Elk bedrijf kraakt door het coronavirus harde noten. Daar hoeft écht geen cyberaanval meer bij te komen. Klanten van SpotIT kunnen wat dat betreft op beide oren slapen. De specialist uit Merelbeke met ook kantoren in Antwerpen en Herk-de-Stad, zorgt voor een goed beveiligde ICT-infrastructuur, maar medeoprichter Steven Vynckier is wel realistisch. “Als een hacker écht binnen wil geraken, gebeurt dat ook. De kunst bestaat erin om het hem zo moeilijk mogelijk te maken, want 95 procent van de hackers is vrij lui. Preventie alleen volstaat niet, bedrijven moeten hun cybersecuritystrategie versterken met snelle detectie en respons.”
SpotIT viert in juni de zesde verjaardag. In 2014 startten drie vennoten, waarvan er één in 2017 werd uitgekocht, met het bedrijf dat zich helemaal focust op netwerking en security. Dat liep dermate vlot, dat het geesteskind van Steven Vynckier en Frederik Rasschaert een groei realiseerde waarmee ze zelfs in het meest ambitieuze businessplan geen rekening hadden gehouden. “We hadden verwacht vandaag met tien mensen te werken. Het zijn er inmiddels al 105.”
Glue team
Dat lijkt fantastisch, maar hoe slagen jullie erin de groeipijnen te minimaliseren?
Steven Vynckier: “We werken zoveel mogelijk in zelfsturende teams van telkens acht mensen, die een zo groot mogelijke autonomie krijgen in functie van hun operationele taken. Ze mogen bijvoorbeeld ook onderling uitmaken wie wanneer op verlof mag. Daarboven staat een ‘glue team’ van vijf personen, dat de lijm tussen die teams vormt en de kwaliteit van onze dienstverlening bewaakt. Na een aantal verhuizingen door de groei, hebben we nu een goed onderkomen gevonden in het Guldensporenpark in Merelbeke, maar we openden ook vestigingen in Herk-de-Stad en Antwerpen. Dat doen we om de reistijd van onze medewerkers tot maximaal één uur te beperken en om zoveel mogelijk op ‘customer intimacy’ te kunnen inzetten.”
Door het coronavirus zit de ambitie om een Amerikaans filiaal te openen voorlopig weer in de koelkast.
Hoe hebben jullie het gepresteerd om al die mensen te vinden?
Vynckier: “We hebben daarvoor een ‘drietrapsraket’ gelanceerd. Ten eerste werken we met een eigen hr-dienst, en niet via headhunters, die op zoek gaat naar de juiste profielen en polst naar hun interesse. Ten tweede hebben we in 2018 onze SpotIT Academy opgericht, waar we schoolverlaters en mensen die zich willen heroriënteren, gedurende zes maanden opleiden in netwerk en security. Intussen hebben al 28 mensen die vorming gevolgd. Daarnaast rekruteren we ook internationaal. Zo bekijken we welke specialisten we zouden kunnen aantrekken uit landen waar de economie niet zo goed draait, zoals Portugal en Griekenland. Intussen hebben we ook drie hooggeschoolde politiek vluchtelingen op onze loonlijst. We hebben die gevonden via gespecialiseerde non-profitorganisaties en via specifieke cursussen, georganiseerd door bijvoorbeeld de VDAB.”
Waarvoor kunnen klanten bij jullie terecht?
