Ralf Bardoel en Daan Wagenaar, oprichters van CREDS, over hoe om te gaan met de Digital Operational Resilence Act (DORA), de nieuwe Europese verordening die ervoor moet zorgen dat organisaties weerbaarder worden tegen cyberdreigingen.

Comply or die; de oplossingen van CREDS

Sinds januari 2023 is de Digital Operational Resilence Act (DORA) van kracht; een Europese verordening met als uiteindelijke doel dat financiële organisaties hun IT-risico’s beter gaan beheersen en weerbaarder worden tegen cyberdreigingen. Want duidelijk is dat er een scheefgroei heeft plaatsgevonden tussen toenemend IT-gevaar (en niet alleen vanuit China, Rusland, Noord- en Zuid-Korea en Iran) en de ontwikkeling van de beveiligingsprocedures.

DORA heeft als doel technologische risico’s te ondervangen voor bijvoorbeeld aanbieders van crowdfundingsdiensten, verzekeringstussenpersonen, beleggingsinstellingen en handelsplatformen. Om digitale robuustheid te garanderen. De verordening richt zich op aanscherpen van risk management, IT-incidentbeheersing, toezicht op kritieke IT-dienstverleners, governance & organisatie én testen.

Dat laatste is nou nét waar CREDS – expert in offensive security – in excelleert.

Ondernemingen hebben tot 17 januari de tijd om aan de nieuwe Europese regelgeving te voldoen

Ralf Bardoel – samen met Daan Wagenaar oprichter van CREDS – lichten toe: “Vanaf 17 januari 2025 moeten de regels vervolgens geïmplementeerd zijn in elke zogeheten voor de maatschappij ‘vitale’ organisaties. Maar die vitale sectoren worden steeds verder uitgebreid, ook richting midden- en kleinbedrijf met 25 of meer mensen aan boord. AFM en DNB houden gezamenlijk toezicht op naleving van de verordening.”

Uitgebreide penetratietesten

CREDS richt zich daarbij op uitgebreide penetratietesten. Wat vindt een cliënt belangrijk, wat is de veiligheidsstatus van de kroonjuwelen van de organisatie, wat nu eigenlijk te doen en wanneer? Want de DGA blijkt in de praktijk vaak mijlenver verwijderd van het besef van risico’s die zijn bedrijf loopt. Van actuele gevaren die door het ART-platform van CREDS minutieus kunnen worden gedetecteerd.

“Het ART-platform van CREDS doet aan waarheidsbevinding, maakt een aanvalspad richting die kroonjuwelen, waarna een beveiligingsstrategie, een duurzame en blijvende oplossing, wordt uitgewerkt en geboden”, zegt CEO Ralf Bardoel.

Dus geen pleisters plakken, maar zoeken naar de reden waarom het mis ging. En voorkomen dat het nóg eens gebeurt.

Recent zag CREDS in Nederland veel hacks in de transport sector. “Dat soort incidenten, een snel groeiende olievlek, helpt om de bewustwording te vergroten”, aldus Bardoel. “DORA gaat veel gedetailleerder in op de risico’s dan we tot dusver hebben ervaren. Rule based in plaats van principial based. Het vrijblijvende is er, zeg maar, vanaf. Dat doekje voor het bloeden, is niet meer genoeg. En dat alles geldt ook voor bijvoorbeeld Amerikaanse bedrijven met Nederlandse klanten.”

Founders zijn vaak niet bang voor cyber aanvallen, maar hun IT-leveranciers in de regel wel. Zij hebben meerdere klanten en ervaren het als uiterst pijnlijk wanneer de cyber security intern niet op orde blijkt. IT is immers hún vak, hún specialisme.

Een illusie dat je bij een aanval niets vindt - Ralf Bardoel

“Tja, het is moeilijk om al die kennis in huis te hebben, als je kleiner bent dan de Capgemini’s van deze wereld”, aldus Ralf Bardoel. “Wij zetten ons tests in en doen dat met een positieve insteek. ‘Wíj gaan je helpen!’ En het is een illusie om te denken dat je bij een ‘aanval’ niets vindt. Maar leuk is het natuurlijk niet om dat vervolgens te moeten constateren.”

Steeds belangrijker bij fusies en overnames: hoe staat het met de cyber risico’s bij een over te nemen partij? Met als direct gevolg, het navenant belangrijker worden van de cyber due diligence. Bevinden zich cyber security-lijken in de kast? En hoe kwalificeer je die, hoe staat het met de verhouding kosten/baten, wat is de impact op de kroonjuwelen van de gehele organisatie? Als een over te nemen bedrijf de veiligheid niet voor elkaar heeft, loopt het moederbedrijf gevaar. Bijvoorbeeld pensioenfondsen, die investeren in derde partijen. DORA vereist – en dat alles al heel snel – de status van de ketenbeveiliging en die van de kritieke ketenpartners.

