De naar de VS uitgeweken Belg Maarten Van Horenbeeck leidt vandaag de cybersecurityinspanningen van Adobe. We spreken met hem over de uitdagingen in het landschap, de impact van AI en hoe je het van securityconsultant uit Herselt tot CISO van een van de grootste softwarehuizen ter wereld schopt.
Je bent begonnen bij Ubizen, vandaag ben je CISO bij Adobe. Hoe evolueer je naar zo’n rol?
VAN HORENBEECK: Ik wou vooral doorheen de jaren grotere problemen oplossen en dat kan je niet alleen. Security is teamwork, tussen mensen, bedrijven en overheden. Voor de dingen die ik wou doen had je een team nodig.
Een tweede aspect is dat ik altijd op zoek ga naar dingen die ik nog niet heb gedaan. Toen ik bij Microsoft begon, werkte ik op application security, bij Google werkte ik vooral op public key infrastructure, zoals authenticatie en web certificates. Dat zijn heel andere skillsets maar het heeft me veel bijgebracht. Ook heb ik daar compliance leren kennen, waar ik toen nog niet zo’n specialisatie in had. Al die rollen hadden een iets andere insteek en dat heeft er toe geleid dat ik in het werk van een CISO ben kunnen groeien. Had ik maar één specialisatie gehad, dan zou het veel moeilijker geweest zijn om succesvol te zijn in deze rol.
Is het landschap en het beroep van een cybersecurity verantwoordelijke fel veranderd?
VAN HORENBEECK: Toen ik bij Ubizen begon waren er nog niet veel experts in verschillende domeinen. Als een klant naar ons kwam met een probleem dan was het vaak de eerste keer dat we dat zelf zagen en dan moet je als security professional heel breed en multidisciplinair oplossingen bedenken in verschillende sectoren. Dat was ook voor een deel de kracht van Ubizen in België, het was een van de weinige plekken waar je die ervaring kon opdoen.
De echte waarde van een securityteam is de mogelijkheid om multidisciplinair te zijn
Vandaag is dat helaas anders. Studeer je af, dan is de vraag snel wat je specialiteit is: ga je in een SOC werken? Ga je op identiteit focussen? Of iets anders? Je moet snel kiezen. Dat probeer ik zelf te counteren met mijn teams. Zowel bij mijn vorige werkgever als hier bij Adobe geven we veel aandacht aan ons internship programma. Mensen die van de schoolbanken komen, geven we de kans om verschillende domeinen in security te proberen zodat ze weten wat hen bevalt. De echte waarde van een securityteam is de mogelijkheid om multidisciplinair te zijn.
Adobe is vooral bekend als de maker van de PDF en een uitgebreide suite aan creativiteitstools zoals Photoshop, InDesign, Premiere, After Effects, Dreamweaver en vele anderen. Het beursgenoteerde bedrijf telt vandaag meer dan dertigduizend werknemers en haalde afgelopen fiscaal jaar een omzet van 21,51 miljard dollar.
Is er vandaag meer aandacht voor de stem van de CISO?
VAN HORENBEECK: De meeste bedrijven van onze grootte erkennen de waarde van een CISO. Zelf rapporteer ik aan de CFO maar ik heb in verschillende bedrijven verschillende structuren gekend en je werkt niet voor één executive maar voor het hele bedrijf. Je moet je stem verheffen bij alle leiders in een bedrijf. Of dat nu de Chief People Officer is, de Chief Legal Officer, de CEO of anderen, onze rol is dat het bedrijf goede beslissingen neemt op vlak van security en dat wil zeggen dat je met iedereen moet kunnen samenwerken.
Nooit ophouden met te dromen over de dingen die je wil verwezenlijken
Wat zou je meegeven aan jonge mensen als carrièreadvies?
VAN HORENBEECK: Nooit ophouden met te dromen over de dingen die je wil verwezenlijken. We krijgen vaak een ‘neen’ en soms geef je dan op, maar het is geen slecht idee om een beetje met je hoofd in de lucht te blijven en na te denken over wat je zou kunnen doen. De paar keer dat ik spijt heb gehad van een beslissing was omdat ik neen zei tegen zaken die eigenlijk een mooie opportuniteit waren geweest om bij te leren en te groeien als persoon.
