De digitalisering blijft zich razendsnel verderzetten. Naast de vele voordelen die daarmee gepaard gaan, krijgen bedrijven ook met enkele valkuilen af te rekenen. Welke zijn dit en hoe kunnen we hier een antwoord op bieden? Wij brachten vijf experten samen voor een open gesprek over de toekomst van IT en het belang van cyberveiligheid in dat evoluerende landschap.
Hoe kunnen bedrijven mee blijven met de snelle evoluties in de IT-wereld?
Danielle Jacobs, CEO Beltug: “Elk jaar vragen wij onze leden wat hun huidige prioriteiten zijn. Bij de meest recente bevraging zagen we dat er in de top tien maar liefst vijf te maken hebben cyber security.”
Antonietta Mastroianni, Chief Digital & IT Officer Proximus: “In de telecomsector is momenteel iedere operator aan het evolueren van klassieke telecom naar het aanbieden van ecosystemen voor B2C-klanten. Ze treden daarbij buiten hun kernactiviteiten en worden ook actief in gezondheid, financiën, energie,… Ook B2B-klanten willen steeds vaker volledig geïntegreerde en veilige end-to-endoplossingen die ook nog eens snel en gebruiksvriendelijk zijn.”
Ine Segers, Business Unit Manager Cyber Trust Devoteam Belgium: “Dé grote uitdaging voor veel bedrijven is om hun continuïteit te verzekeren. Tegelijk moeten ze hun concurrentievoordeel behouden. De vraag die velen zich stellen, is hoe ze dat op de efficiëntste en snelste manier kunnen doen. Het is in dat kader cruciaal dat ze zich laten adviseren door ervaren en gespecialiseerde partners.”
Jan De Blauwe, voorzitter Cyber Security Coalition en Managing Director NVISO: “Er is enerzijds een enorm potentieel voor bedrijven om hun diensten op een meer geïntegreerde manier aan te bieden. Anderzijds kunnen backofficeprocessen via digitalisatie en automatisatie heel wat efficiënter worden gemaakt. Zeker in het licht van de huidige inflatie en energiecrisis kijken veel bedrijven naar IT als een middel om hun groei te blijven verzekeren.”
Egide Nzabonimana, Voorzitter ISACA Belgium en Co-Founder SOCRAI: “Er moet een digitaal vertrouwen worden ingebouwd in alle interacties met klanten, partners en leveranciers, maar ook in alle transities waar externe partijen bij betrokken worden is dat noodzakelijk. Digitaal vertrouwen zal ervoor zorgen dat bedrijven veerkrachtig zijn.”
Danielle Jacobs: “Bedrijven zoeken ook naar manieren om hun medewerkers bewust te maken en scherp te houden wanneer het op cyberveiligheid aankomt. Daarnaast is er in veel bedrijven nog een grote kloof tussen de CIO en het bestuur. CIO’s hebben vaak moeite om uit te leggen waarom het budget voor cyberveiligheid zou moeten worden verhoogd.”
Antonietta Mastroianni: “De rol van IT is compleet aan het veranderen. Het neemt nu een meer centrale en zelfs leidende rol op in het bedrijf. Niet iedereen is klaar voor die shift, maar toch zal het gebeuren.”
Waar is de moderne IT-klant vooral naar op zoek?
Antonietta Mastroianni: “In de telecomsector is men vooral op zoek naar geïntegreerde diensten, maar ook unified communications, procesautomatisatie, low latency technologies en Internet of Things (IoT) zijn momenteel hot topics. Dat vereist uiteraard wel de juiste steun. Telecom- en IT-bedrijven kunnen hier een belangrijke rol in opnemen om dat veilig te laten verlopen.”
Danielle Jacobs: “Ook in onze survey zagen we dat IoT momenteel al in de top tien staat van prioriteiten, en ieder jaar neemt het belang ervan toe. Veiligheid speelt uiteraard ook op dat vlak een cruciale rol, want alles zal met elkaar worden geconnecteerd.”
Ine Segers: “Het brengt vooral een ander soort van bedreigingen met zich mee. Aangezien alles gedigitaliseerd en geautomatiseerd is, kunnen criminelen je infrastructuur makkelijk misbruiken. Soms zie je nu eenmaal niet meer waar de potentiële bedreigingen en zwakheden zich bevinden. Dat vergt een compleet nieuwe manier van het beoordelen van en omgaan met risico’s, ook vanuit het bestuur.”