De experts in offensive security van CREDS werken onder andere samen met adviesbureaus in de financiële sector, met name bureaus voor de accountantspraktijk en het mkb. Doel is dat bedrijven in control kunnen komen, dan wel de huidige governance naar een hoger niveau weten te tillen. Adviesbureaus brengen cliënten in contact met CREDS, waarna Bardoel en Wagenaar onderzoek doen naar wat nu eigenlijk de kroonjuwelen van een organisatie zijn en hoe die veilig te stellen.

Ralf Bardoel: “Belangrijk is het om geen geld te besteden aan zaken die in de praktijk alleen maar tijdverspilling zijn. Met ons Automated Red Teaming (ART) platform testen we de cyberweerbaarheid van organisaties door echte aanvallen uit te voeren. Qua werkwijze en visie vullen CREDS en onze cliënten elkaar feilloos aan.”

Positieve impact op de maatschappij

Beide oprichters benadrukken dat bij hun bedrijfsvoering het maken van positieve impact op de maatschappij zwaar meetelt. Zo werkt CREDS met cliënten samen in diverse maatschappelijk-sociale projecten.

Mensen enthousiast maken, kennis overbrengen van hacking en hen daarbij op het rechte pad houden of brengen, dat vinden we belangrijk.

Eén van de partijen die worden ondersteund is bijvoorbeeld het in Amersfoort gevestigde ITvitae, in 2013 opgericht door de sociaal ondernemers Frans de Bie en Peter van Hofweegen. Zij hebben beiden sterke maatschappelijke betrokkenheid en zien met ITvitae kansen om talenten met hoog functionerend autisme of hoogbegaafdheid – vaak uitgevallen in het reguliere onderwijs omdat daar te weinig rekening wordt gehouden met autismeprofielen – perspectief te bieden en tot hun recht te laten komen op de oververhitte ICT-arbeidsmarkt.

“Wij hebben al een aantal stagairs van ITvitae aan boord gehad”, vertelt Ralf Bardoel. “Waar het om gaat is, zo denken wij, dat je er als organisatie voor openstaat anderen te helpen, vérder te helpen. Hoe mooi is dat?”

Nog zo’n prachtig initiatief waar CREDS in optrekt, is het in 2013 opgerichte Quiet, stichting met als doel het verzachten van armoede en het versterken van mensen. Quiet vraagt structureel aandacht voor armoede in Nederland en brengt onder andere de glossy Quiet 500 uit, met een knipoog naar – en als tegenhanger van – de Quote 500. Inmiddels kan de stichting bogen op zo’n 13 Quiet Communities, verspreid over heel Nederland. Waarbij meer dan 4000 leden inspirerende verhalen uitwisselen over wat armoede in het dagelijkse leven met hen doet.

Ralf Bardoel en Daan Wagenaar benadrukken dat al die maatschappelijk-sociale initiatieven gedaan kunnen worden ‘dankzij facturen die we wél sturen, naar cliënten met wie het heel goed gaat’. “Want natuurlijk moet je de boel financieel draaiende houden”, glimlacht Ralf Bardoel. “Samen werken we met ongeveer twintig fondsen om dat te bewerkstelligen.”

Ralf Bardoel: “Kijk, een verzekering tegen cybercrime zorgt er zeker niet automatisch voor dat een aanval een week later niet nóg eens wordt ingezet…” En dus is testen, zo is de overtuiging van beide CREDS-oprichters, de beste manier om cybercrime tegen te gaan en uiteindelijk te neutraliseren. “Je hoeft natuurlijk ook weer geen Fort Knox te worden, maar verbetering – zo zien wij in de dagelijkse praktijk – is wel degelijk pure noodzaak”, aldus Bardoel. “Pas als cybersecurity basishygiëne wordt, is het breed geaccepteerd.”

De financiële pers berichtte eerder dit jaar dat DGA’s in de toekomst mogelijk persoonlijk aansprakelijk kunnen worden gesteld als hun bedrijven cyber security niet op orde hebben. “Bij CREDS kregen we vervolgens onmiddellijk telefoontjes wat te doen”, reageert Ralf Bardoel. “De financiële sector wordt steeds afhankelijker van techbedrijven voor dienstverlening. Dat maakt diezelfde sector kwetsbaar voor onderliggende problemen met technologie, zoals dus zo’n cyberaanval.”