Meet the expert, Peter Groenenwegen, business lead Cyber Detection & Response Services

Ordina gelooft in een veilige en weerbare digitale wereld. De Cyberdetection & Response solution van Ordina’s Blue Team draagt hier direct aan bij door klanten weerbaar maken tegen cyberincidenten. Maar hoe pak je dat aan en wat is de toegevoegde waarde van Ordina’s solution Cyber Detection & Response? Een interview met Peter Groenenwegen, business lead Cyber Detection & Response Services

Wat doet het Blue Team van Ordina?

“Het Blue Team is de naam van het Ordina-team dat onder andere Cyber Detection & Response Services levert. Oftewel, de solution waarmee we de IT-omgeving van de klant weerbaar maken tegen cyberincidenten. Dat doen we bijvoorbeeld door kwetsbaarheden in hun IT-omgeving inzichtelijk te maken en te monitoren. Denk hierbij aan het monitoren van alle werkplekken en servers op virussen, Advanced Persistent Threats (APT’s) en andere dreigingen. Mocht daar wat op gebeuren dan kunnen we direct ingrijpen. Zo kunnen we voorkomen dat de aanval zich verder uitbreidt en er grote incident response-trajecten nodig zijn. Naast het monitoren en beschermen van IT omgevingen helpen wij organisaties om snel en adequaat te acteren op security incidenten als die onverhoopt voorkomen. Stel dat een bedrijf gehackt wordt, dan komen we op locatie om dit incident zo snel mogelijk op te lossen. Dit doen we door uit te zoeken wat er precies gebeurd is en direct maatregelen te nemen waar nodig. Door snel en adequaat te reageren verkleinen we de impact van het security incident.”

Waarom is het van belang dat organisaties hun security op orde hebben?

“Neem de ransomware-aanval op de Universiteit van Maastricht in december van vorig jaar. Zo’n aanval heeft niet alleen impact op hun imago, maar ook op de continuïteit van de organisatie. Wetenschappers konden hun onderzoek niet vervolgen en studenten geen tentamens meer maken of papers schrijven. Dat is toch de basis van een universiteit wat weg valt door één hack. Het heeft de universiteit veel geld gekost, ze leiden reputatieschade en bij elkaar opgeteld is dat best een strop voor zo’n organisatie.

Nog een voorbeeld, plot zo’n aanval nu eens op een industriebedrijf. Stel dat hackers de fabriek van een autofabrikant weten te hacken en de productielijn komt stil te liggen. Dan hoef ik verder niet uit leggen wat de schade is. Dat doet wat met de productie van auto’s, de omzet, de continuïteit en daarmee het merk.

Bovendien is het de vraag hoe lang die hackers in je productielijn hebben gezeten. Kun je de kwaliteit van je auto’s nog wel garanderen wanneer iemand van buitenaf zich in het productieproces mengt? En moet je dan geen auto’s terugroepen? Het is dus heel belangrijk om als bedrijf je digitale veiligheid op orde te hebben. Zowel voor de productie als wanneer er met persoonsgegevens gewerkt wordt. Ik vind dat elk bedrijf die verantwoordelijkheid moet nemen.”

Nemen bedrijven hun verantwoordelijkheid?

“Ik denk dat veel bedrijven die verantwoordelijkheid wel willen nemen, maar niet overzien wat het nemen van die verantwoordelijkheid voor hen betekent en hoe zij die op de juiste manier kunnen nemen. Organisaties missen bijvoorbeeld het inzicht, overzicht en het bewustzijn op het gebied van security. Er wordt dan verondersteld dat security voldoende is opgepakt, maar wanneer dat inzicht ontbreekt is het lastig om daar een goede inschatting van te maken. Denk hierbij aan vragen zoals: Welke gevoelige data en bedrijfskritische systemen heb ik eigenlijk allemaal en hoe zijn die beschermd? Als je dat inzicht niet hebt wordt het ook een stuk ingewikkelder om het geheel goed te beveiligen.”