Vynckier: “We verzorgen zowel technische als governance-oplossingen (zoals ‘security awareness’-trainingen). Belangrijk zijn onze managed services, waarbij we 24/7 onze klanten ontzorgen via onze NOC’s (Network Operating Centers) en SOC’s (Security Operating Centers). De SOC’s zoeken bijvoorbeeld continu naar anomalieën in het IT-netwerk van onze klanten, zodat we wijzigingen in het netwerk of het gedrag van medewerkers snel kunnen opmerken en hackers kunnen opsporen. Met die diensten zijn we actief in 88 landen, verdeeld over vijf continenten. We verzorgen die diensten voor grote Belgische bedrijven waarvan alle IT-beslissingsbevoegdheden zich in ons land situeren, maar die wel in verschillende landen filialen hebben. Doorgaans gaat het om ondernemingen vanaf 250 tot enkele duizenden gebruikers, maar het kan even goed een kleiner bedrijf zijn. De enige parameter voor ons is hoeveel belang ze aan hun netwerk en security hechten.”
Overwegen jullie ook de opening van buitenlandse vestigingen?
Vynckier: “Zonder het coronavirus waren we dit jaar concreet beginnen uitkijken naar een filiaal in de Verenigde Staten, we mikken ook op een vestiging in Maleisië of Singapore. Die dekking zou ons toelaten om een zo goed mogelijke oplossing voor alle tijdzones te bieden. Het zou dan de bedoeling zijn dat één van onze mensen ter plekke de opstart begeleidt, om onze bedrijfscultuur te bewaken en onze manier van werken te garanderen, zodat we onze identiteit ook met lokale medewerkers kunnen blijven behouden. De toekomst zal uitwijzen wanneer we die plannen weer uit de koelkast mogen halen.”
Zwakste schakel
Wat trekt hackers aan als ze een bedrijf aanvallen?
Vynckier: “Ze beseffen dat ze sowieso in het voordeel zijn, in een strijd die heel ongelijk is. Kijk, bij een bedrijf is de eerste prioriteit ervoor te zorgen dat de operationele processen hun gangetje kunnen gaan. Dat wordt ondersteund door een IT-aanpak die idealiter krachtig is, maar waarbij anticiperen op hacking eerder een beperkt onderdeel van het to do-lijstje vormt. Ondernemingen zetten steeds feller in op digitalisering, automatisering, machine learning, big data, noem maar op. Dat kan alleen als hun netwerk en de security helemaal in orde zijn. Aan de andere kant heb je de hacker, die dagelijks niets anders doet dan de zwakste schakel in een bedrijfsnetwerk zoeken. Van zodra hij dat gaatje gevonden heeft, is hij binnen. Bedrijven kunnen zich gelukkig goed voorbereiden door het cyberincident snel te detecteren en adequaat te reageren via een detectie- en responsplan.”
Hoe kan een ondernemer zijn bedrijf daar zo goed mogelijk tegen beschermen?
Vynckier: “Door zich goed te beveiligen en dat ook te tonen. Vergelijk het met een gewone inbreker. Stel dat die voor een koppelwoning staat waarvan één huis een alarmsysteem heeft en het andere niet, is het duidelijk waar hij zijn eerste poging zal wagen. Je moet het inbrekers/hackers zo moeilijk mogelijk maken, door in te zetten op een hoog ontradingseffect, want 95% van de hackers probeert altijd met dezelfde basistools ergens binnen te geraken. Lukt dat niet, dan proberen ze het gewoon ergens anders. Daarnaast heb je de 5% superintelligente hackers die de meest geavanceerde tools inzetten om hun doel te bereiken.”
Hoe sterk zijn onze bedrijven doordrongen van de noodzaak aan cybersecurity?
Vynckier: “De voorbije jaren zagen we bij elke geslaagde cyberaanval die de media haalde, hoe de awareness in de veertien daaropvolgende dagen piekte. Op dat moment hebben bedrijven er een aanzienlijk budget voor over om zich te beveiligen. Nadien vermindert de paniek én het besef over de noodzaak aan beveiliging. Het probleem is dat cybersecurity nog te veel als een kost wordt gezien. Vergelijk het met een verzekering: in zoiets investeren, geeft niet onmiddellijk een meerwaarde aan je bedrijf of product. Het voordeel wordt pas duidelijk als er effectief iets gebeurt.”
