SpotIT is een van de weinige Belgische security-integratoren, met een focus op netwerk en security. Een groeiende markt, zegt Vynckier, al komt dat ook met zijn eigen problemen: "De witte raaf van de toekomst, dat is de dev opser."

We hebben de voorbije weken al veel ransomware-aanvallen gezien. Is dat goed voor uw bedrijf?

Steven Vynckier: Ja en nee. Het is altijd vervelend dat er ransomware is. We proberen net te vermijden dat er bedrijven worden aangevallen. Het is wel zo dat de weken nadien onze telefoon roodgloeiend staat. We hebben het dus niet graag, maar als het gebeurt is er wel een boost in security awareness.

Kunnen we bij ransomware ondertussen van een trend spreken? Blijft dat maar groeien?

Vynckier: Ransomware gaat in stijgende lijn, omdat het verdienmodel erachter groot is. Zolang dat verdienmodel groot blijft, en aanvallen van gelijk waar ter wereld kunnen gebeuren, zal het blijven stijgen. Ik verwacht niet dat daar snel verandering in komt. De reden waarom we er nu meer over horen, heeft met de GDPR-wetgeving te maken, en de meldingsplicht die daarin zit. Vroeger moest je niet melden dat je werd aangevallen. Nu, als alles plat ligt is het moeilijk om dat stil te houden, maar als bedrijven de mogelijkheid zagen, communiceerden ze liever niet. Vandaag kan dat niet meer.

Securitybedrijven schuiven op van puntoplossingen naar meer infrastructuur. Wat is de invloed daarvan op uw business?

Vynckier: De move naar een geïntegreerde architectuur is een logische stap, net omdat er vroeger voor elk probleem een puntoplossing was. Er zijn nog altijd 2.500 constructeurs die een securityproduct aanbieden, en die producten praten niet met elkaar. Als je dat combineert met het feit dat er ook een tekort is aan talent, dan zie je dat dat een probleem is. Al die producten geven waarschuwingen die bekeken moeten worden, maar er zijn niet genoeg mensen om daar naar te kijken. Het voordeel van een security-architectuur is dat dezelfde fabrikant een firewall en antivirus, en bijvoorbeeld een CASB-oplossing levert (cloud access security brokers, nvdr.), en dat al die producten wel met elkaar communiceren. Voordat de verschillende alerts tot bij de security operator komen, zijn die al gecorreleerd, zodat het er een pak minder zijn en ze zeker werden gedetecteerd en geblokkeerd. Zo'n waarschuwing is ook meer 'to the point', die zal bijvoorbeeld al afgetoetst zijn door de firewall en de antivirus, zodat je beter weet om welke pc het gaat of in welke sector van het netwerk het mogelijke probleem zit. Dat werkt ontlastend voor het security team.

Is dat goed nieuws voor jullie? Als dienstenleverancier doet SpotIT voor een groot deel ontzorging. Komt dat dan niet in jullie vaarwater?

Vynckier: We zijn blij dat de technologie daar naartoe evolueert, omdat we ook zelf moeite hebben om mensen te vinden. Er is op elk gebied schaarste in de markt. Automatisering is in die zin een toegevoegde waarde en niet per se een bedreiging.

Op welke klanten mikken jullie daarmee?

Vynckier: De middelgrote tot grote bedrijven. 250 medewerkers is zo'n beetje de ondergrens en de grootste klant heeft 18.000 medewerkers. Dus daar zitten we tussen. Daarbij is de grootte minder belangrijk dan de plaats die ze netwerk en security geven. We hebben bijvoorbeeld een klant uit het Antwerpse. Die hebben maar 25 medewerkers, maar die verhandelen diamanten. Dus die vinden security belangrijk.

Elk bedrijf heeft andere kroonjuwelen. Van daaruit moet je vertrekken.