Antonietta Mastroianni: “Security as a Service zal in belang toenemen. Bedrijven kunnen hierdoor steunen op een team van experten, zowel in het geval van een cyberaanval of crisis als voor preventie en detectie.”
Danielle Jacobs: “Voor de interne IT’ers in een bedrijf zal dit vaak te complex worden. Daarom zal er inderdaad een grote shift zijn naar het uitbesteden van cyberveiligheid aan externe experts.”
Jan De Blauwe: “Veel bedrijven denken momenteel na over wat ze zelf nog willen doen en wat ze liever uitbesteden. Enerzijds gaat het hier om een toolset die extreem krachtig is, die nauw verbonden is met de kern van het bedrijf en die dus een grote strategische waarde heeft. Anderzijds outsourcen bedrijven vaak heel belangrijke managementverantwoordelijkheden naar derde partijen, zodat ze zich meer kunnen focussen op de functionele laag die ze daarop kunnen bouwen.”
Wat zijn vandaag de risico’s op vlak van cyberveiligheid?
Ine Segers: “Cyberrisico’s gaan in feite steeds over blootstelling. Het moeilijkste is om te identificeren waaraan je blootgesteld bent. Vervolgens moet je bepalen wat de impact is van die blootstelling. Het heeft immers geen zin om veel geld uit te geven aan risico’s die weinig impact hebben. Op basis daarvan kan je dan je riskmanagementstrategie uitbouwen.”
Egide Nzabonimana: “Bedrijven moeten dat niet enkel voor zichzelf doen, het is hun plicht naar alle partners en klanten toe om ervoor te zorgen dat er vertrouwen kan zijn in hoe ze omgaan met digitalisering en hun data. Alles staat met elkaar in interactie. Wie zijn data ergens achterlaat, moet zeker kunnen zijn dat die op de juiste manier wordt behandeld. Bedrijven moeten dus op elk moment waken over de integriteit daarvan en de juiste voorbereidingen treffen op vlak van risicomanagement indien er toch iets fout loopt. Dat is trouwens ook cruciaal voor hun reputatie. Blijkt hier niet voldoende aandacht aan te zijn besteed, dan is het vertrouwen voor altijd verbroken. En je reputatie herwinnen, is een moeilijke én kostelijke zaak.”
Danielle Jacobs: “Je moet als bedrijf enerzijds de veiligheid van je eigen systemen in orde hebben, maar je moet er ook op toezien dat je IT-provider de gepaste maatregelen neemt. Dat heeft inderdaad te maken met vertrouwen.”
Ine Segers: “De meeste recente cyberaanvallen waren allemaal gebaseerd op de samenwerking tussen bedrijven en derde partijen. De aanval werd daarbij uitgevoerd via de derde partij.”
Antonietta Mastroianni: “Zeker voor de bedrijven met heel wat legacysystemen vormt dat een grote uitdaging. Hun data bevinden zich op diverse locaties en zijn vaak verzameld in tijden dat er nog minder strenge regels golden. Veel bedrijven, waaronder ook Proximus, proberen daarom om over te schakelen van DevOps naar SecOps. Daarbij staat cyber security in elke fase van de levenscyclus van producten of projecten centraal. Het is extreem belangrijk om security vanaf het begin mee te nemen, maar ook in bestaande omgevingen moet je goed onderzoeken of er ergens mogelijke bedreigingen zijn.”
Wat is de rol van de mens vs. die van automatisering en artificiële intelligentie?
Ine Segers: “Als je enkel vertrouwt op artificiële intelligentie (AI) en automatisatie zullen die valse positieven identificeren die eigenlijk geen probleem vormen. Er zijn dus altijd mensen nodig die kunnen valideren wat geautomatiseerde systemen doen.”
Egide Nzabonimana: “Uiteindelijk is AI slechts een tool die organisaties kan helpen om de juiste beslissingen te maken en sneller zaken te detecteren, maar de menselijke factor blijft essentieel bij het maken van belangrijke beslissingen. Door de digitalisering moeten bedrijven matuurder worden, zowel wat betreft hun medewerkers als hun processen. Enkel dan kunnen ze, wanneer dat nodig is, snel en correct reageren. 100% veiligheid bestaat immers niet.”
Jan De Blauwe: “AI is niet enkel een instrument dat cyberveiligheidsteams kan helpen. Het kan uiteraard vooral ook worden aangewend om de business te laten groeien. Wanneer bedrijven dit echter beginnen te gebruiken, moeten ze er eerst voor zorgen dat veiligheid deel uitmaakt van het design én dat de medewerkers getraind zijn in het omgaan met risico’s en het herkennen van een incident.”
