In '7 vragen aan...' besteden we aandacht aan IT-bedrijven van Nederlandse bodem. Deze week spraken we met Ton Mooren, CEO en oprichter van Motiv. Hij stelt dat het beveiligen van gevoelige informatie in de toekomst praktisch onmogelijk wordt, omdat teveel instanties en personen er toegang tot hebben terwijl dat vaak niet noodzakelijk is. Hij pleit voor een nieuw beveiligingsbeleid. Tijd voor zeven vragen…
1. Motiv bestaat 15 jaar. Wat is er in die tijd allemaal veranderd op IT gebied?
“We begonnen eigenlijk als consultancy- en adviesbureau op het gebied van security. We constateerden een vacuüm om het advies over beveiliging te vertalen naar de praktijk, waardoor we ons meer zijn gaan richten op het leveren en beheren van oplossingen, vooral voor netwerken en databases. Al snel werd er een verschuiving zichtbaar: je huurde niet meer eenmalig een mannetje in die met een project een oplossing bood voor een bepaald probleem, maar beheer werd steeds vaker langdurig uitbesteed. Je zag een ‘verdiensting’ van de IT - een ander business model.”
2. Wat zien jullie gebeuren op het gebied van security?
“Netwerkbescherming wordt steeds minder relevant. De traditionele antivirus- en firewall-oplossingen zijn niet meer voldoende, want bedreigingen zijn veel minder voorspelbaar en herkenbaar dan voorheen. Organisaties lopen al snel achter de feiten aan, terwijl ze vaak denken de zaken goed op orde te hebben. Maar de aanvaller is altijd eerder dan de verdediger. Monitoring, detectie en automatische anticipatie op bedreigingen is daardoor veel belangrijker geworden.”
“Om de veiligheid in een netwerk te beoordelen plaatsen we een driedimensionale securityscan in het netwerk die al het verkeer analyseert. Deze toont al het verkeer dat het netwerk in- en uitgaat, maar ook welke onveilige applicaties en handelingen er gebruikt worden. Dat is vaak een eye-opener. 100% veiligheid bestaat niet, daarom moet de focus wat ons betreft liggen op de bescherming van de kroonjuwelen van een bedrijf: de meest gevoelige informatie.”
Bedrijfsnaam: Motiv IT masters B.V.
Website: www.motiv.nl
Productgroepen: Informatievoorziening, Informatiebeveiliging diensten en oplossingen
Jaaromzet: 17 miljoen euro
Aantal medewerkers: 90
Vestigingsplaats: IJsselstein
Klanten: Onder andere – Nederlandse Spoorwegen, Politie Nederland, Robeco, Rabobank, VvAA en DHV Groep.
3. Wat schort er vaak aan het securitybeleid?
“Veel organisaties zijn zich niet bewust van de risico’s, terwijl ze bij een incident een omzet van vele dagen kunnen verliezen of zelfs ‘out of business’ kunnen gaan. Denk bijvoorbeeld aan een webshop die dagenlang onbereikbaar is of een bank met een veiligheidsincident. Maar gelukkig is het bewustzijn de afgelopen jaren wel vergroot, doordat incidenten en cyberdreiging steeds vaker in het nieuws komen.”
“Als organisaties een goed beeld hebben van concrete bedreigingen, zijn ze wel bereid te investeren ondanks dat er voorzichtig met uitgaven wordt omgesprongen. Het tijdperk van de firewall als bescherming is voorbij. Het is zaak om de bedreiging of een aanval voor te zijn. Gartner stelt dat in 2020 driekwart van gevoelige data niet meer goed te beveiligen is, omdat de hoeveelheid zo groot is en data op verschillende locaties wordt opgeslagen. Dat is een enorme uitdaging.”
4. Wat is het probleem dan precies?
“Als individu weet je niet meer waar je persoonlijke data allemaal staat. Consumenten zijn actief op sociale media en plaatsen daar persoonlijke informatie, die vervolgens op allerlei andere plaatsen kan opduiken. Ze geven een deel van hun privacy op door applicaties van derden toegang te geven tot hun gegevens in ruil voor aanbiedingen, kortingen of handige diensten. Tegelijkertijd maken hotels, autoverhuurbedrijven en werkgevers kopieën van een paspoort, terwijl dat een potentieel gevaar is voor identiteitsfraude – en volgens de wet zelfs illegaal. Zakelijk zien we hetzelfde gebeuren, mede vanwege het gebruik van diverse clouddiensten. Het is niet meer duidelijk waar welke gegevens staan – het overzicht is weg.”
