Hoe zou je heel kort jullie bedrijf en diensten omschrijven?
Jan Martijn Broekhof: ‘Guardian360 is een Nederlands informatiebeveiliging-softwarehuis. Wij helpen managed serviceproviders, IT-dienstverleners, webapplicatie-ontwikkelaars en consultancy organisaties om meer controle te krijgen over hun informatiebeveiliging. Dit doen we via abonnementsdiensten waarmee zij hun klanten ondersteunen op de technische-, preventieve-, de proces en de detectiekant van informatiebeveiliging. En we doen dit over de as van mens, proces en technologie.’
Jullie staan vooral bekend om jullie scansoftware. Zou je kunnen zeggen dat dat jullie kroonjuweel is?
Broekhof: ‘Nee, het is vooral de combinatie van diensten in ons platform dat ons onderscheidt. Vulnerability scanning is zeker een belangrijk onderdeel, maar die scans voeden ook onze compliance module. Hierdoor kunnen we niet alleen technisch preventief inzicht bieden, maar ook organisaties ondersteunen om te voldoen aan normen en wetgeving zoals NIS2. We combineren dit met detectie van criminelen in netwerken, wat leidt tot een dashboard waarop diverse inzichten samenkomen.’
Zijn jullie vooral actief in bepaalde sectoren of is het heel uiteenlopend?
Broekhof: ‘Het is heel uiteenlopend. We richten ons vooral op Managed Services Providers die voornamelijk mkb-bedrijven bedienen. Ons eindklant portfolio bevat een breed scala van bedrijven, zoals administratiekantoren, fabrieken, grote webshops, en meer. Iedereen met kantoorautomatisering, een netwerk en/of een webapplicatie kan bij ons klant bij ons worden. We bedienen wel klanten die de basis al redelijk op orde hebben en die het belang van informatiebeveiliging inzien. Tegelijkertijd is onze prijsstelling passend voor een mkb-organisatie die geen groot budget voor informatiebeveiliging heeft.’
Kun je iets vertellen over de combinatie van modules die jullie gebruiken?
Broekhof: ‘We hebben klanten die hun IT-beheer uitbesteden aan partners die zorgen voor systeem- en netwerkbeheer. Veel van deze klanten horen over geavanceerde oplossingen zoals SIEM en SOC, maar kunnen die vaak niet betalen of hebben de mensen niet om ze te gebruiken. Wij bieden hier een oplossing hiervoor. We maken elke dag een volledige scan van de kantoorautomatisering omgeving. Dit geeft inzicht in meer dan 150.000 mogelijke kwetsbaarhedenkwetsbare plekken in de beveiliging van een netwerk, zoals zwakke wachtwoorden en nieuwe apparaten.’
‘Daarnaast bieden we inzicht in compliance met normen zoals NEN 7510, ISO 27001, en wetgeving zoals AVG en NIS2. Als er toch een crimineel een netwerk binnendringt, detecteren we dat snel en sturen een sms of e-mail alert om hoge schades te voorkomen. Binnenkort introduceren we ook onze mobile app, waarmee push messages ontvangen kunnen worden als er een alert is.’
Met de komst van NIS2 wordt jullie dienst nog belangrijker, toch? Vooral omdat bedrijven een meldplicht hebben.
Broekhoef: ‘Ja, dat klopt. Onze tooling is essentieel om datalekken te kunnen melden, maar we streven er natuurlijk naar om deze zoveel mogelijk te voorkomen. Met onze scans brengen we alle potentiële ingangspunten waardoor iets mis zou kunnen gaan in kaart, voordat er iets gebeurt. Omdat het geautomatiseerd is, is er weinig handwerk nodig, wat erg handig is gezien het personeelstekort op veel IT-afdelingen’.
Je bent ook betrokken bij Cyber Veilig Nederland. Kun je daar iets meer over vertellen?