Zijn die opportuniteiten er nog in de VS op dit moment?
VAN HORENBEECK: Ik ga het niet over politiek hebben want dan kunnen we uren bezig zijn. Maar een land is nooit puur de regering. Het zijn de mensen die er werken, hoe zij nadenken over de problemen, hoe ze samenwerken. Op dat vlak gaat Amerika altijd een land zijn met opportuniteiten om dingen te doen die op andere plaatsen moeilijker gaan. Door de creativiteit van mensen, omdat verschillende soorten mensen samenkomen om problemen op te lossen. Dat blijft.
Ontwikkelen jullie ook zelf tools voor intern gebruik of is het vooral oplossingen aankopen en integreren?
VAN HORENBEECK: Beiden. Voor bepaalde oplossingen gaan we naar de markt omdat er bedrijven zijn die er meer expertise in hebben in een specifiek securitydomein. Wat ze zelf ontwikkelen zijn vaak zaken die heel dicht zitten bij hoe onze ontwikkelaars werken, maar we gaan die zelf niet verkopen als securityproducten.
Heeft Adobe een eigen cloudomgeving of zit dat binnen één of meerdere hyperscalers?
VAN HORENBEECK: We doen beiden, het is een mix van die twee. Ik heb zelf geen sterke mening over multicloud. Het heeft voor- en nadelen en als je die abstractie doet dan moet je er ook voor zorgen dat je teams effectief met die verschillende vendors kunnen werken. Veel hangt af van de oplossing die je bouwt, het bedrijf dat je bent en de capaciteiten die je in huis hebt.
Maarten Van Horenbeeck begon zijn loopbaan bij het Belgische Ubizen (later omgedoopt tot Cybertrust) en verkaste nadien naar Seattle om voor Microsoft te werken. In de jaren nadien werkte hij in verschillende cybersecurityrollen voor Google, Amazon, Fastly en Zendesk. Vandaag woont hij in San Francisco en is hij sinds 2022 de Chief Information Security Officer van Adobe.
De cloud zorgt voor eenvoudigere integraties. Je kan oplossingen makkelijker aan elkaar koppelen, dat maakt het ook complexer om dingen te beschermen. Maar ik zeg er wel bij dat veel van de oudere problemen ook zijn verkleind. Een cloudprovider heeft veel meer zicht op misbruik op hun platformen, wanneer er dingen gebeuren die niet normaal zijn. Een probleem identificeren en daar actie op ondernemen gebeurt veel sneller.
Is er een wisselwerking tussen de security van Adobe als bedrijf en de producten die security by design moeten hebben? Of kan je hetzelfde doen in een ander bedrijf?
VAN HORENBEECK: Daar is een heel grote link tussen de twee en ik spendeer een groot deel van mijn tijd op beiden. We moeten het bedrijf beveiligen om dan ook onze producten te kunnen beveiligen. Als dat eerste niet lukt, zijn er ook potentiële problemen met het tweede. Tegelijk moet je ook de verwachtingen van klanten inlossen met je applicaties. Die klanten hebben hun eigen security programma’s en ons doel is dat onze producten binnen die programma’s hun verwachtingen inlossen.
Hoe zorg je bij nieuwe producten of functies dat alles veilig blijft?
VAN HORENBEECK: Wat wij, en dan bedoel ik de hele cybersecurity sector, veel doen is threat modeling. Als ontwikkelaars een nieuwe functie of een nieuw product bouwen dan gaan we dat team laten nadenken over de security risico’s. Moeten er twee systemen met elkaar praten, dan wordt de vraag gesteld wat de impact van een aanval daarop is en welke securityprincipes dan gewaarborgd zijn.
Dat is een eerste stap, maar het laatste jaar hebben we zelf technologie ingebouwd rond genAI. Threat modeling schaalt niet zo fantastisch, er moet vaak een security engineer in de meetings met ontwikkelaars zitten, om hen bij te staan in het identificeren van mogelijke zwakheden in de code.
