Computable #2/3 2023, Data- & Cloudsecurity

Enjoying your free trial? Only 9 days left! Upgrade Now

Features
- Create Digital Content
- Turn Content into Income
  - Digital Sales
- Connect Content with People
- Know Content & Audience
  - Statistics
- Empower Marketing Efforts
- Office Tools
  - PDF/Image/Audio/Video Tools
Explore
Templates
- - Catalogs
  - Lookbooks
  - Guidebooks
  - Newsletters
  - Profiles
  - Handbooks
  - Booklets
  - Flipbooks
  All Templates
Solutions
- Popular Uses
- Industries
- Content Types
  - - Flipbook
    - Ebook
    - Handbook
    - Textbook
    - Brand Book
    - Magazine
    - Portfolio
    - Cookbook
  - - Catalog
    - Brochure
    - Booklet
    - Report
    - Presentation
    - Pitch Deck
    - Lookbook
Support
Pricing

Brand-New

Dashboard lnterface

ln the Making

We are proud to announce that we are developing a fresh new dashboard interface to improve user experience.

We invite you to preview our new dashboard and have a try. Some features will become unavailable, but they will be added in the future.

Don't hesitate to try it out as it's easy to switch back to the interface you're used to.

No, try later

Go to new dashboard

Computable #2/3 2023, Data- & Cloudsecurity

Published on Apr 17,2023

Download

Create a Flipbook Now

Computable #2/3 2023, Data- & Cloudsecurity

Published on Apr 17,2023

No description

Publications:

Followers:

Publications

Read Text Version

More from mick.den.dijker

All 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60

P:01

IT BRENGT DEMOCRATIE NAAR JONGEREN LEADERSHIP IN TECHNOLOGY JAARGANG 56 | #2/3 | 2023 DOSSIER DATA- & CLOUDSECURITY ONDERZOEK & TRENDS PAGINA 19 DOORGELICHT GELRE ZIEKENHUIZEN BRENGT EPD NAAR CLOUD CYBERSEC EUROPE VAKBEURS GAAT INTERNATIONAAL PARELTJES DNA SERVICES INTERVIEW MET SECIOR-CEO FRED STREEFLAND ‘OT-SECURITY DATACENTERS IS ONDERMAATS’

P:02

- VOOR STUDENTEN EN STARTERS HÉT CA AR RR R I I È ÈR RE EVENEM - ME EN NT T E- • 80+ WORKSHOPS • CV CHECK • GRATIS LINKEDIN FOTOGRAFIE • OPTREDENS VAN O.A. EMMA HEESTERS & FLEMMING! Computable-advertentie-200x265mm.indd 1 15-03-2023 18:24