5. Hoe zouden we beter met gevoelige data om kunnen gaan?
“De essentie is dat alleen relevante data wordt uitgewisseld met partijen voor wie dat echt van belang is. We zouden het model om moeten draaien: niet organisaties bepalen welke data zij willen ontvangen, delen en bewaren, maar het individu. Iedereen moet zelf de baas zijn over zijn of haar gegevens. Het moet niet meer vanzelfsprekend zijn dat iedere arts handelingen bij een bepaalde patiënt kan verrichten. Niet iedereen moet automatisch toegang krijgen, een individu moet zelf expliciet kunnen bepalen wie er wel of niet toegang heeft – en dus ook het recht hebben om toegang te weigeren.”
“Naast het paspoort en het rijbewijs zou er ook een gewaarborgde digitale identiteit moeten zijn waarmee iemand zichzelf kan identificeren en controle over de eigen persoonlijke gegevens heeft. Op die manier is bijvoorbeeld ook direct te zien of een tweet geschreven is door de geclaimde persoon of organisatie en niet door een grapjas die een vals account heeft aangemaakt. Hiermee zou heel veel schade voorkomen worden. Als een dergelijk systeem er niet komt, wordt het beveiligen van persoonlijke informatie praktisch onmogelijk en op z’n minst heel kostbaar.”
6. Kun je wat voorbeelden noemen?
“Een werkgever heeft bijvoorbeeld de plicht om de salarisgegevens een aantal jaren te bewaren. De data blijft al die tijd op z’n plek, maar verplaatst zich via informatievoorziening, zoals een loonstrook. Op het moment dat je die data deelt, geef je je medewerker de beschikking over die informatie via een applicatie. De data is rechtstreeks afkomstig van de werkgever, dus betrouwbaar. Tegelijkertijd wordt er een koppeling gemaakt met de belastingdienst. Daardoor kun je als werknemer beschikken over gecertificeerde inkomensgegevens die je al dan niet geanonimiseerd kunt gebruiken bij bijvoorbeeld een hypotheekaanvraag – zonder dat er overtollige informatie hoeft te worden overgedragen.”
“Ook iets als het Elektronisch Patiënten Dossier, EPD, zou op die manier opgelost kunnen worden. De patiënt - het individu - bepaalt wie welke gegevens ziet en geeft daarvoor toestemming – niet andersom. Circa 13% van de Nederlanders heeft al te maken gehad met identiteitsfraude en volgens onderzoeksbureaus zal het aantal gevallen ieder jaar 20% per jaar groeien.”
7. Hoe hebben jullie zelf de IT en security geregeld?
“We hebben net een nieuw pand betrokken en daardoor is onze eigen fysieke beveiliging ook optimaal geregeld. Het pand is opgedeeld in verschillende zones: publieke en gesloten. Werknemers hebben toegang tot relevante gegevens en meer niet. Als iemand naar een andere zone loopt, heeft hij daar niet automatisch toegang. Zo is het administratiekantoor, waar de gegevens van onze klanten zich bevinden, afgeschermd van de rest.”
“We hebben BYOD wel omarmd en gebruiken volop iPhones en iPads, maar niemand kan zomaar het netwerk op – daarvoor moet het apparaat eerst geautoriseerd worden via end-point-security, waarbij geclassificeerde bedrijfsinformatie wordt beveiligd met bijvoorbeeld encryptie.”
“Ook hebben we voor een strikte scheiding tussen werk- en privégebruik gezorgd. Wat betreft cloud maken we alleen gebruik van private clouds waarbij we de data vanzelfsprekend zelf in onze datacenters beveiligen – publieke clouddiensten zijn vanuit securityperspectief uit den boze, want je hebt immers geen controle over de data. Deze aanpak vormt een blauwdruk die we ook bij andere bedrijven toepassen.”
Reageer
Preview