We spreken vaak over security als iets IT-technisch, maar eigenlijk begint alles vanuit de business. Je moet je afvragen wat voor jouw bedrijf het risico is, en dat kan heel uiteenlopend zijn. Voor sommige bedrijven is dat imagoschade, een ander bedrijf doet misschien onderzoek en ontwikkeling en wil ervoor zorgen dat zijn CAD-tekeningen niet gestolen worden. Of je wil zeker zijn dat je productie niet stilvalt. Elk bedrijf heeft andere kroonjuwelen. Van daaruit moet je vertrekken. Niet vanuit 'we hebben een firewall nodig'.

Speelt cloud ook een rol bij die securityplannen?

Vynckier: Dat is een van de belangrijkste punten waar bedrijven niet aan denken als ze de stap naar de cloud maken. Ze gaan ervan uit dat ze veilig zitten als ze alles in de cloud zetten. Dat is niet zo. Als je een server aanvraagt staat die open op het internet, je moet die zelf afschermen. En natuurlijk kan je dat op het platform zelf doen. AWS, Azure en anderen bieden bijvoorbeeld virtuele firewalls aan, maar je kan ook beslissen om dat vanuit je eigen omgeving beschermen. Daartussen kan je kiezen, maar het is wel een andere aanpak.

Hetzelfde geldt overigens voor de bescherming van je data. Het is een mythe dat als je gegevens in de cloud staan, je bedrijf daar GDPR-gewijs niet meer verantwoordelijk voor is. Uiteindelijk is een cloud de verwerker, maar je bent wel verantwoordelijk voor de data die daar staat. Je moet die ook afdoende gaan beschermen. Het is niet omdat je verhuist naar de cloud, dat je probleem weg is.

Hoe pak je die cloudbeveiliging vanuit je bedrijf zelf aan?

Vynckier: Dat begint met netwerkbeveiliging, los van cloud. De essentie is dat je weet welke devices en users je hebt, en dat die allemaal op een correcte manier worden geïdentificeerd en geauthenticeerd. Dat is essentie. Hoe je dat moet doen is afhankelijk van de klant, de business, welke producten die al dan niet heeft, en hoe ver het bedrijf staat met zijn cloudstrategie.

Om alles af te schermen moet je weten wat je hebt, waar er eventueel kwetsbaarheden zijn en wie zich waar mag authenticeren. Als je dat goed in kaart hebt, dan doet het er niet toe of die data in de cloud staat, en of die user vanuit thuis of vanuit kantoor werkt, dan kan je security zo maken dat je altijd van overal kan werken.

Je hebt zoiets als een cloud firewall waarbij je niet meer investeert in een fysieke firewall in je datacenter. In plaats daarvan ga je tegen je gebruikers, je interne netwerk en je telewerkers zeggen dat ze allemaal over de firewall moeten gaan, wat ze ook doen. Wil je naar het intranet, of naar het wereldwijde web, dan ga je altijd over die cloud firewall. Daardoor wordt het ook makkelijker om te zien wie wat aan het doen is. Het is ook uniform, dus je hebt geen verschillende platformen meer nodig, zoals een VPN voor thuiswerkers. Iedereen gaat altijd over hetzelfde systeem. Als je inlogt bij je bedrijfslaptop, authentificeer je jezelf op die firewall. Als je dan nog veiliger wil, kan je daar nog meerstapsverificatie aan toevoegen.

Het is niet omdat je verhuist naar de cloud, dat je probleem weg is

Sluit dat wat aan bij 'zero trust', het securityconcept waarbij je niets en niemand vertrouwt?

Vynckier: Zero trust heeft verschillende definities. Voor mij betekent het dat je effectief alle toestellen en gebruikers in je netwerk per definitie niet vertrouwt, tenzij er een goeie reden is om het wel te doen. Bijvoorbeeld als ze zich authenticeren met tweestapsauthenticatie. Dat is de uitgangspositie en ze werkt met een whitelist. Alles wordt per definitie niet vertrouwd, tenzij het mensen zijn die op de lijst staan, omdat ze werden geverifieerd. Zo werkt zero trust. Als je dat juist wil doen, moet je ook weer weten wat er in je netwerk zit. Daar start alles mee. Dan gaan we alles zoveel mogelijk virtualiseren en komen we tot een software defined networking, waarbij we alles via software gaan aansturen. Hiermee is de beveiligingsgraad veel hoger, en het is ook gebruiksvriendelijker voor de users zelf.