P:03

JAARGANG 56 | #2/3 | 2023 JAARGANG 56 | #2/3 | 2023 I I TB T BR RE E N N GT G TD DE EM MO O C C RA R AT T IE I E N N A A A A RJ R JO O N N G GE E RE R E N N LEADERSHIP IN TECHNOLOGY DOORGELICHT GELRE ZIEKENHUIZEN NAAR CLOUD BRENGT EPD DNA SERVICES PARELTJES DOSSIER DATA- & CLOUDSECURITY CLOUDSECURITY DATA- & DOSSIER ONDERZOEK & TRENDS PAGINA 19 CYBERSEC EUROPE VAKBEURS GAAT INTERNATIONAAL F INTERVIEW MET SECIOR-CEO FRED STREEFLAND I ‘OT-SECURITY DATACENTERS IS ONDERMAATS’ ABONNEREN? Vraag uw gratis abonnement aan via www.computable.nl/magazine Jaargang 56 - #2/3 - 2023 Computable is een onafhankelijk vakblad dat bericht over marktontwikkelingen, opinies, projecten in de automatisering en business-vraagstukken in specifieke branches. UITGEVERIJ Jaarbeurs Jaarbeursplein 6 3521 AL Utrecht HOOFDREDACTIE Sander Hulsman REDACTIE Pim van der Beek, Leendert Douma, Robbert Hoeffnagel, Teus Molenaar, Alfred Monterie, Frederic Petitjean, Rik Sanders, Diederik Toet, Ton Verheijen, Cees Visser, William Visterin MEDEWERKERS Hans van Bommel, Dirk Croenen, Roel van Huerck, Mark van Leeuwen, prof. dr. Hans Mulder, John Schaap, Jacob Spoelstra, René Veldwijk, VORMGEVING Wonderworks, Haarlem BEELD Brian Gunther, Daan Muller, Tjarko van der Pol, Marc Weikamp UITGEVER Maringo Vlijter MARKETING Joost de Poorter, Yvette van Wijk SALES Cross Nieuwe Haven 133 3116 AC Schiedam 010 742 1020 [email protected] Thijs de Koning: 010 760 73 26 Manon Dekker: 010 760 73 28 CAMPAIGN MANAGEMENT Tobias Elsing, Megan de Ligt, Joost de Poorter [email protected] DRUK Roularta Printing LEZERSREACTIES [email protected] CONTACT/PERSBERICHTEN [email protected] VRAGEN OVER UW ABONNEMENT? Stuur een e-mail naar [email protected] ISSN 0169-3786 REDACTIONEEL Securitygeweld Cloud en data zijn onlosmakelijk met elkaar verbonden, zeker als het op de beveiliging aankomt. Een beetje discussie over cloudsecurity zal met name gaan over data. Het leek ons daarom een goed idee om eens een dossier te wijden aan data- en cloudsecurity. Volgens mij is dat wel aardig gelukt. Bij Computable werken we net als op vele andere redacties met een (voorlopige) planning. Hierop zetten wij onderwerpen die in onze ogen goed genoeg zijn voor een dossier. Enkele weken voorafgaand aan dit schrijven was de lijst met onderwerpen voor ons Data- & Cloudsecurity- dossier zó lang, dat meer artikelen moesten afvallen dan dat er in deze uitgave zijn afgedrukt. Wat overblijft is een dossier met daarin enkel waardevolle bijdragen. Want heb je het over cloud, dan kom je in een datacenter. Fred Streefland legt graag de noodzaak uit van het beveiligen van de operationele it van een datacenter. En heb je het over iot, dan kom je snel uit bij data. Voor de beveiliging daarvan is het fijn om met een volwassenheidsmodel te werken. Natuurlijk mag vakbeurs Cybersec Europe niet ontbreken in dit dossier en komen ook enkele keynote- sprekers aan bod. Voor alle overige artikelen die niet meer meekonden, geldt dat ze nog in het topic Security op onze website terug te vinden zijn. De Cybersec Europe vindt dit jaar plaats op 19 en 20 april in de Brussels Expo in België. Persoonlijk vind ik dit de leukste beurs van mijn werkgever Jaarbeurs. Tot vorig jaar was zijn voorganger Infosecurity.be vooral een Belgische beurs, maar sinds de naamsverandering in 2022 gaat deze vakbeurs internationaal. De combinatie van internationale allure in combinatie met Belgische gastvrijheid zorgt ervoor dat ik naar deze twee dagen uitkijk. Net als vorig jaar hebben wij ook weer ons Benelux-onderzoek uitgevoerd waarin wij op zoek gaan naar de stand van zaken in cybersecuritybudgetten. De overall conclusie stemt positief, want gemiddeld stijgt het aandeel security in het algehele ict-budget. Opvallende veroorzaker is het mkb, want het zijn namelijk de kleinere organisaties die (eindelijk) security serieus beginnen te nemen en hiervoor meer budget reserveren. Verontrustend is wel dat met name grote organisaties hun ict-budget minder aan security besteden. Blijkbaar investeren zij liever in innovatie en digitale transformatie. U krijgt dus een hoop securitygeweld voor uw kiezen als u doorbladert, maar gelukkig is er meer. Zo zijn de praktijkverhalen bij Eneco en Gelre ziekenhuizen absolute aanraders om wat leestijd voor uit te trekken. En wat dacht u van de vaste rubriek van Hans van Bommel? De afgelopen zeven jaar verzorgde hij de rubriek Govern-IT, maar vanaf deze uitgave zal hij samen met prof. dr. Hans Mulder de nieuwe rubriek High Performers gaan invullen. Kortom, ook in deze uitgave zit er vast iets van uw gading bij! SANDER HULSMAN HOOFDREDACTEUR COMPUTABLE #2/3 | 2023 3

