteiten,
Shell, de Koninklijke Bibliotheek in Den Haag…
Hackers waren mensen die via de telefoon de
boel probeerden te saboteren.”
Motivaar #1 herinnert zich nog dat de eerste
grote bedrijven en overheidsorganisaties een
permanente internetverbinding kregen, in
plaats van een inbelverbinding. “Er was dus een
firewall nodig om het netwerk af te schermen.
Het installeren van zo’n firewall was een gigan-
tische klus. Er was niet één of andere cloud-
dienst voorhanden. Je moest goed nadenken
over hoe je dat het beste aan kon pakken. Hoe
kan ik poortjes open- en dichtzetten? Hoe kan
ik vaststellen dat de virusscanner werkt en up-
to-date is? Daar was je maanden mee bezig.”
Jeroen benadrukt dat de volwassenwording
van de cybersecuritywereld nog steeds in volle
gang is. “Toen ik in 2009 met mijn bachelor
begon, kreeg ik vooral standaard informatica.
Cybersecurity was een keuzevak. Dat is nu echt
anders.” Youri geeft nog een voorbeeld: res-
ponsible disclosures. “In 2013 liep een ethische
hacker nog een serieus risico om aangeklaagd
te worden. Nu heeft dat weinig kans van slagen
als de hacker de richtlijnen heeft gevolgd. Een
organisatie krijgt nu eerder de vraag: waarom
heb je geen beleid voor responsible disclo-
sures?”
Idealisme als drijfveerTijdens het gesprek blijkt dat de drie uiteenlo-
pende redenen hadden om bij Motiv te komen
werken. Maar er is een gemene deler: ze willen
een bijdrage leveren aan een veiligere wereld.
Zo zag Youri als criminoloog dat er nog relatief
weinig onderzoek is gedaan naar cybercrimi-
naliteit, terwijl deze vorm van misdaad al jaren
in omvang groeit. “Ik denk dat ik meer toe
kan voegen in een vakgebied waar nog niet
zoveel over bekend is. Zijn onze theorieën
over ‘reguliere’ criminaliteit ook toepasbaar op
cybercriminaliteit? Dat vind ik interessant.”
Ook Jeroen wordt deels gedreven door idea-
lisme. “Security is een complex vakgebied. Ik
begrijp volledig dat veel mensen niet weten
hoe cyberbeveiliging werkt of daar geen inte-
resse in hebben. We mogen niet van mensen
verwachten dat ze dat zelf regelen. Met mijn
kennis en vaardigheden wil ik organisaties ont-
lasten. ‘Ik heb het goed voor je ingesteld, maak
je geen zorgen.’ Tegelijkertijd heb ik een sterke
affiniteit met techniek. En ik vind het leuk om
dingen kapot te maken. Niet voor de lol, maar
om aan te tonen dat er niet goed is nagedacht
over security.”
Die passie voor cybersecurity was ook voor
Bastiaan een reden om bij Motiv aan de slag
te gaan. “Na mijn opleiding had ik ook het
aanbod om adviseur te worden bij een grote
accountants- en adviesorganisatie. Maar ik
wilde daadwerkelijk veilige systemen gaan
bouwen. Dus niet alleen advies geven voor een
betere beveiliging, maar security in de praktijk
brengen. Hoe houden we cybercriminelen
buiten de deur? Hoe voorkomen we datalek-
ken? Bij Motiv kon dat. Ik had ook een klik met
Ton en Vincent. En we zagen dat security een
groeimarkt is.”
Volwaardige professieWat is volgens Bastiaan het voornaamste
verschil tussen toen en nu? “Cybersecurity is
nu echt een professie. Ton kwam uit de wereld
van Oracle en databases. Vincent was gespeci-
aliseerd in Microsoft-netwerken. En nu zit ik aan
tafel met een cybersecurityspecialist en een cri-
minoloog met cybercriminaliteit als specialisme.
Dat is enorm veranderd. Ook is ons vakgebied
zo complex geworden. Alles is aan elkaar gekop-
peld. Je moet continu je kennis bijhouden. Aan
de andere kant was er twintig jaar geleden nog
geen Motiv Academy om het vak te leren.”
Jeroen is een van de eerste talenten die de
Motiv Academy met succes heeft afgerond. Hij
is erg positief over de combinatie van theorie en
praktijk. “Je leert de dagelijkse werkzaamheden
in het Security Operations Center (SOC), maar
via cursussen krijg je ook een stevige security-
basis.” Youri is nog bezig met de opleiding. “Ik
was eigenlijk aangenomen om in het SOC te
werken, maar al op mijn eerste werkdag kreeg ik
het aanbod om het Academy-traject te volgen.