Waar verwacht u dat het naartoe gaat met de markt?

Vynckier: We hebben nu te veel aanbieders, te veel tools, te veel alerts en te weinig mensen die er bezig mee zijn. Er moet iets gebeuren. Zero trust is een mogelijk antwoord. Ook convergentie in tools is mogelijk. Ik verwacht naar producenten toe nog meer overnames. Ook meer bedrijven die richting security architectuur opschuiven. Je gaat nog veel overnames zien om die architectuur volledig te kunnen aan te bieden.

Dan is er ook de laag waar wij zitten, de integratoren. Daar is security en netwerk een niche waar wij op inspelen. Ik geloof sterk dat die niche moet blijven bestaan en dat dat niet iets is dat je zomaar kan integreren in alles-aanbieder. Zo'n allesaanbieder heeft uiteraard zijn sterktes als one stop shop, maar moet door een onafhankelijke partij, zoals ons, worden gecontroleerd. Je kan niet boswachter en stroper tegelijkertijd zijn.

SpotIT is een van de weinige Belgische security integratoren. Hoe ziet u uw eigen bedrijf de toekomst tegemoet?

Vynckier: We zijn de grootste onafhankelijke security integrator in België vandaag. In die middenmarkt zie je ook niet veel bewegen, je hebt de hele grote zoals Dimension Data en Proximus bijvoorbeeld, en de kleinere, maar in die middenmarkt heb je niet zo heel veel.

Hoe evolueren wij? De markt groeit hard, en wij groeien mee. We willen in 2020 ook onze eerste stapjes buiten België zetten. NOC (network operations center) en SOC (security operations center) werken van op afstand. Dan maakt het in principe niet uit of die klant nu in België zit, of in Maleisië of de VS. Dus we zijn wel aan het nadenken hoe we ons model kunnen verbreden, terwijl we onze niche getrouw blijven. We hebben onze eigen klanten bevraagd, we hebben er veel die lokale beslissingsbevoegdheid hebben, maar die wel in andere landen zitten. Op die manier leveren we nu al diensten naar vijf continenten in 88 landen, vanuit België. We hebben aan die klanten gevraagd waar zij het interessant vinden dat wij ons vestigen. Dat zijn we nu in kaart aan het brengen. Het buitenland is commercieel voor ons een opportuniteit, maar daarnaast kan het ons helpen om mensen te vinden, en om de klok rond beschikbaar te zijn. Je kan dat in België oplossen door in ploegen werken, maar je kan ook een hub openen in bijvoorbeeld West-Amerika en in Maleisië.

We zouden harder kunnen groeien, als we de juiste mensen konden vinden

Is het echt zo'n probleem om hier mensen te vinden?

Vynckier: Dat is een gigantisch probleem. Het kan niet onderschat worden. We zien het zowel bij onze klanten als bij onszelf. We zouden bijvoorbeeld harder kunnen groeien, als we de juiste mensen konden vinden. We vinden ze niet dus zijn we ze aan het maken. De nieuwe witte raaf van de toekomst, is de dev opser. Da's degene die applicatie en infrastructuur kan samenbrengen. Als een klant een bepaalde regel wil toevoegen op een firewall, dan moet die een documentje invullen en naar ons sturen, en dan voegen wij die regel toe zodat die wordt uitgevoerd op het platform. Die hele flow kan geautomatiseerd worden, maar dan moet je wel een script schrijven dat dat volledig kan doen. Daarnaast heb je, als er een aanval bezig is, iemand nodig die informatie van de verschillende bronnen en platformen samenbrengt om te zien waar het probleem zit. Dat doen dev net en dev sec ops ook.

