IT-security: lach en denk na

Edwin van Andel

'IT-security: lach en denk na' Van Andel (Zerocopter) verpakt belangrijke boodschappen het liefst luchtig.

Je kan wel heel serieus doen over IT-beveiliging en al die dreigingen die op ons afkomen. Maar je moet ook wel een beetje blijven lachen, vindt Edwin van Andel, CEO van het Nederlandse IT-beveiligingsbedrijf Zerocopter. Een gesprek.

U bent sinds mei van dit jaar de nieuwe CEO van Zerocopter. Bent u niet bang dat uw passie (hacken, spreken in het openbaar, schrijven en onderwijzen over de gevaren in dit digitale tijdperk) ondergesneeuwd gaat worden door allerlei saaie managementtaken?

Haha, nee, dat was een van mijn afspraken bij acceptatie van mijn nieuwe rol. Het is super belangrijk om naar buiten te kunnen blijven treden, dus we hebben intern iemand die de organisatie runt, en ik schuif aan zodra ik kan of nodig ben.

U staat bekend vanwege uw onorthodoxe visie op IT-beveiliging, sommigen noemen het zelfs rebels. Waarin komt dat tot uiting en hoe is dat zo gekomen?

Ik zie het zelf niet echt als rebels of onorthodox, maar meer als logisch nadenken. Ik zie 9 van de 10 dingen misgaan doordat mensen niet goed nadenken, niet goed samenwerken of tunnelvisie krijgen door focus. Terwijl het in beveiliging juist gaat om het complete plaatje onder controle te krijgen, en niet alleen het stukje waar je als persoon verantwoordelijk voor bent.

Wat is uw visie op de staat van de IT-beveiliging in Nederland? Zijn onze vitale sectoren afdoende beschermd?

'Afdoende' is een mooi woord in deze. Want wanneer ben je afdoende beveiligd? Het kan zijn dat het de komende week wel zo is, maar doordat er die week erna iets gevonden wordt waardoor je hele beveiliging te bypassen is, het dan dus niet meer zo is. Het is een super dynamische wereld, waarin je altijd moet proberen de bad guys voor te blijven, maar waarin dat bijna niet te doen is. 100% veiligheid haal je nooit, je kan alleen proberen jouw voordeur veiliger te krijgen dan die van je buurman waardoor men geneigd is om even verder te kijken. Maar als ze echt naar binnen willen lukt dat. Ik denk dat Nederland goed bezig is, dat we er veel aan doen en dat de bewustwording ook steeds beter wordt, maar het kan gewoon altijd beter.

Wat is de grootste denkfout bij bedrijven als het gaat om IT-beveiliging?

Alleen de buitenkant beveiligen. Vaak wordt er veel geïnvesteerd in het beveiligen van de randen van het netwerk, terwijl je eigenlijk van binnen naar buiten zou moeten werken. Bescherm je kroonjuwelen (en dat is meestal niet je website) en ga dan in lagen naar buiten werken. Als je website dan gehackt is is dat jammer en heel vervelend, maar zolang ze niet bij je kroonjuwelen zijn gekomen draait je bedrijf uiteindelijk gewoon door.

U gaat het op IT Innovation Day 2017 hebben over cyberwarfare. Nu is dat voor veel mensen nog een mistig verhaal, vol met aannames, sprookjes, ontkenningen en bangmakerij. Moeten we bang zijn, en voor wat dan precies?

Ook hier moeten we eerst gewoon logisch nadenken. Zomaar terugslaan heeft geen zin, zomaar een groep de schuld geven ook niet. Ga er maar van uit dat veel landen bezig zijn met cyberwarfare, en daar ook heel ver in zijn. Dus ja, de dreiging is reëel. Maar ook hier zijn 'wapens' duur. Dus denkt men echt wel na voordat ze zomaar ingezet worden. Het speelveld is anders, het spel niet.

Kunnen bedrijven zich nog wel wapenen tegen dergelijke dreigingen of hebben we de handdoek al in de ring gegooid?

Wat ik al zei, als men echt binnen wil komen, onbeperkt tijd, onbeperkt middelen, zal het uiteindelijk lukken. En meestal gewoon via een mailtje met een zero-day. Dus dan gaat het om hoe goed je intern de boel op orde hebt, waar wie allemaal bij kan. Heb je je kroonjuwelen goed beschermd?

Wilt u nog graag iets kwijt wat we nog niet hebben behandeld?

Ja, laten we het ook luchtig houden. Natuurlijk, de boodschap is super belangrijk, en de dreiging is oprecht. Maar ik heb in al die jaren gemerkt dat het meer impact heeft als je iets op een grappige manier kan uitleggen dan dat je dat doet door zware slides en angst zaaien. Misschien is dat ook wel wat mensen bedoelen als ze mijn presentaties onorthodox noemen. Ik noem het gewoon anders. Lach, en denk na.

Bron: CIO.nl

Next up