Succes voor mij is wanneer iedereen in het bedrijf over security praat
Wij gebruiken nu generatieve AI om threat modelling te schalen naar meer teams. Natuurlijk zetten we de security engineers nog steeds in voor de belangrijkste zaken, maar voor kleinere projecten gaan we genAI de vraag laten stellen ‘wat gebeurt er als hier iets misloopt en wat zijn de gevolgen?’ Zo kan je veel meer mensen laten threatmodellen dan vroeger. Het maakt dat meer mensen praten over security en dat het vaak heel vroeg in de development lifecycle aan bod komt. Dat geeft ook een betere uitkomst naar het einde toe.
Ik krijg soms als CISO de vraag wat succes voor mij is? Dat is wanneer iedereen in het bedrijf over security praat, ook als ik niet in de kamer ben. Dan is het onderdeel van de cultuur van het bedrijf en threat modeling en de automatisering die we daar toepassen om het te schalen zijn daar een goed voorbeeld van.
Zijn dat de gewone AI-tools, of is dit meer lokaal aangepast?
VAN HORENBEECK: In dit geval doen we dat met zelfgebouwde software en zorgen we dat die informatie veilig zit. Maar het toont wel aan hoe AI een goede invloed kan hebben op cybersecurity.
Een ander voorbeeld uit ons threat intelligence team is het monitoren van publieke conversaties rond security. Stel dat er een artikel, een blog of een Twitterpost verschijnt over Adobe en een mogelijk securityprobleem, wat is de les die we daaruit kunnen trekken?
Daarvoor hebben we een technologie gebouwd die dingen kan samenvatten voor het team om te kijken of er een ingenieur naar moet kijken. Dat hebben we gedaan met de veronderstelling dat het in het Engels zou werken, maar we zagen dat die op een dag ook een Franse blog detecteerde die iets rond onze producten beschreef. Zonder enige aanpassing kwam dat systeem ons daarop wijzen.
Het probleem bleek naderhand niet zo ernstig, maar we hadden dat nooit opgemerkt mochten we die scanning puur manueel doen want het team is hoofdzakelijk Engelstalig. Dat toont hoe we meer kunnen schalen dan vroeger.
Is het moeilijk balanceren tussen privacy/security en gebruiksgemak? Je zou bijvoorbeeld meer verdacht gedrag kunnen detecteren als je veel meer data van je klanten kan inkijken.
VAN HORENBEECK: Het is niet altijd een moeilijke balans, maar het is er wel een. Wanneer we over dat soort oplossingen nadenken en informatie verzamelen, dan moeten we er heel zeker van zijn dat we de juiste informatie verzamelen, die goed beschermen en dat we geen informatie verzamelen die voor meer risico’s zorgt. Daarbij maken we de afweging ‘is dit de juiste oplossing voor het probleem dat we hebben?’
Hebben jullie ook een red team dat als opdracht heeft ‘probeer het kapot te krijgen’? Of halen jullie veel uit bug bounty programma’s?
VAN HORENBEECK: We hebben zowel een bug bounty program als een intern red team. Beiden zijn heel waardevol. De teams die problemen intern vinden worden met de tijd meer gespecialiseerd in de issues waar wij typisch over nadenken. Met bug bounties heb je een hele community van security researchers die allemaal op een andere manier denken over problemen die er zouden kunnen zijn.
Je moet mensen hebben die denken als aanvaller
We zien bug bounty hunters als een belangrijk deel van ons securityprogramma want we zien zo wat we zelf gemist hebben en hoe we er uit kunnen leren. Het red team werkt een beetje anders. Die zoeken naar problemen en kijken vervolgens hoe diep ze daarmee kunnen gaan. Dat team heeft zich de laatste twee jaar meer omgeschoold naar AI oplossingen
Beide zijn enorm nuttig, de ene groep zoekt zoveel mogelijk problemen, de andere focust zich meer op één probleem en hoe ver je er mee kan geraken. Je moet mensen hebben die denken als aanvaller. Daar hebben we de afgelopen jaren fel op geïnvesteerd, want die inzichten zijn erg nuttig.
Is de impact van (gen)AI merkbaar aan de aanvalszijde? Bijvoorbeeld in pogingen om in te breken of producten te misbruiken?
VAN HORENBEECK: Ik heb daar tot nu toe eerder een positieve indruk van als we kijken naar offence versus defence. GenAI heeft zeker de mogelijkheid om de kant van de aanvaller sneller en eenvoudiger te maken, maar dat zie ik als een evolutionaire verandering.