P:04

INHOUD 08 15 52 50 4 #2/3 | 2023

P:05

45 6 Opmerkelijk Strip over Silicon Valley. 8 De Praktijk Eneco versnelt energietransitie met iot-data. 12 Datarevival René Veldwijk over de plotselinge introductie van ChatGPT. 14 Oproep Wie bouwt er mee aan het taxitoezichtsysteem? 15 Review Breng democratie via it naar jongeren. 18 Column Roel van Huerck over het gebrek aan it-kennis. 19 Dossier Data- & Cloudsecurity Cybersecurity die verder gaat dan landsgrenzen. 45 Doorgelicht Gelre ziekenhuizen pioniert met epd in de cloud. 50 Markt in kaart Corona als digitale versneller van de horeca. 52 Pareltjes DNA Services: van it-afdeling naar totaalaanbieder voor het mkb. 56 High Performers Hans van Bommel en Hans Mulder over Flow als herwaar- dering van de staande organisatie. 58 Column Jacob Spoelstra over duivelse spreadsheets. 56 #2/3 | 2023 5

P:06

OPMERKELIJK Carbon & Silicium In de hype rond ai-bot ChatGPT valt geregeld de opmerking te horen dat artificiële intelligentie (ai) nu echt doorgebroken is met allerlei ethische kwesties van dien. Wat dat betreft is de publicatie van de grafische roman ‘Carbon & Silicium’ (uitge- verij Scratch, 272 pagina’s, prijs € 34,95) van de Franse tekenaar Mathieu Bablet een schot in de roos. De strip trapt af in Silicon Valley, ergens in de nabije toekomst. In het innovatieve laboratorium van de Tomorrow Foundation zien twee proto- types van een nieuwe generatie androïden het leven: Carbon en Silicium. Ze zijn gemigreerd van niveau ‘Basis A.I.’ naar ‘Sterke A.I.’ De robotische wezens zijn gevoed met alle menselijke kennis die vanaf de uitvinding van het schrift op het net te vinden is. Hun taak is om de steeds ouder wordende mensheid te ondersteunen en krijgen een levensduur van vijftien jaar mee. U raadt het al: daar weten ze zich succesvol tegen te verzet- ten. Wat volgt is een dystopisch, aangrijpend toekomstverhaal in cyberpunkstijl met robots die menselijk behandeld willen worden én mensen die robotgedrag vertonen omdat ze de hele dag - let- terlijk ook - geconnecteerd zijn. Tekst: Rik Sanders Beeld: Mathieu Bablet 6 #2/3 | 2023

P:07

#2/3 | 2023 7

P:08

MARTIN BERGSMA/SHUTTERSTOCK DE PRAKTIJK 8 #2/3 | 2023

P:09

ENECO VERSNELT ENERGIETRANSITIE MET IOT-DATA Platform draagt bij aan milieu-ambities energieleverancier Eneco wil consumenten en bedrijven over laten stappen naar duurzame energie. Om dit te bereiken, heeft het een internet of things (iot)-platform gebouwd dat communiceert met duizenden verwarmingssystemen in het netwerk. Dit netwerk wordt op dit moment uitgebreid met zonne- en wind- energiesystemen. Eneco doorloopt dit project samen met Amis Conclusion, een samenwerking die vier jaar geleden ontstond en tot doel heeft om iot- data te realiseren en implementeren. TEKST: SANDER HULSMAN BEELD: ENECO/SHUTTERSTOCK Het iot-platform levert een be- langrijke bijdrage aan Eneco’s milieu-ambities. Hierbij levert iot toegevoegde waarde door de prestaties van assets te verbeteren, de beschikbaarheid te verhogen en de kosten te verlagen, maar draagt het ook bij aan de klimaatdoelen van Eneco. De flexibiliteit en schaalbaar- heid van het platform zorgt voor Eneco voor zeer veel mogelijkheden om te innoveren. ONEINDIGE INNOVATIE Paolo Herdé, hoofd asset innovation, en Peter Dreschler, change lead iot, #2/3 | 2023 9