Wij investeren in die platformen, en ook in opleidingen van mensen. We hebben een team van meer dan 100 securitymensen, maar we hebben ook onze Academy. In 2018 waren er zo negen pas afgestudeerden in IT die we op de payroll hebben genomen en zes maanden hebben opgeleid. Vorig jaar hebben we via dat programma 19 personen aangenomen die we nu aan het opleiden zijn. Daarnaast hebben we ook drie niet-Europeanen, twee politieke vluchtelingen en een dame die volledig opgeleid is in security, maar daar in haar land niet in kan doorgroeien omdat ze vrouw is. Wij werken nu al voor ons en we bekijken of we nog meer van zulke mensen kunnen inschakelen.

SpotIT is een van de weinige Belgische security-integratoren, met een focus op netwerk en security. Een groeiende markt, zegt Vynckier, al komt dat ook met zijn eigen problemen: "De witte raaf van de toekomst, dat is de dev opser."Steven Vynckier: Ja en nee. Het is altijd vervelend dat er ransomware is. We proberen net te vermijden dat er bedrijven worden aangevallen. Het is wel zo dat de weken nadien onze telefoon roodgloeiend staat. We hebben het dus niet graag, maar als het gebeurt is er wel een boost in security awareness. Vynckier: Ransomware gaat in stijgende lijn, omdat het verdienmodel erachter groot is. Zolang dat verdienmodel groot blijft, en aanvallen van gelijk waar ter wereld kunnen gebeuren, zal het blijven stijgen. Ik verwacht niet dat daar snel verandering in komt. De reden waarom we er nu meer over horen, heeft met de GDPR-wetgeving te maken, en de meldingsplicht die daarin zit. Vroeger moest je niet melden dat je werd aangevallen. Nu, als alles plat ligt is het moeilijk om dat stil te houden, maar als bedrijven de mogelijkheid zagen, communiceerden ze liever niet. Vandaag kan dat niet meer.Vynckier: De move naar een geïntegreerde architectuur is een logische stap, net omdat er vroeger voor elk probleem een puntoplossing was. Er zijn nog altijd 2.500 constructeurs die een securityproduct aanbieden, en die producten praten niet met elkaar. Als je dat combineert met het feit dat er ook een tekort is aan talent, dan zie je dat dat een probleem is. Al die producten geven waarschuwingen die bekeken moeten worden, maar er zijn niet genoeg mensen om daar naar te kijken. Het voordeel van een security-architectuur is dat dezelfde fabrikant een firewall en antivirus, en bijvoorbeeld een CASB-oplossing levert (cloud access security brokers, nvdr.), en dat al die producten wel met elkaar communiceren. Voordat de verschillende alerts tot bij de security operator komen, zijn die al gecorreleerd, zodat het er een pak minder zijn en ze zeker werden gedetecteerd en geblokkeerd. Zo'n waarschuwing is ook meer 'to the point', die zal bijvoorbeeld al afgetoetst zijn door de firewall en de antivirus, zodat je beter weet om welke pc het gaat of in welke sector van het netwerk het mogelijke probleem zit. Dat werkt ontlastend voor het security team. Vynckier: We zijn blij dat de technologie daar naartoe evolueert, omdat we ook zelf moeite hebben om mensen te vinden. Er is op elk gebied schaarste in de markt. Automatisering is in die zin een toegevoegde waarde en niet per se een bedreiging. Vynckier: De middelgrote tot grote bedrijven. 