Aan de verdedigende kant is die trend eerder revolutionair. Een van de grote problemen de afgelopen tien-twintig jaar naar mijn mening is het delen van informatie rond aanvallen. Dat werd vroeger gedeeld in documenten tussen securitymensen en iedereen moest dat interpreteren en beslissingen op baseren. Tegenwoordig is er veel meer technologie om informatie over exploits en aanvallen automatisch te verspreiden.
Het grootste probleem blijft dat je al die informatie moet kunnen analyseren en op basis daarvan beslissingen moet kunnen nemen. Maar genAI en large language models (LLM’s) zijn heel goed in het analyseren van grote hoeveelheden informatie en daar context bij te geven. Naar mijn mening is de waarde van genAI groter voor de verdedigers dan voor de aanvallers.
Maakt het security ook toegankelijker? Kan je niet-technische profielen makkelijker inzetten in cyberveiligheid?
VAN HORENBEECK: Ik denk niet dat we naar een toekomst gaan waar je geen technische kennis nodig hebt. Dat gaat altijd een grote waarde hebben.
Waar kan het dan wel een grote bijdrage leveren?
VAN HORENBEECK: Ik zie mogelijkheden in het geven van context aan analisten die het werk doen. In plaats van veel manueel op te zoeken kunnen ze beslissingen nemen met de juiste informatie bij elkaar. Ik zie niet echt een grote rol voor AI om beslissingen zelf te nemen, wel in die context zodat beslissingen die mensen nemen beter onderbouwd zijn en hun rol een grotere impact kan hebben.
Belgische oprichters zijn heel realistisch over hun capaciteiten en de producten die ze bouwen.
Je bent ook actief als investeerder. Hoe moet een start-up vandaag opvallen of uitblinken om de aandacht te trekken? Of welke gaten kunnen ze opvullen die de grote spelers laten liggen?
VAN HORENBEECK: Het belangrijkste voor mij is dat een bedrijf zich bewust is van een echt probleem waar een head of security mee zit. Er zijn veel bedrijven die iets oplossen, maar pakt het echt iets aan waar ik elke dag van wakker lig?
Als een oprichter dan naar mij komt en weet wat voor mij een probleem is, en ze komen met een heel realistische uitleg van hoe ze dat kunnen oplossen, dat is voor mij the magic sauce.
Daar is overigens een mooie kans voor Belgen. Belgische oprichters zijn heel realistisch over hun capaciteiten en de producten die ze bouwen. Ze gaan niet meteen naar de marketingkant of dingen beloven die ze niet kunnen nakomen. Ze bouwen iets dat werkt en gaan dat verkopen. België heeft als voordeel dat ze een heel nuchtere kijk op zaken hebben en een heel sterke technische oplossing bieden.
Soms zijn ze een beetje te voorzichtig. Maar ik zie dat wel als positief. De kwaliteit van de Belgische bedrijven in cybersecurity ligt erg hoog. Belgische bedrijven zijn vaak onbekend voor de Amerikaanse markt, maar je ziet ook best wat werk van Flanders Invest & Trade om oprichters in contact te brengen met Amerikaanse cybersecurity leaders.
Veel encryptie in de wereld draait op dingen die ooit aan de KU Leuven zijn ontwikkeld.
Bijvoorbeeld Secure Code Warrior, die zijn technisch gezien wel Australisch, maar met Belgische oprichters en ontwikkelaars. Ook spelers als Intigriti zijn hier bekend aan het worden omdat ze een kwalitatief goed product aanbieden. Dus die erkenning van veel innovatieve technologie uit België komt wel op gang. Dat is dan nog eens in combinatie met het securitywerk dat in historisch in België is ontstaan. Veel encryptie in de wereld draait op dingen die ooit aan de KU Leuven zijn ontwikkeld.
Wat zijn de belangrijkste uitdagingen in security vandaag?
VAN HORENBEECK: De grootste uitdaging is het talent voor de toekomst van ons securityteam vinden. We werken daarom ook samen met heel wat organisaties, bijvoorbeeld Black Girls Hack, dat vrouwen traint richting securityrollen en we hopen dat sommigen zo in de toekomst deel van ons team kunnen uitmaken.
