Wie geen last van boeven wil hebben, moet weten welk raam van buitenaf te openen valt. Voor cybercriminaliteit telt dat dubbel. De Mechelse start-up Ceeyu zoekt voor bedrijven de zwakke plekken in hun beveiliging, en heeft dat proces geautomatiseerd.

Voorkomen is altijd beter dan genezen, zo stelt ook het NIST Cybersecurity Framework. Risico’s identificeren is dus het eerste wat je moet doen bij de bestrijding van digitale inbraken, en dat wil Ceeyu met een SaaS-platform vergemakkelijken.

‘We doen dat op twee manieren’, steekt Dries Plasman van wal. Hij is director marketing & product management bij de start-up. ‘We beginnen steevast met het screenen van het bedrijf, zoals een hacker dat zou doen, om te zien waar de risico’s zich bevinden. Dat doen we meteen ook voor kritische leveranciers, want zestig procent van alle aanvallen vindt zijn oorsprong bij een gelinkte partij.’ Maar niet alle risico’s kunnen via zulke automatische scans geïdentificeerd worden. Zo zegt het bijvoorbeeld niets over hoe een leverancier omgaat met back-ups. Daarom vraagt Ceeyu de klant aanvullend nog om een digitale vragenlijst in te vullen.

Het scannen en het heen en weer sturen van de vragenlijsten heeft Ceeyu helemaal geautomatiseerd. ‘Daarna wordt de digitale voetafdruk van het bedrijf in kaart gebracht’, vervolgt Plasman. ‘Dat wil zeggen dat we alle IT-assets opsommen waarvan je van buitenaf kunt zien dat het bedrijf ze gebruikt. Denk daarbij aan webapplicaties, IP-adressen, softwarepakketten en e-mailadressen.’

Op die assets voert Ceeyu vervolgens een negental testen uit om hun robuustheid te controleren. Dat levert een security rating op tussen nul (onbeveiligd) en honderd procent (volledig veilig), die een goede indruk geeft van de kwetsbaarheid van de organisatie.

Periodieke scans

Voor die negen testen, waaronder bijvoorbeeld een open port-scan, gebruikt Ceeyu zowel eigen ontwikkelde programmatuur als gespecialiseerde software dat het in zijn platform heeft geïntegreerd. ‘Afhankelijk van de abonnementsformule scannen we je bedrijf maandelijks of wekelijks. Na afloop ontvang je per mail een samenvatting van de bevindingen en weet je meteen of er actie nodig is’, klinkt het.

Met deze aanpak kon Ceeyu sinds de opstart in 2020 al grote klanten en partners overtuigen, zoals Casa, De Watergroep, Globalsign, Nvisio en het ministerie van Buitenlandse Zaken. ‘Nu staan we aan het begin van onze scale-upfase’, zegt Plasman. ‘We willen inzetten op sales en marketing om te groeien, en een eerste zet is alvast dat we een deel van onze scan vrijgeven. Als je een gratis account aanmaakt, kun je sowieso je digitale voetafdruk en je security rating laten berekenen én maandelijks laten controleren. Zo willen we naambekendheid verwerven en langzamerhand meer klanten overtuigen.’

Europees voordeel

Plasman verwacht sowieso groei, nu de Europese NIS2-richtlijn bedrijven gaandeweg verplicht om de mogelijke veiligheidsrisico’s bij leveranciers in kaart te brengen. Met een financiële investering van 750.000 euro door PMV, de eigenaars, Seeder Fund en een groep business angels wil de start-up nu werk maken van zijn internationalisering. ‘Daarbij kijken we nadrukkelijk naar het Europese speelveld’, klinkt het. ‘We zijn immers een Europees bedrijf, en as such veel meer bekend met de Europese regelgeving als GDPR, waar de meeste grote spelers ofwel Amerikaans ofwel Israëlisch zijn. Dat geeft ons een voordeel.’

En om daar helemaal klaar voor te zijn, voorziet Ceeyu binnen zes à negen maanden al een nieuwe kapitaalronde waarbij het bedrijf rond de twee miljoen euro hoopt op te halen.