Vijf procent van de hackers is superintelligent en gebruikt geavanceerde tools om ergens binnen te geraken.
Firewall in de cloud
Mogen onze ondernemingen zich goede leerlingen inzake IT-beveiliging noemen?
Vynckier: “Ik vrees dat de meeste bedrijven op dat vlak helaas nog te weinig maturiteit hebben. Er is nog veel ruimte voor verbetering. In vergelijking met Nederland, bijvoorbeeld, lopen we toch een eindje achterop. Daar zijn gevoelig meer firma’s ermee bezig, bovendien profileren ze zich daar ook als ‘early adopters’: recente technologieën worden er heel snel geïntegreerd.”
Een groeiend aantal bedrijven geeft medewerkers de kans om van thuis uit te werken, iets wat nog een extra boost kreeg door de coronacrisis. Zorgt dat voor extra uitdagingen inzake IT-beveiliging?
Vynckier: “Thuiswerk maakt deel uit van de bedrijfsidentiteit van SpotIT: als onze mensen niet bij een klant aan het werk zijn, mogen ze thuis werken. Ons IT-systeem is daar ook optimaal voor beveiligd. Bij heel wat bedrijven is dat nog niet het geval. Dat is zeker zo voor ondernemingen die met een fysieke firewall, die dus binnen de bedrijfsmuren staat, werken. Zolang alle medewerkers binnen de muren van die ‘beveiligde burcht’ werken, stelt er zich geen probleem. Van zodra de evolutie naar extern werken zich doortrekt, schakel je beter over naar een firewall in de cloud. Dan moet iedereen die zich met het bedrijf wil connecteren over die firewall om in de cloud te geraken. Op dit moment wordt dat nog te weinig toegepast. Daardoor kan het voor een hacker volstaan om een medewerker thuis te hacken, bijvoorbeeld via een phishingmail, en zo simpelweg via die persoon het bedrijf virtueel binnen te wandelen.”
Globaal gezien: hoe moet een bedrijf cybersecurity aanpakken?
Vynckier: “Wij doen nooit security om de security, er moet een concrete strategie achter schuil gaan. Daarbij raden we bedrijven altijd aan: kijk naar je kroonjuwelen. Als het bijvoorbeeld essentieel is om documenten van de R&D-afdeling te beveiligen, zullen we daar de cybersecurity-strategie op enten. Vandaag kunnen we op onze markt kiezen tussen oplossingen van liefst 2500 producenten (antivirus, firewall …). Voor wie daar niet in thuis is, is het onmogelijk daar de systemen uit te pikken die relevant zijn voor zijn of haar bedrijf. Wij werken met een eigen portfolio aan oplossingen van producenten die we door en door testen, maar die is flexibel: we gaan de klant nooit een oplossing verkopen die zijn behoefte niet volledig afdekt. Als we het systeem niet zelf verkopen, kunnen we de klant nog altijd helpen door als integrator op te treden.”
- Geef ‘security awareness’-trainingen aan je medewerkers. Vermijd dat ze gaan klikken op mails die opgesteld zijn door hackers om als het ware via de rode loper het bedrijf binnen te wandelen.
- Zet in op ‘phishing as a service’: dat is een dienst die een eindgebruiker kan inroepen als hij niet zeker is over de herkomst van een bepaalde mail. “Via een link krijgen wij die mail te zien en kunnen we bekijken van waar die komt. Binnen het halfuur zorgen we voor feedback.”
- Doe een ‘cybersecurity assessment’. Hierbij bepaal je de securityprioriteiten van je bedrijf, op basis waarvan je IT-partner een actieplan voor langere termijn, met de juiste investeringen, kan voorstellen.
- Werk samen met een specialist in cybersecurity. Vertrouw daarvoor niet op de vaak generalistisch werkende partner die je IT-netwerk heeft geïnstalleerd. Zeker in deze markt kan je niet tegelijk stroper en boswachter zijn.