Interview met Rob van der Staaij, Cybersecurity expert bij Innopay
Eerder dit jaar sloot Dr. Rob van der Staaij, een professional met meer dan twintig jaar consultingervaring, zich aan bij Innopay. De technologie-expert – Van der Staaij heeft ruime expertise in onder meer business, IT, cybersecurity, identity & access management en risk management – heeft de taak gekregen om de Cybersecuritypraktijk van het bureau verder uit te bouwen. Consultancy.nl legde Van der Staaij acht vragen voor, over de bedreigingen van cybercrime, hoe het bedrijfsleven en de overheid zich hiertegen kunnen wapenen, en hoe Innopay de markt hierin bijstaat.
Om te beginnen heb je bij Innopay de opdracht gekregen om de Cybersecuritypraktijk uit te bouwen. Waar staat de praktijk vandaag de dag en welke ambities hebben jullie voor de komende periode?
Innopay staat in de markt bekend als de innovatie-expert in online transacties, co-creatie van afsprakenstelsels en digitale transformatie. Daarbij is inzicht in cyberrisico’s onontbeerlijk. Die kennis en expertise heeft Innopay nu al in huis. De ambitie is om deze solide basis nog verder uit te bouwen, zodat we onze klanten in de nabije toekomst nog beter kunnen assisteren om alle moderne vormen van cybercriminaliteit buiten de deur te houden. Dat blijft niet beperkt tot Nederland. Sinds enige tijd hebben wij een vestiging in Duitsland en later dit jaar zullen wij een kantoor in Stockholm openen.
Kun je ons kort iets vertellen over de proposities die onderdeel uitmaken van jullie Cybersecurity diensten?
Wij kunnen onze klanten tijdens alle fasen van het invoeren van cybersecurity de noodzakelijke handvatten bieden. Dat strekt zich uit van strategisch advies, bijvoorbeeld op het gebied van regelgeving en IT risk management, tot en met de implementatie van mitigerende maatregelen, zoals encryptie.
Bovendien zullen wij nog dit jaar starten met het aanbieden van trainingservices op het gebied van cybersecurity. Zo zullen wij onder meer trainingen gaan verzorgen voor de welbekende securitycertificeringen CISSP en CRISC. Omdat cybersecurity niet in de laatste plaats van binnenuit moet worden bestreden, is het zaak dat klantorganisaties hiertoe zelf over de benodigde kennis en expertise beschikken.
Het inrichten van efficiënte cyberbeveiliging vereist een mix van capaciteiten en vaardigheden, zoals digitale strategie, governance en human resources, maar ook risk management en diepe technologische kennis. Met een team van 35 adviseurs lijkt Innopay een relatief kleine speler in de markt te zijn, in verhouding tot bijvoorbeeld de Big Four of de grotere ICT dienstverleners – hoe weet Innopay zich daartussen te onderscheiden?
Het grote verschil met de grote ICT-dienstverleners en de Big Four is dat wij een uiterst coherente en hechte club zijn met stuk voor stuk zeer getalenteerde medewerkers. Zij zijn geselecteerd op een mix van communicatieve vaardigheden, inlevingsvermogen en puur intellect. Het is overigens grappig om te zien dat in de vraagstelling precies de onderwerpen worden genoemd waar wij sterk in zijn, dus ook voor diepgaande technologische kennis kunnen klanten bij ons terecht. Daarbij lopen wij meer dan eens voor de rest uit. Nog voordat de markt goed en wel lucht had gekregen van blockchain-technologie, had Innopay zich er al in vastgebeten.
Dr. Rob van der Staaij CISSP CISA CISM CRISC CEH CPT.
De schade en risico’s die gepaard gaan met digitale criminaliteit lijken overal ter wereld exponentieel toe te nemen en ook de komende jaren zal cybercrime naar verwachting alleen maar meer gaan toenemen. Tegelijkertijd zien we echter signalen in de markt dat het bedrijfsleven nog altijd achter ligt als het gaat om het optimaliseren van hun cyberbeveiliging. Staat cybersecurity in jouw ogen voldoende op de agenda’s van bestuurders? En wat kan – of moet – er volgens jou gedaan worden om de situatie te verbeteren?
Het klopt dat cybercriminaliteit overal sterk groeit. Deze toename zal voorlopig niet stoppen. Wat met name verontrustend is dat cybercrime niet alleen in omvang toeneemt, maar ook in technologische verfijndheid. Het is verbazingwekkend hoe knap sommige vormen van malware in elkaar zitten. Aan de andere kant zien we hoe het cybercriminelen steeds beter lukt om de IT-infrastructuur van organisaties binnen te dringen zónder het toepassen van kwaadaardige code. Dat is erg lastig op te sporen.
Het is waar dat veel organisaties deze trends maar moeilijk kunnen bijbenen in hun cybersecurity. Bestuurders moeten zich ervan bewust zijn dat cybercriminaliteit steeds geavanceerder wordt en overal vandaan kan komen. Daarbij moet niet alleen buiten de muren van de organisatie worden gekeken. Ook van binnenuit kan deze vorm van criminaliteit zich voordoen. Dat kunnen zowel eigen medewerkers zijn als hackers die zich al jaren in de IT-infrastructuur hebben genesteld.