“Neem als voorbeeld een fabriek met een lopende band die ze al jarenlang gebruiken. Er staat geen high-tech technology te draaien, de machines doen wat ze moeten doen en daar moet je afblijven. Die machines hebben vaak verouderde beveiligingsmechanismen, maar ze zijn wel onderdeel van een business kritisch proces. Om deze kwetsbaarheid te mitigeren zonder dat de business daar last van heeft kan een organisatie zorgen dat de machines in een veilige zone staan die geen contact heeft met de minder veilige zones.

Overigens het feit dat je een dergelijke security maatregel hebt geïmplementeerd wil nog niet zeggen dat de hele bedrijfsvoering dan veilig is. Helaas moeten wij een klant regelmatig vertellen dat de beveiliging niet op orde is, ondanks dat het bedrijf flink heeft geïnvesteerd in bepaalde oplossingen die een deel van het probleem oplossen. Vaak zijn dit technologische oplossingen die als “de oplossing voor alle security uitdagingen” worden aangezien. Echter is security veel breder dan enkel technologie, ook de aspecten mens en organisatie zijn enorm belangrijk om mee te nemen in het beveiligen van de bedrijfsvoering.”

Wat is de toegevoegde waarde van de Cyber Detection & Response solution voor de klant?

“In onze filosofie kent elk bedrijf haar eigen relevante risico’s, welke afhankelijk zijn van de context van de business. Het is belangrijk om te weten waar een organisatie mee bezig is en welke processen belangrijk zijn voor de continuïteit van de bedrijfsvoering. Wij focussen bijvoorbeeld in de eerste instantie op de volgende aspecten: hoe zit business in elkaar, wat zijn de belangrijkste kritische processen, wat levert het bedrijf primair geld op en waar zitten vervolgens de meest relevante risico’s? Aan de hand van deze inzichten adviseren wij passende monitoring- en detectiemaatregelen, die we over de assen van technologie, organisatie en persoon bij organisaties implementeren, waarna we met onze expertisediensten organisaties ontzorgen op het gebied van monitoring & detectie, analyse, rapportages en incident response.

Wij komen dus geen one-size-fits-all security-oplossing pitchen. Wij leveren concrete oplossingen die passen bij de context en relevante risico’s voor die organisatie.

Klanten vinden deze aanpak prettig, omdat je met onze solution gericht bezig bent met het mitigeren van risico’s die relevant zijn voor hun bedrijfsvoering. Daarmee komen zij aantoonbaar in control van hun security risico’s. Hierdoor kunnen zij ook aantonen waarom het maken van bepaalde kosten voor security maatregelen gerechtvaardigd is en wat de return on investment is. Daar worden klanten blij van!

Wat is jouw rol binnen het Blue Team?

“Ik houd mij ten eerste bezig met de ontwikkeling en positionering van onze Cyber Detection & Response solution. Daarnaast ben ik business unit manager en stuur ik het Blue Team aan. Ten slotte ben ik ook inhoudelijk als consultant betrokken bij verschillende advies- of incident response trajecten. Dat is een heel afwisselend, soms best uitdagend, maar vooral enorm gaaf takenpakket. ”

Door de coronacrisis werken veel mensen thuis. Wat zijn de gevaren van thuiswerken?

Op kantoor zit je op een kantoornetwerk waarop de nodige securitymaatregelen zijn getroffen. Het wifinetwerk van de mensen thuis heeft deze maatregelen vaak niet. Het feit is dat je niet in een beschermde omgeving zit brengt risico’s met zich mee. Daarnaast worden updates lang niet altijd door iedereen geïnstalleerd en kan het voorkomen dat kinderen gebruikmaken van de laptop om te gamen of spelletjes te installeren, met alle risico’s van dien. Idealiter hebben bedrijven op afstand inzicht en controle over de werkplekken. Dit verbetert de mogelijkheden om security incidenten te detecteren en hierop te acteren. Zo kunnen ook de laatste updates en patches op afstand ‘ gepushed’  worden. Dit kan bijvoorbeeld door een Endpoint Detection & Response oplossing uit te rollen op de werkplekken.”