250 medewerkers is zo'n beetje de ondergrens en de grootste klant heeft 18.000 medewerkers. Dus daar zitten we tussen. Daarbij is de grootte minder belangrijk dan de plaats die ze netwerk en security geven. We hebben bijvoorbeeld een klant uit het Antwerpse. Die hebben maar 25 medewerkers, maar die verhandelen diamanten. Dus die vinden security belangrijk. We spreken vaak over security als iets IT-technisch, maar eigenlijk begint alles vanuit de business. Je moet je afvragen wat voor jouw bedrijf het risico is, en dat kan heel uiteenlopend zijn. Voor sommige bedrijven is dat imagoschade, een ander bedrijf doet misschien onderzoek en ontwikkeling en wil ervoor zorgen dat zijn CAD-tekeningen niet gestolen worden. Of je wil zeker zijn dat je productie niet stilvalt. Elk bedrijf heeft andere kroonjuwelen. Van daaruit moet je vertrekken. Niet vanuit 'we hebben een firewall nodig'.Vynckier: Dat is een van de belangrijkste punten waar bedrijven niet aan denken als ze de stap naar de cloud maken. Ze gaan ervan uit dat ze veilig zitten als ze alles in de cloud zetten. Dat is niet zo. Als je een server aanvraagt staat die open op het internet, je moet die zelf afschermen. En natuurlijk kan je dat op het platform zelf doen. AWS, Azure en anderen bieden bijvoorbeeld virtuele firewalls aan, maar je kan ook beslissen om dat vanuit je eigen omgeving beschermen. Daartussen kan je kiezen, maar het is wel een andere aanpak. Hetzelfde geldt overigens voor de bescherming van je data. Het is een mythe dat als je gegevens in de cloud staan, je bedrijf daar GDPR-gewijs niet meer verantwoordelijk voor is. Uiteindelijk is een cloud de verwerker, maar je bent wel verantwoordelijk voor de data die daar staat. Je moet die ook afdoende gaan beschermen. Het is niet omdat je verhuist naar de cloud, dat je probleem weg is.Vynckier: Dat begint met netwerkbeveiliging, los van cloud. De essentie is dat je weet welke devices en users je hebt, en dat die allemaal op een correcte manier worden geïdentificeerd en geauthenticeerd. Dat is essentie. Hoe je dat moet doen is afhankelijk van de klant, de business, welke producten die al dan niet heeft, en hoe ver het bedrijf staat met zijn cloudstrategie. Om alles af te schermen moet je weten wat je hebt, waar er eventueel kwetsbaarheden zijn en wie zich waar mag authenticeren. Als je dat goed in kaart hebt, dan doet het er niet toe of die data in de cloud staat, en of die user vanuit thuis of vanuit kantoor werkt, dan kan je security zo maken dat je altijd van overal kan werken. Je hebt zoiets als een cloud firewall waarbij je niet meer investeert in een fysieke firewall in je datacenter. In plaats daarvan ga je tegen je gebruikers, je interne netwerk en je telewerkers zeggen dat ze allemaal over de firewall moeten gaan, wat ze ook doen. Wil je naar het intranet, of naar het wereldwijde web, dan ga je altijd over die cloud firewall. Daardoor wordt het ook makkelijker om te zien wie wat aan het doen is. Het is ook uniform, dus je hebt geen verschillende platformen meer nodig, zoals een VPN voor thuiswerkers. Iedereen gaat altijd over hetzelfde systeem. Als je inlogt bij je bedrijfslaptop, authentificeer je jezelf op die firewall. Als je dan nog veiliger wil, kan je daar nog meerstapsverificatie aan toevoegen. Vynckier: Zero trust heeft verschillende definities. Voor mij betekent het dat je effectief alle toestellen en gebruikers in je netwerk per definitie niet vertrouwt, tenzij er een goeie reden is om het wel te doen. Bijvoorbeeld als ze zich authenticeren met tweestapsauthenticatie. Dat is de uitgangspositie en ze werkt met een whitelist. Alles wordt per definitie niet vertrouwd, tenzij het mensen zijn die op de lijst staan, omdat ze werden geverifieerd. Zo werkt zero trust. Als je dat juist wil doen, moet je ook weer weten wat er in je netwerk zit. Daar start alles mee. Dan gaan we alles zoveel mogelijk virtualiseren en komen we tot een software defined networking, waarbij we alles via software gaan aansturen. Hiermee is de beveiligingsgraad veel hoger, en het is ook gebruiksvriendelijker voor de users zelf. Vynckier: We hebben nu te veel