Danielle Jacobs: “De hoeveelheid aan data blijft maar groeien, maar tegelijk is de grote vraag vaak wie eigenaar is van die data. Met wie deel je je data en wie is er verantwoordelijk voor? We hebben al meermaals meegemaakt dat bedrijven een mooie AI-software laten ontwikkelen door een partner, die achteraf dan op basis van de inzichten uit die samenwerking de software verder verkoopt aan de concurrenten van de klant. Het delen van data, bijvoorbeeld in een ecosysteem, vormt dus een enorme uitdaging.”
Antonietta Mastroianni: “Ook met AI blijven mensen voorop staan, maar het kan uiteraard een enorme meerwaarde betekenen in het dagelijkse leven van die mensen. Zo zullen zij zich meer kunnen focussen op creatieve taken, terwijl AI eerder de repetitieve taken overneemt. De mindset van de mensen zal dan wel moeten veranderen. In plaats van één job te leren en die dan steeds op dezelfde manier te blijven uitoefenen, zullen mensen eerder actief participeren in de innovatie en de creativiteit van de oplossing.”
Hoe belangrijk zijn regels en richtlijnen?
Antonietta Mastroianni: “Bij Gaia-X werken we momenteel aan een verfijning van de richtlijnen opdat data niet op de foute manier worden gebruikt. Ook werken we aan de creatie van veilige dataspaces waar bedrijven die elkaar vertrouwen op vlak van security en privacy de krachten kunnen bundelen.”
Danielle Jacobs: “Regelgeving wordt alsmaar belangrijker in de digitale wereld. Security en privacy zijn erg veelzijdig geworden, en dat is nieuw voor bedrijven.”
Antonietta Mastroianni: “Vandaag is iedereen een concurrent van iedereen. We bieden bijvoorbeeld mogelijkheden voor onze klanten in de financiële/bancaire sfeer. Maar Proximus zet ook ten volle in op energie met zijn oplossingen om het energiebeheer te monitoren en te verminderen. Tegelijk gaan we enorm veel partnerships aan, zelfs met concurrenten. Het landschap is dus erg complex geworden. Regulering op vlak van security en privacy is daarom erg belangrijk. Veel mensen zijn zich immers zelf niet bewust van de waarde van de data die ze genereren.”
Danielle Jacobs: “Samen met de CIO-associaties van andere landen geeft Beltug input aan de Europese Commissie voor het vormgeven van de Data Act. Die zal bepalen wie welke verantwoordelijkheid draagt en hoe data kunnen worden gedeeld. Maar we zullen ook modelcontractclausules voorstellen zodat niet iedereen het wiel opnieuw moet uitvinden.”
Ine Segers: “De regelgeving zegt vaak wat er moet worden gedaan, maar niet hoe dat moet gebeuren. Dat maakt het erg moeilijk voor bedrijven. Een goed voorbeeld daarvan is de GDPR. De regels daarvan zijn duidelijk, maar hoe kan je je er als bedrijf aan houden?”
Egide Nzabonimana: “Eigenlijk gaat dit allemaal over data-integriteit. Bedrijven die samenwerken en daarbij data delen, moeten op dezelfde lijn zitten over welke data op welke manier kan worden gebruikt. Ze moeten op een even hoog beveiligingsniveau zitten. Regulering kan één van de oplossingen zijn hiervoor, maar innovatie is minstens even belangrijk. Alles evolueert zo snel dat je als bedrijf de dingen ook anders moet aanpakken. Voor elk bedrijf is dat trouwens anders, waardoor je in een ecosysteem verschillende werkwijzen zal tegenkomen.”
Ine Segers: “De digitale identiteit speelt hierin een sleutelrol. Daarmee kan je duidelijk aangeven welke data open zijn en dus mogen worden gebruikt door derde partijen. Het laat je daarnaast ook toe om de toegang tot bepaalde data te autoriseren.”
Antonietta Mastroianni: “Het lijkt me erg belangrijk om, gezien de evolutie richting ecosystemen, één digitale identiteit te hebben. Zo kan je je veilig voelen. Terwijl het vroeger eerder ging over de veiligheid van het netwerk, gaat het nu over de applicaties waarmee je toegang krijgt tot het netwerk.”
Ine Segers: “Er is inderdaad een shift van ‘on premise’ – waar je strikte grenzen hebt – naar een identiteit die toegang krijgt tot bepaalde data, waar die zich ook bevindt.”