Kun je een praktijkvoorbeeld van je werk noemen?

“We kregen een keer om tien uur ’s avonds een telefoontje van een bedrijf dat gehackt was. De volgende dag stonden we om acht uur op de stoep om de klant te helpen met onze incident response dienst. Uit ons onderzoek bleek uiteindelijk dat een medewerker op een phishingmail was ingegaan en dat de aanvaller daardoor zijn account kon overnemen. Hierdoor zorgde de hacker dat alle email werd doorgestuurd naar zijn emailadres. Niemand van het bedrijf had iets door, het bedrijf draaide netjes door, maar ondertussen ging er heel wat (potentieel gevoelige) data naar buiten. Door een alerte securitymedewerker kwamen men erachter dat de mailbox was gehackt en werden wij ingeschakeld. Met het nemen van een paar snelle en tijdelijke maatregelen konden we een verdere uitbreiding van het incident uiteindelijk voorkomen. Na de succesvolle isolatie van het probleem hebben we de klant verder geadviseerd over hoe zij hun weerbaarheid konden verhogen om dergelijke incidenten in de toekomst te voorkomen.

Wat voor typen klanten kom je tegen?

“De focus van het Blue Team ligt op industrieklanten. Bij dit type klanten past onze solution en aanpak erg goed. Daarnaast zijn we ook goed vertegenwoordigd in de public markt en werken we voor gemeenten via de VNG GGI-veilig-mantelovereenkomst. Veel gemeenten hebben een uitdaging in het beschermen van bijvoorbeeld persoonsgegevens en wij kunnen ze daar heel goed bij helpen.”

Hoe ben je cyberexpert geworden?

Ik heb de opleiding System & Netwerk Engineering aan de Hogeschool Utrecht gevolgd. Daar hield ik mij bezig met het inrichten van systemen zoals Windows en Linux. Ook het inrichten van netwerken op basis van Cisco Routing & Switching en firewalls kwam daar aan bod. Tijdens de opleiding raakte ik steeds meer geïnteresseerd in het beveiligen van systemen en netwerken. Na een stage bij een securitybedrijf ben ik definitief de securitywereld ingerold. Ik ben vervolgens gestart als consultant bij ilionx, waar ik vier jaar heb gewerkt. Eerst in de rol van Security Engineer bij grote klanten, later aan het inrichten van een aantal Security Operations Centers en de Security Monitoring dienst bij ilionx zelf. Vanaf september 2018 werk ik bij Ordina en zet ik mijn opgedane ervaring in om de Cyber Detection & Response solution tot een succes te maken”

Waarom heb je voor Ordina gekozen?

Via Vincent Meijer hoorde ik wat de ambities van Ordina waren richting het jaar 2022 en wat dat betekende voor de ontwikkelingen en ambities op het gebied van Cybersecurity & Compliance. Die ambitie sprak mij enorm aan. Ik heb daarom de overstap gemaakt naar Ordina om hier een Cyber Detection & Response solution op te zetten en uit te bouwen en daarmee ook invulling te geven aan de Ordina brede ambitie. We zijn vanaf scratch begonnen en inmiddels hebben we een team van zo’n vijftien man.”

Wat maakt je werk zo leuk?

“Dat is enerzijds het inhoudelijke component, wat maakt dat ik met techniek bezig ben in klantomgevingen. Anderzijds houd ik me bezig met de ontwikkeling en positionering van onze Cyber Detection & Response solution. Dat vraagt ook een stukje ondernemerschap van mij, erg leuk is dat. Daarnaast vind ik het leuk om met mensen te werken, ze te coachen en aan te sturen. Het is gewoon een heel afwisselende job met verschillende uitdagingen. Gaaf om te doen.”