aanbieders, te veel tools, te veel alerts en te weinig mensen die er bezig mee zijn. Er moet iets gebeuren. Zero trust is een mogelijk antwoord. Ook convergentie in tools is mogelijk. Ik verwacht naar producenten toe nog meer overnames. Ook meer bedrijven die richting security architectuur opschuiven. Je gaat nog veel overnames zien om die architectuur volledig te kunnen aan te bieden. Dan is er ook de laag waar wij zitten, de integratoren. Daar is security en netwerk een niche waar wij op inspelen. Ik geloof sterk dat die niche moet blijven bestaan en dat dat niet iets is dat je zomaar kan integreren in alles-aanbieder. Zo'n allesaanbieder heeft uiteraard zijn sterktes als one stop shop, maar moet door een onafhankelijke partij, zoals ons, worden gecontroleerd. Je kan niet boswachter en stroper tegelijkertijd zijn. Vynckier: We zijn de grootste onafhankelijke security integrator in België vandaag. In die middenmarkt zie je ook niet veel bewegen, je hebt de hele grote zoals Dimension Data en Proximus bijvoorbeeld, en de kleinere, maar in die middenmarkt heb je niet zo heel veel. Hoe evolueren wij? De markt groeit hard, en wij groeien mee. We willen in 2020 ook onze eerste stapjes buiten België zetten. NOC (network operations center) en SOC (security operations center) werken van op afstand. Dan maakt het in principe niet uit of die klant nu in België zit, of in Maleisië of de VS. Dus we zijn wel aan het nadenken hoe we ons model kunnen verbreden, terwijl we onze niche getrouw blijven. We hebben onze eigen klanten bevraagd, we hebben er veel die lokale beslissingsbevoegdheid hebben, maar die wel in andere landen zitten. Op die manier leveren we nu al diensten naar vijf continenten in 88 landen, vanuit België. We hebben aan die klanten gevraagd waar zij het interessant vinden dat wij ons vestigen. Dat zijn we nu in kaart aan het brengen. Het buitenland is commercieel voor ons een opportuniteit, maar daarnaast kan het ons helpen om mensen te vinden, en om de klok rond beschikbaar te zijn. Je kan dat in België oplossen door in ploegen werken, maar je kan ook een hub openen in bijvoorbeeld West-Amerika en in Maleisië. Vynckier: Dat is een gigantisch probleem. Het kan niet onderschat worden. We zien het zowel bij onze klanten als bij onszelf. We zouden bijvoorbeeld harder kunnen groeien, als we de juiste mensen konden vinden. We vinden ze niet dus zijn we ze aan het maken. De nieuwe witte raaf van de toekomst, is de dev opser. Da's degene die applicatie en infrastructuur kan samenbrengen. Als een klant een bepaalde regel wil toevoegen op een firewall, dan moet die een documentje invullen en naar ons sturen, en dan voegen wij die regel toe zodat die wordt uitgevoerd op het platform. Die hele flow kan geautomatiseerd worden, maar dan moet je wel een script schrijven dat dat volledig kan doen. Daarnaast heb je, als er een aanval bezig is, iemand nodig die informatie van de verschillende bronnen en platformen samenbrengt om te zien waar het probleem zit. Dat doen dev net en dev sec ops ook. Wij investeren in die platformen, en ook in opleidingen van mensen. We hebben een team van meer dan 100 securitymensen, maar we hebben ook onze Academy. In 2018 waren er zo negen pas afgestudeerden in IT die we op de payroll hebben genomen en zes maanden hebben opgeleid. Vorig jaar hebben we via dat programma 19 personen aangenomen die we nu aan het opleiden zijn. Daarnaast hebben we ook drie niet-Europeanen, twee politieke vluchtelingen en een dame die volledig opgeleid is in security, maar daar in haar land niet in kan doorgroeien omdat ze vrouw is. Wij werken nu al voor ons en we bekijken of we nog meer van zulke mensen kunnen inschakelen.