Daar ben ik superblij mee. Dit is een geweldige
kans om mijn technische skills te ontwikkelen.”
Naast de Academy zijn er uiteraard nog meer
verschillen. Bastiaan begon op zijn eerste dag
met het schilderen van houten balken in het
kantoor aan de Poortdijk, waar nu het nieuwe
SOC van Motiv is gehuisvest. De eerste cyber-
beveiligingsklus was toen nog niet eens bin-
nen. Maar de start-up Motiv is sindsdien als
kool gegroeid. Jeroen en Youri solliciteerden
bij een van de grootste securityspecialisten
van Nederland. Zij konden direct aanschuiven
in het SOC van Motiv. Youri: “Dat is zeker een
voordeel. Je leert bijna elke dag iets nieuws in
het SOC.”
Samen op skivakantieJeroen en Youri zijn lovend over de prettige
werksfeer en de manier waarop ze bij Motiv zijn
opgevangen. Volgens Bastiaan is die sfeer nou
juist iets dat de afgelopen twintig jaar niet ver-
anderd is. “Motiv is eigenlijk één grote familie.
Dat stimuleren we actief. Zo borrelen we elke
13e van de maand in het Motiv Grand Café
en gaan we met een groepje Motivaren hardlo-
pen op dinsdag. Ook zijn we vorig jaar met een
grote groep – jong en oud – spontaan een paar
dagen op wintersport geweest. Dat was een
persoonlijk hoogtepunt. Het was zó gezellig!”
De Motivaren wisselen tijdens het gesprek naar
hartenlust ervaringen en meningen uit. Slechts
heel even wordt een generatiekloof zichtbaar,
als Bastiaan aangeeft wat hij kan leren van de
nieuwe generatie. “Jullie millennials werken
heel anders dan wij in het verleden. Online
communicatiemiddelen zijn voor jullie dood-
normaal. Ook merk ik dat jullie hechten aan
een andere balans tussen werk en privé. Maar
goed, jullie generatie gaat dan ook pas rond de
zeventig met pensioen.”
20 JAA
R M
OTIV
| MO
TIVAR
EN A
AN
HET W
OO
RD
| MO
TIV
20 JAA
R M
OTIV
| MO
TIVAR
EN A
AN
HET W
OO
RD
| MO
TIVH E A D L I N E ‘ I N T E R N E T W A S E E N K A A R T VA N N E D E R L A N D M E T S T I P P E N E R O P ’
M O T I V A R E N A A N H E T W O O R D
Met het installeren van een firewall was je maanden bezig
Foto
: Ruu
d Jo
nker
s
Motivator Magazine 61 60 15 | najaar 2018M
62 15 | najaar 2018M
To uncover risk in cloud appsyou’ll need extra visibility.
The sales team is jumping about a new app that integrates with Salesforce. Not to ruin the party, but that’s a lot of unprotected data in one place.
Forcepoint CASB lets you secure any app, see risk from end-user behavior, and even monitor devices you don’t manage.
To learn more, visit Forcepoint.com/SecureApps.
MOTIV GRAND CAFÉElke maand organiseren wij het Motiv Grand Café in onze historische
Uitspanning in IJsselstein. Een plek waar zaken en plezier al eeuwen
samenkomen. Waar anders dan op deze plek ontmoeten collega's,
leveranciers en klanten van Motiv elkaar tijdens een gezellige,
informele borrel. Wil je kennismaken met Motiv? Dan ben je van
harte welkom!
Blijf op de hoogte via www.motiv.nl/grand-cafe
Jaargang 8, nummer 15 – najaar 2018
VOOR PROFESSIONALS IN INFORMATIEVOORZIENING EN -BEVEILIGING
Motiv bestaat 20 jaar. In deze periode hebben wij onszelf herhaaldelijk
opnieuw uitgevonden, gedreven door de mogelijkheden die digitalisering
biedt. Ook onze klanten kennen deze digitale transformatie. Een proces
dat naast kansen ook een flinke uitdaging betekent in de huidige tijd waarin
cyberaanvallen en cyber security niet meer uit de kranten weg te denken zijn.
Motiv zet zich in om Nederlandse bedrijven een veilige basis voor digitale
transformatie te bieden. Zo dragen wij ons steentje bij aan de succesvolle,
en vooral veilige, digitalisering van Nederland. Daarmee zij we in 1998 gestart
en dat zullen we voortzetten!
NUMM
ER 15 – NAJAAR 2018