Fabrice Wynants heeft een stevig palmares op het vlak van cyber security, met 25 jaar ervaring op managementfuncties bij Ubizen en Verizon. Begin januari 2020, net voor de hele wereld op slot ging, kwam hij aan boord bij Cegeka als Global Director Cyber Security & IAM Services. Vandaag, iets meer dan een jaar na die ongebruikelijke start, zitten we samen om een tussentijdse balans op te maken.
Een gesprek over het niet-te-vermijden coronavirus en de impact ervan op ons allemaal maar ook: de veranderende rol van de CISO, de toenemende alignering tussen IT en OT/IoT en last but not least, “The Road to Resilience”, het end-to-end security-programma waar Wynants en team het voorbije jaar resoluut de schouders onder zetten.
Laat ik maar meteen met de deur in huis vallen: meteen na je start bij Cegeka, barstte de COVID-crisis los. Hoe heeft de pandemie de kaarten herschud?
Fabrice Wynants: “Ik moet er geen tekeningetje bij maken dat werken vanop afstand een onmiddellijke impact had en nog steeds heeft. Met alle instant-thuiswerkers, kwam er ineens een leger aan unmanaged endpoints bij die geconnecteerd waren via een potentieel onveilige internetverbinding, niet alleen met bedrijfssystemen ‘on premises’, maar ook met cloud-hosted data en SaaS-applicaties. Niet elke organisatie hanteerde het mechanisme van een VPN, en VPN-based access biedt niet voor elk scenario een afdoende bescherming.”
“Veel bedrijven zijn toen in snelheid gepakt en voor velen kwam het neer op een geforceerde digitale transformatie. Want de boel op orde krijgen vroeg om een aantal acties en dat zijn wel ‘wins’, maar niet allemaal ‘quick’ wins. Ten eerste: zowel de managed als unmanaged endpoints afdoende beveiligen met bijvoorbeeld patching. Ten tweede: een sterke vorm van authentication invoeren, zoals 2-factor. En ten derde: alle endpoints monitoren via Endpoint Detection & Response, zodat er meteen kan ingegrepen worden bij anomalieën. Je moet in staat zijn om vanop afstand alle devices te gaan beheren en desnoods isoleren. Veel organisaties waren en zijn er nog altijd niet toe in staat.”
“Daarnaast zagen we wereldwijd een sterke toename van social engineering-activiteiten, zoals phishing. Dat is bijzonder kwalijk, maar it’s here to stay. Het is al vaak gezegd, maar het behoeft herhaling: awareness aanscherpen bij elke eindgebruiker is en blijft cruciaal.”
Zijn we ondertussen nog niet platgeslagen met ‘awareness’ campagnes?
Fabrice Wynants: “Ja, maar het blijft nodig. Awareness moet je bekijken op twee assen. Aan de ene kant heb je awareness bij de directie: in hoeverre ziet de C-suite cyber security als een investering en niet als een kost? Die mindswitch zien we jaar na jaar toenemen, niet in het minst omdat het besef groeit dat elk bedrijf, van groot tot klein, geïmpacteerd kan worden, en vooral: in élke sector. Vroeger hoorde ik maakbedrijven wel eens zeggen, “Welke hacker wil hier inbreken? Hier valt toch niets te rapen”. Maar nu cybercriminelen via de poortjes van OT (Operational Technology) en IIoT (Industrial Internet of Things) de weg naar de werkvloer hebben gevonden, en met een welgemikte ransomware-aanval een heel bedrijf kunnen gijzelen, is dat wel anders.”
"Vroeger hoorde ik maakbedrijven wel eens zeggen, “Welke hacker wil hier inbreken? Hier valt toch niets te rapen”. Maar nu cybercriminelen via de poortjes van OT en IIoT de weg naar de werkvloer hebben gevonden, en met een welgemikte ransomware-aanval een heel bedrijf kunnen gijzelen, is dat wel anders."