Zouden certificaties kunnen helpen om het digitale vertrouwen te garanderen?
Egide Nzabonimana: “Het zou zeker een goede stap kunnen zijn. Ze garanderen immers dat alle grote en kleine bedrijven met dat certificaat op hetzelfde niveau zitten. De Cybersecurity Act zal op dat vlak alvast voor een grote shift zorgen bij bedrijven. Een certificaat houdt in dat ieder bedrijf weet welke overeengekomen stappen het moet ondernemen wanneer het fout gaat. Het zorgt er ook voor dat iedereen dezelfde taal spreekt. Maar het helpt ook om de maturiteit van de community en het ecosysteem te verhogen.”
Danielle Jacobs: “In het licht van Europese Cybersecurity Act hadden we hierover gesprekken met andere Europese associaties. We geloven zeker in certificatie, maar willen tegelijk ook niet dat te hoge standaarden innovatie bemoeilijken. We werken momenteel aan een checklist met vragen over cyberveiligheid die bedrijven kunnen stellen aan hun IT-provider.”
Ine Segers: “Certificatie is in feite een framework dat je ondersteunt om op een matuur niveau te werken.”
Egide Nzabonimana: “Bedrijven zijn met elkaar geconnecteerd. Met ISACA verzamelen we wereldwijd meer dan 165.000 mensen die in diverse omgevingen en bedrijven werken. Onze leden delen kennis en ervaringen met elkaar, wat professionals enorm helpt om vooruit te blijven gaan. We gaan daarmee verder dan certificaties, die inderdaad eerder een framework vormen dat ieder bedrijf anders kan toepassen. Het zorgt er ook voor dat iedereen dezelfde taal spreekt.”
Antonietta Mastroianni: “Gaia-X werkt momenteel aan het definiëren van labels voor dataspaces. Er zullen duidelijke regels gelden om binnen een bepaald niveau te vallen. Op die manier kunnen partners die op hetzelfde niveau zitten op vlak van veiligheid en privacy elkaar in alle vertrouwen toelaten in hun dataspace.”
Jan De Blauwe: “Certificatie is misschien geen perfecte tool, maar het kan wel zeer waardevol zijn. Het helpt om vertrouwen te bouwen. Zonder het framework van certificaties zou het ook heel complex zijn om transacties met andere partijen te standaardiseren. Je zou telkens terug vanaf nul moeten beginnen. Maar het moet dan wel internationaal gebeuren, het heeft weinig zin om deze lokaal op te stellen.”
Danielle Jacobs: “De NIS Directive zal in alle landen van de Europese Unie worden ingevoerd. Uiteraard kan ieder land er wel deels zijn eigen invulling aan geven.”
Egide Nzabonimana: “We moeten ervoor zorgen dat professionals dezelfde taal spreken en elkaar makkelijk begrijpen. Daarom werken we bij ISACA aan certificaties waardoor bedrijven zeker kunnen zijn dat zij de nodige kennis en vaardigheden hebben. Er zullen verschillende certificaties zijn voor ieder domein: governance, security, risk management,… Hierdoor ontstaat een gemeenschappelijk framework en zit iedereen op dezelfde lijn over de verwachtingen. Daarnaast zetten we in op het delen van content. In dat kader werken we nauw samen met de Cyber Security Coalition en Beltug. Tot slot tekenen alle leden van ISACA een ethische code die als doel heeft om meer vertrouwen te brengen in de community.”
Hoe kunnen we alle cybersecurityprofessionals op hetzelfde niveau brengen én houden?
Ine Segers: “Het is zeker een uitdaging om mensen up-to-date te houden rond nieuwe technologieën. Het zou in dat kader een enorme meerwaarde zijn indien alle vendors dezelfde taal zouden spreken. Dat is nu totaal niet het geval. Bedrijven kunnen hierdoor heel moeilijk verschillende oplossingen met elkaar vergelijken. Er is nood aan een framework met een gedeelde terminologie. Zo zullen bedrijven alles makkelijker kunnen begrijpen en evalueren, en zullen consultants sneller mee kunnen zijn met nieuwe technologieën.”
Jan De Blauwe: “Bij NVISO leggen we tijdens het rekruteringsproces cases en uitdagingen voor aan kandidaten waarmee zij hun vaardigheden kunnen demonstreren. Bovendien investeren we sterk in on the job-training. Maar het blijft natuurlijk een uitdaging. Toch zie ik het liever zo dan een bedrijf dat op enkele interne IT-mensen steunt waarvan het veronderstelt dat het ook experten op het vlak van cybersecurity zijn. Onze experten richten zich voltijds op dit domein, waardoor ze uiteraard ook veel meer relevante vaardigheden ontwikkelen.”