P:10

DE PRAKTIJK 10 #2/3 | 2023 gaven tijdens het IoT Solutions World Congress op 2 februari in Barcelona een toelichting op de reis die ze in de afgelopen jaren hebben afgelegd. Herdé: ‘In onze sessie gingen we in op onze ervaringen en behandelen thema’s zoals waardecreatie, hoe je een dergelijk platform bouwt en hoe we komen tot een cyclus van onein- dige innovatie met iot-data. Ik denk dat we op het punt zijn aangeland dat we op het gebied van het bouwen van iot een aantal best practices met de wereld kunnen delen.’ De Eneco-implementatie beperkt zich niet tot één element, meent Dreschler. ‘We hebben het hier over een meer- voudige oplossing die reikt over alle domeinen en de volledige keten van een energiebedrijf. Daarin voegt iot waarde toe aan de processen voor klanten, asset management, voor de handel in energie, de productie, de energielevering, de werkzaamheden van monteurs maar ook voor home energy management. Het is een ge- neriek platform waarop we alle data van energie-assets en -systemen op kunnen aansluiten.’ HEEL SNEL INNOVEREN Volgens Herdé creëert Eneco hiermee een grootschalig netwerk van alle energie-assets. ‘We zijn niet alleen in staat om data over status en verbruik op te halen, we kunnen ook berichten terugsturen. Dit stelt ons in staat om een fijnmazig beeld te krijgen van de status van het totale energienetwerk en tot in de kleinste details in te grij- pen en de werking van dit systeem bij te sturen. Dit is de basis om onze use- cases te bouwen. In feite kunnen we op basis van deze oplossing use-cases stapelen en snel innoveren.’ Om dit mogelijk maken heeft Eneco volgens Dreschler gekeken naar oplos- singen die voor de energieleverancier de beste ondersteuning bieden. ‘Zowel voor de individuele use-case als de generieke ondersteuning volgens de gedachtegang van het platform. Voor ons betekent dit dat we duidelijke keuzes moeten maken om te zorgen dat we in de toekomst niet vastlopen. Voor veel van onze vraagstukken is een point-oplossing beschikbaar die ideaal is voor deze specifieke vraag maar niet goed samenwerkt met andere cases. Dit vereist dat we zelf de regie naar ons toe te treken en keuzes moeten maken in het platform en de hardware, zodat we dit in de toekomst kunnen hergebruiken.’ SCHAALBAAR NEERZETTEN Met deze aanpak heeft Eneco volgens Herdé inmiddels een soort menukaart gemaakt waarin het oplossingen met elkaar kan combineren. ‘In het begin was het lastig omdat veel onderdelen er nog niet waren, maar nu zijn we in staat om snel use-cases te imple- menteren met hergebruik van zaken die er al zijn. Veel verzoeken die we nu krijgen vallen vanzelf op zijn plek en we zien dat onze keuzes uit het verleden logisch zijn geweest en nu hun vruchten afwerpen. Uit deze aanpak volgt ook dat we alles wat we doe schaalbaar neerzetten zodat we anticiperen op het succes.’ Herdé meent dat de start van het traject relatief saai was. ‘De wetgeving verplichtte ons om voor een bepaalde datum warmtemeters digitaal uit te lezen. Dit was de basis van het iot- platform. Door deze fase bewust niet te spreken van een iot-project (het project heette ‘Meterproject 2.0’) zijn we in staat geweest om zonder veel af- leiding een goede basis neer te zetten. Vanaf het begin hebben we rekening gehouden met zaken als schaalbaar- heid, security en privacy. Dit heeft ons later in de tijd veel profijt gegeven.’ BENUTTING OPTIMALISEREN Volgens Dreschler is Eneco continu bezig om waarde uit de iot-data te kunnen halen. ‘Daardoor blijven we niet in een pilot hangen en richten we ons direct op grootschalige aanpak. We kijken bij het schalen ook zeker naar de kosten, maar doordat we in regie zijn kunnen we deze rechtvaar- digen door verder te groeien. De kunst is om bij de ingang de use-cases te selecteren met een hoge waarde. Door een strenge selectie aan de poort blijft het platform relevant en waardevol. Deze hoge waarde zorgt er ook voor dat we de ontwikkelde cases snel en professioneel in productie nemen. Ook kijken we goed naar de data die we genereren, dan pas valt op hoeveel waarde je kunt genereren. Met een simpel gegeven als verbruik kunnen we, in hoge meetfrequentie, gebruik- sprofielen opstellen, vraag en aanbod afstemmen en de benutting van het ‘VANAF HET BEGIN REKENING HOUDEN MET SCHAALBAARHEID, SECURITY EN PRIVACY’