- Fabrice Wynants, Global Director Cybersecurity
“Daarnaast heb je ook de awareness bij de eindgebruikers. Hoe je ’t ook draait of keert: de meeste incidenten kunnen worden teruggeleid naar een menselijke fout of actie. De klassieke aanpak voor sensibilisering met posters aan de muur, dat werkt niet meer. De meeste mensen kijken daar letterlijk overheen. Wat wij doen bij Cegeka, zowel intern als voor klanten, zijn phishing simulaties. Bij elke Cegeka-werknemer zit er ook standaard een report phishing-knop in de e-mail client. Het handige daaraan is dat je kan meten hoe groot het probleem is, en waar in het bedrijf het zit, zodat je je awareness-training daar ook kan op aanpassen. Veel bedrijven doen dat al, maar bijvoorbeeld maar één keer per jaar, en naar iedereen. Terwijl je veel betere resultaten boekt als je dit regelmatig herhaalt, en specifieke groepen target.”
Heeft de COVID-crisis de rol van de CISO onder druk gezet?
Fabrice Wynants: “In een IT-landschap waar de perimeter steeds verder uit het zicht verdwijnt, had die al zijn handen vol hé (lacht). Maar de pandemie heeft zeker een aantal zaken aangescherpt. Prioriteiten werden herzien, en CISOs moesten daar slim en snel mee kunnen omgaan. Ik zie de rol wél opwaarderen. Nu directies inzien dat kritische bedrijfsprocessen geïmpacteerd kunnen worden, krijgen CISOs veel vaker de kans om strategisch mee te denken, te sturen op entreprise risks.”
“De CISO van vandaag krijgt veel vaker een ‘seat at the table’ aangeboden dan vroeger, toen het vaker een technische rol was. Maar het voert de druk ook wel op: zij of hij moet scherp rapporteren aan de directie. Daar zijn we ons goed van bewust, en onze manier van werken is er ook op toegespitst de CISO daar zo veel mogelijk te assisteren en ontzorgen.”
"Ik zie de rol (van CISO) opwaarderen. Nu directies inzien dat kritische bedrijfsprocessen geïmpacteerd kunnen worden, krijgen CISOs veel vaker de kans om strategisch mee te denken, te sturen op entreprise risks."
- Fabrice Wynants, Global Director Cybersecurity
Je hebt het over de poortjes van OT en IIoT. Loert daar het grote gevaar?
Fabrice Wynants: “Ransomware heeft de afgelopen jaren flink wat brokken gemaakt in industriële omgevingen, en zal dat blijven doen. Toenemende automatisering, introductie van robotica en IoT … het zorgt er allemaal voor dat IT en OT met elkaar vervlochten raken, en dat kwaadaardige code in IT kan doorstoten naar de OT-omgevingen. Cybercriminelen weten dat, en ze zien zo de kans om bedrijven te laten betalen om zichzelf uit zo’n gijzelsituatie vrij te kopen. Dat is big business.”
“Cyber security en resilience moeten dus ook op de werkvloer ingeregeld worden, en dan gelden eigenlijk dezelfde acties – assess, prevent, detect, respond, recover - als bij IT. Ook bij OT moeten bedrijven goed in kaart krijgen welke connected devices kritisch zijn voor de bedrijfsprocessen, wat hun kwetsbaarheid is, hoe we ze in een netwerk kunnen authenticeren enz. Anders dan bij IT zijn de belangrijkste goals bij OT de veiligheid van de mensen, en de beschikbaarheid van de productieprocessen en machines. Dat betekent dat het minder evident en soms zelfs onmogelijk is om bijvoorbeeld agent software te laten draaien in een OT-omgeving. Dat vergt wat spitsvondigheid van onze kant, maar we hebben daarvoor oplossingen in ons end-to-end security-aanbod.”
Het security-aanbod bij Cegeka zit onder de vlag “The Road to Resilience”. Leg eens uit?