Broekhof: ‘Ja, wij waren een van de acht partijen die aan de wieg stonden van Cyber Veilig Nederland. In 2017 merkten we dat er veel nieuwe toetreders op de markt van informatiebeveiliging kwamen. Het werd voor eindklanten steeds lastiger om het kaf van het koren te scheiden. Iedereen kon informatiebeveiligingsdiensten aanbieden, wat leidde tot een soort wildwestsituatie. We wilden de transparantie en kwaliteit in onze branche verhogen om klanten beter te laten kiezen en ze een goed gevoel te geven bij het selecteren van de juiste aanbieders.’
Wat heeft dat initiatief tot nu toe bereikt?
Broekhof: ‘Inmiddels zijn er meer dan 120 partijen lid van Cyber Veilig Nederland. We hebben een cyberwoordenboek uitgebracht om ingewikkelde informatiebeveiligingsterminologie naar normale mensentaal te vertalen. Ook hebben we een keurmerk voor pentesters ontwikkeld, waardoor een klant direct kan vragen of een aanbieder het keurmerk heeft.’
Jullie werken samen met Samen Digitaal Veilig en het NIS2 Quality Mark. Hoe kijken jullie hier tegenaan vanuit jullie expertise?
Broekhof: ‘Wat mij aanspreekt is dat bedrijven met dit keurmerk kunnen aantonen dat ze hun best doen om te voldoen aan nieuwe regels rondom cyberveiligheid zonder dat ze meteen een zware certificering zoals ISO 27001 moeten ondergaan. Het focust niet op bangmakerij, maar helpt bedrijven op een praktische manier hun beveiliging te verbeteren. Het is ook goed dat de RDI erachter staat.’
Wat vind je van het laddermodel van NIS2 Quality Mark?
Broekhof: ‘Het laddermodel is aantrekkelijk voor mkb-bedrijven omdat het hen stapsgewijze initiatieven biedt. Het laat zien dat je niet direct alles perfect hoeft te hebben, maar dat je kunt beginnen met een basis cyberhygiëne en vandaaruit kunt groeien. En dat het op een gegeven moment ook goed genoeg is. Dit model helpt klanten die vanaf nul beginnen of die al enige basis hebben en verder willen groeien naar een vollediger informatiebeveiligingsstatus.’
Grote bedrijven zullen nog steeds voor ISO 27001 normering kiezen, maar hoe zit het met kleinere toeleveranciers?
Broekhof: ‘Ja, voor die kleinere toeleveranciers, die misschien niet direct de middelen of de noodzaak zien voor een zware norm als ISO 27001, lijkt het NIS2 Quality Mark goed te passen. Hun dagelijkse business gaat voor, maar cybersecurity blijft belangrijk. Het Quality Mark biedt hun een haalbare manier om aan relevante beveiligingsstandaarden te voldoen zonder overweldigd te worden.’
De NIS2 regelgeving komt er hoe dan ook aan. Merk je dat dit leeft onder jullie klanten, of is er nog veel werk aan de winkel om hen voor te bereiden?
Broekhof: ‘Het leeft zeker, maar tegelijkertijd moeten we nog steeds hard werken om de boodschap op de juiste manier over te brengen. Veel ondernemers zijn nog steeds wat overrompeld door nieuwe reguleringen en wetgevingen. Ze hebben vragen als “Wie moet er nu precies voldoen, hoe regel je dat dan en wat gaat het allemaal kosten?” Daar moet nog veel over duidelijkheid over komen.’
Hoe ga je om met de zorgen van ondernemers en mkb’ers over regelgeving en de implicaties ervan?
Broekhof: ‘Als voorzitter van VNO-NCW in de provincie Utrecht spreek ik veel ondernemers. We proberen cyberveiligheid pragmatisch te benaderen door concrete tips en adviezen te geven zonder direct onze producten te verkopen of onmiddellijke compliance te beloven. Dat lijkt goed te werken. We stellen organisaties gerust en vertellen ondernemers dat ze niet direct zware certificeringen hoeven te ondergaan of bang moeten zijn voor boetes. Maar tegelijkertijd moeten ze wel aan de slag. NIS2 biedt namelijk kansen. Als je kunt laten zien dat je jouw zaken op orde hebt en je concurrent niet, dan heb je een voorsprong bij aanbestedingen. Dit onderscheid tussen bedrijven die wel en niet voldoen, zal op termijn het kaf van het koren scheiden.’