Danielle Jacobs: “Het maakt in die zin niet uit hoe groot of klein je bedrijf is. Het is vooral belangrijk op welke mensen je kan rekenen voor je cyber security.”
Ine Segers: “Veel hangt ook af van hun passie. Hands-ontraining en een omgeving waar zij continu kunnen blijven leren, zijn cruciaal.”
Egide Nzabonimana: “Bij de verschillende events die we organiseren, merken we dat mensen elkaar uitdagen en van elkaar leren. We moeten mensen van verschillende bedrijven dus met elkaar connecteren, zodat ze oplossingen kunnen bedenken en ideeën kunnen uitwisselen over gemeenschappelijke uitdagingen. Dat helpt om hun vaardigheden te verbeteren.”
Ine Segers: “Hackathons en ‘capture the flag’-competities zijn heel interessante manieren om mensen samen te brengen en uit te dagen.”
Wat zal de impact van 5G zijn?
Antonietta Mastroianni: “Bij 5G en glasvezel is het niet zozeer het netwerk op zich dat een grote impact heeft, maar wel het enorme aantal mogelijkheden waar we ons zelfs vaak nog niet bewust van zijn. 5G is ongetwijfeld een technologie die onze manier van leven volledig zal veranderen, denk maar aan slimme steden, zelfrijdende wagens, de gezondheidszorg, energieconsumptie,… In al die domeinen zal de beperking van de latency wegvallen. Reacties zullen onmiddellijk gebeuren en betrouwbaar zijn.”
Danielle Jacobs: “5G is de infrastructuur van de toekomst. Er zijn enorm veel digitale innovaties, maar het is ook cruciaal dat we erop kunnen vertrouwen. Dat vereist een gegarandeerde communicatie waarbij geen uitval mogelijk is. We kunnen ons momenteel zelfs nog niet voorstellen welke mogelijkheden er alleen al binnen de B2B-omgeving zullen zijn. Het ongeziene kwaliteitsniveau en het wegvallen van de latency zullen werkelijk voor een revolutie zorgen.”
Antonietta Mastroianni: “Ik herinner me dat er twintig jaar geleden al ongelofelijk innovatieve technologieën en ideeën bestonden, maar wegens een gebrek aan snelheid en betrouwbaarheid in de communicatie was het nog te riskant om deze te lanceren. Het wegvallen van die limieten zorgt nu voor haast onbegrensde opportuniteiten.”
Danielle Jacobs: “Na het aflopen van de 5G-veilingen is dé grote vraag bij bedrijven wat er zal gebeuren op de markt, en wanneer dat zal gebeuren.”
Ine Segers: “5G zal niet enkel de wereld veranderen, maar ook de risico’s en hoe we die vanuit een cybersecurityperspectief moeten behandelen. Cybercriminelen zullen nieuwe manieren zoeken om hun slag te slaan, dus we moeten ons daarop voorbereiden.”
Danielle Jacobs: “Meer data en meer connecties zorgen inderdaad voor nieuwe risico’s.”
Antonietta Mastroianni: “Er zijn ook heel wat vragen over ethiek. Machines moeten immers instructies krijgen. Mensen blijven zichzelf altijd uitdagen, maar machines doen dat niet.”
Ine Segers: “Betrouwbaarheid is cruciaal. Als er toch iets gebeurt, zal de impact vaak enorm zijn.”
Jan De Blauwe: “5G is een fantastische innovatie, maar we moeten ook waakzaam zijn over onze enorme afhankelijkheid hiervan. De onderliggende structuur moet daarom zeer betrouwbaar zijn.”
Antonietta Mastroianni: “Wanneer een machine voor erg gevoelige taken afhankelijk is van een netwerk, dan zijn de betrouwbaarheid, snelheid en precisie van dat netwerk inderdaad cruciaal.”
Egide Nzabonimana: “5G creëert vooral heel wat opportuniteiten. Het is enorm snel, waardoor de impact bij een incident ook wel veel groter kan zijn. Bovendien gaat het over veel kleine devices en applicaties die allemaal onderling geconnecteerd zijn. We moeten dus waakzaam zijn voor wat kan gebeuren en hoe we daarop kunnen reageren. Het komt dus aan op een goede voorbereiding en een design waar veiligheid integraal deel van uitmaakt.”