Fabrice Wynants: “We werken met een roadmap die bedrijven in staat stelt om zo veilig mogelijk te werken, maar vooral om veerkrachtig – resilient dus – te zijn als er iets misloopt, want geen enkele oplossing biedt 100% garantie. Anders gezegd: er alles aan doen om niet te struikelen, maar àls je struikelt, heel snel weer kunnen rechtveren. Resilience is dan eigenlijk de som van alle security maatregelen – assess, prevent, detect, respond, recover - met daar bovenop een business continuity of recoverability plan. Dat geheel is een programma dat zichzelf voortdurend bijstuurt via continuous improvement.”
"We werken met een roadmap die bedrijven in staat stelt om zo veilig mogelijk te werken, maar vooral om veerkrachtig – resilient dus – te zijn als er iets misloopt, want geen enkele oplossing biedt 100% garantie. Anders gezegd: er alles aan doen om niet te struikelen, maar àls je struikelt, heel snel weer kunnen rechtveren."
- Fabrice Wynants, Global Director Cybersecurity
“Een belangrijke aanpak in dat programma is ‘Zero Trust’. Vroeger werd het IT-landschap ingedeeld in trusted en untrusted zones, en wat binnen de perimeter zat was vaak allemaal trusted. Dus eenmaal binnen, was er geen barrière meer. ‘Zero trust’ gaat uit van ‘never trust, always verify’ en het ‘least privilege’-model, waarbij gebruikers starten met het minimum minimorum aan rechten dat ze nodig hebben om hun job te doen.”
“Verder willen we bedrijven helpen om zich voor te bereiden in geval van een breach, en er dus voor te zorgen dat er snel gedetecteerd en gereageerd kan worden, waarnaar vaak gerefereerd wordt als ‘Assume Breach’. Het is ook niet zo dat alle bedrijfsprocessen even kritisch zijn. Wat we geleerd hebben uit de COVID-crisis is dat heel wat bedrijven eigenlijk geen goed zicht hebben op welke processen nu absoluut kritisch zijn voor business continuity. Ook daar kunnen we bij helpen.”
Waar liggen voor 2021 de accenten bij Cegeka?
Fabrice Wynants: “We zetten dit jaar extra in op een aantal diensten die we as-a-service aanbieden, en die worden geleverd vanuit ons Security Operations Center (SOC), zoals Managed Detection & Response, Endpoint Detection & Response, Privileged Access Management, enzovoort. Dat we dit vanuit ons eigen SOC als dienst kunnen leveren, maakt het aantrekkelijk op het vlak van kost, manageability en ook kennis. Neem nu een PAM-oplossing: dat is doorgaans complex én duur, en je kan er als bedrijf niet meer onderuit. Door die dienst as-a-service af te nemen, wordt het betaalbaar en hoef je als klant niet wakker te liggen van de complexiteit.”
“Daarnaast zijn we hard aan het werk om onze hele waaier aan security diensten te ontsluiten naar ons Customer Engagement portaal, CGK-Horizon. Horizon fungeert als een ‘single pane of glass’ overheen de security posture van de klant, met unified data over firewall policies, vulnerability & compliance information en end-to-end security monitoring voor alle (mobiele) endpoints, digitale werkplekken, servers, applicaties, IT/OT enz. Maar Horizon is meer dan dat: het is de unieke toegangspoort voor elke Cegeka-klant die een dienst van ons afneemt, welke dat ook is.”
Tot slot, waarom Cegeka?
Fabrice Wynants: “Toen ik bij Cegeka aan boord kwam begin 2020, was het één van mijn taken om alle activiteiten op het vlak van security – en dat waren er best wel wat– onder dezelfde vlag en wimpel te trekken. Wat me toen opviel is hoe bescheiden we waren, en nog steeds zijn, als het erop aankomt ons in de markt te zetten. Dat is deels wel een beetje de Cegeka-cultuur, die heel erg no-nonsense en pragmatisch is.”
“Wat ik heel sterk vind aan Cegeka – en niet alleen op het vlak van security – is dat we de capabilities hebben van een corporate onderneming, maar toch heel dichtbij de klant opereren en heel toegankelijk blijven. Deze ‘best of both worlds’ combinatie maakt ons best wel uniek en laat ons toe om op gebied van security dicht bij onze klanten te staan wanneer het er écht toe doet.”
