Kennissessie Vodafone en Cisco: inzicht is de nieuwe compliance

De waarschuwing die iedereen kende, bleek achterhaald. Leon Hinz, cybersecurityspecialist bij Cisco, verwees naar recente berichten die de drempel voor een aanval ingrijpend lijken te hebben verlaagd. "Microsoft heeft een CVE (een genummerde registratie van een bekend beveiligingslek) aangekondigd waarbij je niet eens op de mail hoeft te klikken. Als je alleen al het e-mailtje bekijkt in de viewer, krijg je de malware al op je computer."

Erik van Daatselaar, cybersecurity lead bij VodafoneZiggo, benoemde de bredere implicatie. "Die gebruiker en die identiteit staan steeds meer onder druk. Aan alle kanten worden die benaderd met berichtjes om op te klikken. Misschien hoef je tegenwoordig niet eens meer op te klikken." De conclusie is ongemakkelijk: niet elke aanval is nog te voorkomen. Wat telt, is beperken wat een aanvaller kan bereiken nadat hij binnen is. Hinz noemde dat de blast radius. "Je bent bezig met beperkende maatregelen, omdat je gezien de huidige snelheid van CVE's bijna niet meer alles kunt bijhouden om je organisatie overal tegen te beschermen."

Lees meer: 'De mens als achilleshiel van security'

Van Daatselaar maakte de architectuur van beveiliging concreet met een reeks analogieën. "Een ei, als daar een breuk in komt, begint hij te lekken en lig je data op straat. Veel organisaties gingen naar een uimodel: niet één hard laagje, maar een aantal laagjes waardoor je het risico op inbreuk naar de kern sterk verminderde."

De volgende stap is het knoflookmodel: meerdere lagen aangevuld met compartimentering, toegangsrechten en datasegmentering. Zelfs als een aanvaller doorbreekt, stuit hij telkens op een nieuwe barrière. Hinz vertaalde dit naar de praktijk. "Zero trust is het beter segmenteren en laagjes toepassen. In plaats van dat je iemand toegang geeft tot alle data, zeg je: jij bent van finance, je hoeft alleen bij deze data te kunnen. Daardoor heb je het risico ook alweer beperkt."

De fundering onder al die lagen is inzicht. Hinz illustreerde het met een voorbeeld uit zijn praktijk. "Bij een klant waarvoor wij de monitoring verzorgden, zagen we ineens heel veel DNS-verkeer naar China. Dat bedrijf deed helemaal niet met China. Voordat wij dat inzicht creëerden, hadden ze geen idee dat dat gebeurde. En doordat we het inzicht creëerden, konden ze een policy aanmaken: wij willen alle verbindingen richting China blokkeren."

'Cybersecurity: bedrijfseconomisch onmisbaar voor elke mkb’er'

Een deelnemer stelde via de Q&A de vraag die velen bezig houdt: hoe kan AI juist de bescherming bieden, in plaats van de aanval te versterken? Hinz: "We kunnen heel veel aanrichten met AI, maar dan moet je ook de beschermlaag voorzien van een AI-model. Omdat het zo snel gaat, kunnen wij mensen het niet meer aan om een dreiging te mitigeren. Een LLM-model is beter in staat om dat te herkennen en er iets tegen te doen.

"De mens blijft daarbij onmisbaar. "We blijven altijd nog de mens nodig hebben om de interpretatie te doen: wat is de impact, wil ik dit wel blokkeren of niet? Dat is wat de toekomst gaat zijn."

Het gevaar komt ook van binnenuit. Hinz noemde een herkenbaar voorbeeld. "We hadden een geval van een provincie waarbij een ambtenaar per ongeluk alle data in een AI-prompt had geplaatst. Dat kan gebeuren, en daar wil je grip op houden." De oplossing zit in Data Loss Prevention, geïntegreerd als laag in de beveiligingsarchitectuur op het punt waar de gebruiker verbinding maakt met internet en applicaties.

Het zwaarste argument voor boardrooms: met NIS2 wordt beveiliging juridisch afdwingbaar. De rekening ligt niet meer alleen bij de IT-afdeling. Van Daatselaar was er helder over. "Als je een incident niet kunt melden binnen 24 of 72 uur, ben je potentieel hoofdelijk aansprakelijk. Dat onderstreept het belang van het inzicht dat je moet hebben." 

Hinz voegde de operationele consequentie toe. "Patchen is heel belangrijk, maar je moet wel weten of het te patchen is. En als het gepatcht is, moet je controleren: verwachten wij nog steeds hetzelfde gedrag van het apparaat, of gaat die juist naar hele andere dingen toe?"Voor grote organisaties wijst alles in dezelfde richting: het Security Operations Center als antwoord op zowel dreigingen als wetgeving. "Een SOC, al of niet ondersteund door AI, zie je steeds meer in de markt opkomen", aldus Van Daatselaar. Hinz was concreet. "Een SOC is tegenwoordig heel belangrijk om inzicht om te zetten naar een actie, naar een mitigerende oplossing." 

Lees verder: Hoe ondernemer Bram Bertels zijn bedrijf veilig maakt.

De kennissessie bediende bewust meerdere niveaus tegelijk. Technisch beheerders vonden in de bespreking van DNS-monitoring, zero trust-segmentering en SASE-architectuur concrete handvatten. IT-managers herkenden de operationele uitdagingen rond patching, SOC-inrichting en AI-gedreven detectie. Voor organisaties was de boodschap onmiskenbaar: NIS2 maakt van cybersecurity een governance vraagstuk met persoonlijke juridische consequenties. En dat is serieuze stof tot nadenken.