Omgekeerd werken wij heel nauw samen met het Cyber Peace Institute uit Zwitserland. Dat is een heel uniek project want ze helpen non-profitorganisaties of NGO’s met cybersecurity. Een van hun problemen is dat er geen budget is voor grote investeringen in cybersecurity, dus werken wij met vrijwilligers in ons team pro bono voor hen. En dat helpt ons ook om ons intern team te leren hoe andere organisaties werken.
Een andere uitdaging is de evolutie van cybersecurity en hoe snel er dingen veranderen. Bijvoorbeeld in hoe bedrijven denken of wat ze nodig hebben van hun vendors. Die verwachtingen goed opvolgen, bijvoorbeeld rond application security, en zorgen dat je kan bijdragen aan die technologie in plaats van ze achteraf te adopteren. Dat zijn dingen die mij wakker houden.
In welke mate staat post kwantum veiligheid op de agenda?
VAN HORENBEECK: We kijken zelf bij nieuwe standaarden altijd hoe snel we die kunnen adopteren en of het zinvol is. Maar het is niet ons grootste probleem op dit moment. Er zijn domeinen waar we vandaag veel meer focus op leggen, zoals dagelijkse application security. Maar het is niet iets om te negeren. Er gaat een moment komen dat we in een post kwantum wereld belanden, maar we hebben wel de agility om snel te kunnen omschakelen. Daar volgen we wat cryptografen of regeringen adviseren.
Heeft de evolutie naar cloud van de afgelopen 10-15 jaar voor een andere focus gezorgd?
VAN HORENBEECK: Het maakt dat identiteit en autorisatie veel belangrijker worden door al die interconnecties. Wanneer je met één identiteit toegang hebt tot verschillende applicaties en data, moet je goed begrijpen wat er gebeurt op die verschillende plaatsen. Dat is vaak moeilijker in de cloud omdat de standaardisatie nog niet helemaal beschikbaar is voor alle verschillende platformen. Als bedrijven daar meer samenwerken om die technologieën in te bouwen, kunnen we veel vooruitgang boeken op dat soort problemen.
Wat ontbreekt daar nog?
VAN HORENBEECK: Identiteit is tot op zeer hoog niveau gestandaardiseerd. Maar het zit vaak in dingen die op de achtergrond gebeuren. Verschillende producten die andere implementaties hebben rond logging, rond het identificeren van mogelijke problemen. Daar zijn nog opportuniteiten om zaken wat duidelijker te maken.
Veel veiligheidsproblemen zijn terug te leiden tot identiteit. De verkeerde access rights voor een bepaalde omgeving, een API of data. De markt worstelt om dat op een uniforme manier op te lossen en dan kom je al snel bij de IAM vendors (Identity Access Management, nvdr) die willen integreren met al die cloudproviders.
Hoe pakt Adobe dat zelf aan?
VAN HORENBEECK: Wij kijken naar alle mogelijkheden binnen alle oplossingen en hoe we die kunnen samenbrengen tot één oplossing die voor ons werkt. Maar niet elk bedrijf kan dat zomaar doen. Wij gebruiken identity providers waarbij we integreren met de identiteit die binnen de bedrijven van onze klanten bestaan.
Wordt er veel samengewerkt met andere grote techbedrijven rond de grote cybersecurity-vraagstukken? Of is dat uitzonderlijk en eerder elk op zich?
VAN HORENBEECK: Dat is de grote verandering die ik heb gezien in de technologiewereld. Ik heb voor een aantal zeer grote en kleinere technologiebedrijven gewerkt en iedereen beseft wel dat security niet iets is dat je in isolatie doet.
Natuurlijk heeft dat zijn limieten. Iedereen zal klantinformatie zeer sterk beschermen. Maar het uitwisselen van ervaringen, de problemen die er zijn geweest en hoe je er mee omgaat, dat wel. En ik denk dat er vandaag nauwer wordt samengewerkt dan ooit tevoren. Dat draagt ook bij aan het ontwikkelen van nieuwe technologie. Specifiek denk ik dan aan het Shared Signals Framework, een nieuwe technologie om authenticatie veiliger te maken, specifiek om problemen met authenticatie sneller te vinden.
Die dingen komen veel meer naar boven door samenwerking. Security is voor mij een teamsport, je moet samenwerken met anderen om succesvol te zijn. De tegenstanders doen dat ook, dus wij moeten dat beter doen.