Diverse onderzoeken tonen aan dat menselijk handelen, van kwaadwillendheid tot onbewuste nalatigheid, de belangrijkste oorzaak vormen voor datalekclaims binnen organisaties. Het veranderen van menselijk gedrag en culturele gewoonten is daarbij misschien wel de moeilijkste uitdaging voor deze organisaties. Hoe kunnen bedrijven het beste de menselijke kant van duurzame verandering aanpakken?
Dat is juist. Datalekken worden vooral veroorzaakt door menselijke factoren als onachtzaamheid en kwade opzet. Zoals zo vaak is er geen panklare oplossing voor het voorkomen van datalekken. Het is wel van belang dat organisaties de hele gereedschapskist ondersteboven keren om het verlies van persoonsgegevens en andere vertrouwelijke informatie tegen te gaan. Het is dus niet voldoende om alleen het menselijke aspect in het oog te houden. Er is een mix van maatregelen nodig die varieert van het toepassen van autorisatieprincipes als need-to-know en het inrichten van toegangscontrole tot de implementatie van geavanceerde versleutelingstechnieken.
De belangrijkste maatregel heeft echter inderdaad met mensen te maken: dat is het aankweken van een cultuur van risicobewustzijn binnen organisaties. Medewerkers moet worden bijgebracht dat vertrouwelijke informatie een kostbaar goed is waar zorgvuldig mee om moet worden gegaan. Het management heeft een taak om openheid over de risico’s rondom gevoelige gegevens aan te moedigen en de eigen betrokkenheid daarbij uit te dragen.
Ook de overheid wordt verweten te weinig aandacht te schenken aan cybersecurity – van het beschermen van hun eigen diensten tot toezicht en naleving (bijvoorbeeld door middel van de Wet Meldplicht Datalekken). In hoeverre vormt cyber een bedreiging voor overheidsdiensten?
Binnen de diverse overheidsorganisaties bestaan grote verschillen in kennis en expertise op het gebied van cybersecurity. Dat vertaalt zich regelrecht in risico’s. Publieke organisaties die onvoldoende kennis en expertise in huis hebben, blijken kwetsbaar voor cyberaanvallen. Welbekend zijn de verhalen over het ontbreken van beveiligde verbindingen bij sommige overheidswebsites, zodat gevoelige gegevens zonder meer van de lijn geplukt zouden kunnen worden. Ook is gebleken dat onze persoonsgegevens niet overal even veilig worden opgeslagen. Overheden moeten dus meer investeren in maatregelen en meer investeren in eigen kennis en expertise op het terrein van cybersecurity.
Kijkend naar de toekomst, hoe denk je dat het cybercrime- en securitylandschap de komende jaren gaat veranderen?
De trends die we nu al zien zullen zich voortzetten. Malware zal steeds geavanceerder worden en ook steeds moeilijker op te sporen zijn. Cybercriminelen zullen steeds meer geduld tonen om de IT-infrastructuur binnen te dringen van organisaties waar echt iets te halen valt. Trajecten van meerdere jaren zullen daarbij geen uitzondering zijn. Cybercriminelen zullen ook steeds meer gebruik proberen te maken van frauduleuze interne medewerkers om hun praktijken vorm te kunnen geven.
Om tegengas te kunnen geven aan de toenemende cybercriminaliteit zal er op alle fronten flink geïnvesteerd moeten worden. Overheden moeten meer aan voorlichting doen en wetgeving sneller aanpassen. Organisaties moeten meer investeren in cybersecurity. Particulieren moeten zich meer bewust worden van de risico’s. Last but not least: op dit moment schieten internationale verdragen te kort om cybercriminaliteit over de grens adequater aan te kunnen pakken. Ook hier is dus nog veel te doen.
Tot slot, vanuit een persoonlijke noot, na zeven jaar bij verschillende consultancyorganisaties in loondienst en als zelfstandig consultant gewerkt te hebben, wat maakte dat je besloot om je aan Innopay te verbinden? Hoe heb je de eerste drie maanden in je nieuwe rol ervaren?
Als zelfstandig consultant miste ik steeds meer de kruisbestuiving met andere professionals. Af en toe kunnen sparren, van gedachten kunnen wisselen met gelijkgestemden lukt minder goed wanneer je als eenling opereert. Vandaar dat ik gevoelig was voor dat ene telefoontje van de recruiter die namens Innopay op zoek was naar iemand met mijn achtergrond. De eerste drie maanden bij Innopay heb ik als zeer dynamisch en positief ervaren. Voor ik het wist, was ik betrokken bij een hele stapel gecompliceerde projecten en initiatieven. Dat deed mij goed. Ik ben iemand die diversiteit en complexiteit nodig heeft. Klanten van Innopay weten ons al goed te vinden als het gaat om uitdagende en moeilijk op te lossen vraagstukken.