P:11

hele netwerk optimaliseren. Dit uiter- aard privacy-compliant en na akkoord en toestemming van de gebruikers.’ Vanaf het begin heeft Eneco zich volgens Herdé gerealiseerd dat het niet alle expertise zelf in huis heeft. ‘We hebben bewust de keuze gemaakt om deze zaken in te kopen bij onze partners en ze actief te betrekken in deze samenwerking. Dit betreft onder andere de oem-ontsluiting, de basis voor iot-dataverwerking en de hardware voor connectiviteit. Hiermee hebben we nu alle ingredi- enten in huis om vanuit Eneco heel veel nieuwe diensten te leveren. Kijk bijvoorbeeld naar een complex appa- raat als een warmtepomp. We zijn nu in staat om full-service de hardware, connectiviteit, datastromen, optima- lisatie, onderhoud en monitoring te leveren op basis van onze eigen data. Dat geeft ons een enorme voorsprong op onze concurrentie.’ Paolo Herdé is al ruim anderhalf jaar hoofd asset innovation en transformation bij Eneco. GROOT DROMEN Volgens Dreschler is Eneco erg open in zijn aanpak en durft het groot te dromen. ‘We zijn nu in staat om de hele keten aan te pakken; van groot- schalige zon- en windparken helemaal tot aan de individuele warmtepomp van de consument. We merken dat we daarin voorlopen in de markt en zien interesse van andere energiebedrij- ven in de componenten die wij hier hebben ontwikkeld. We juichen dat alleen maar toe, hoe meer deze com- ponenten gebruikt worden, hoe beter de kwaliteit en hoe lager de kosten als gevolg van schaalvoordeel.’ Herdé is dan ook heel trots op het punt waar Eneco nu staat. Het platform is afgelopen anderhalf tot Peter Dreschler is al ruim ander- half jaar change lead iot / asset control & steering bij Eneco. twee jaar met ruim 25.000 verbonden apparaten uitgebreid en ook is zon- en windenergie toegevoegd. ‘Dit is een startpunt voor erom veel mogelijkhe- den. Ons succes is, naast het gebruik van geode techniek, vooral het resul- taat van ons vermogen om de wensen in kleine iteratief op te leveren, een betrokken groep van partners die de drive hebben om ons vooruit te helpen, goede use-cases, een manage- mentteam dat het lef heeft om door te zetten, en focus op een tastbaar re- sultaat. Het is mooi om te zien dat de verbetering van onze bedrijfsvoering hand-in-hand gaat met de verbete- ring van duurzaamheid. Dat maakt voor mij en voor al mijn collega’s het verschil.’ #2/3 | 2023 11

P:12

12 #2/3 | 2023 DATAREVIVAL Een rubriek van René Veldwijk over de wondere wereld van data. Veldwijk is associé bij Ockham Groep en opiniemaker bij Computable. ai, Ai, AI... EEN TRENDBREUK EN EEN ÜBER-PARSER Van Google tot het legioen ict-watchers en de publiekspers, iedereen is overvallen door de plotselinge introductie van ChatGPT. Maar professionals die zich bezig houden met klassieke data in dito databases blijven muisstil - terwijl ook daar een revolutie zich aandient. TEKST: RENÉ VELDWIJK BEELD: SHUTTERSTOCK Dat de introductie van ChatGPT insloeg als een bom is een under- statement. Ik vergelijk het met de onverwachte lancering van de eerste satelliet in 1957, de Russische Sputnik, middenin de koude oorlog. Iedereen voelt dat de deze chatbot de voorbode is van veel meer. Het verbaast om te zien hoe op- pervlakkig veel reacties zijn. ‘Het onderwijs wordt bedreigd door gegenereerde werkstukken’, is er zo een. Je kunt ook doordenken en ver- moeden dat ChatGPT hetzelfde is voor taalzwakke maar intelligente jongens wat vroeger de rekenmachine was voor mathematisch uitgedaagde maar intelligente meisjes. Misschien ont- feminiseert ChatGPT de samenleving; zomaar een idee. Ander voorbeeld. Ik lees nog niet dat deze artificiële-intelligentie (ai)-tool een droom is voor criminelen en tota- litaire regimes. Vertrouw je leven en denken toe aan ChatGPT en open de deur voor de ultieme identiteits-dief- stal en de gedachtenpolitie in 1984- stijl. En - o, ja - deze ai is alleen weg- gelegd voor techgiganten, dus koop FAANG-aandelen als je die nog niet hebt. En blijf als ict-professional weg uit deze wereld, tenzij je een geniale statisticus bent. Voor je het weet ben je lid van het legioen ai-dompteurs en mag je ai-modellen trainen in een ai-sweatshop van Elon Musk. Ik voor- spel: ‘meer vrouwen in de ict’. En had ik al gezegd dat het energieverbruik van deze ai dat van de Bitcoin doet vergeten? Zoveel nieuwe onbetreden paden! Was ik maar een futuroloog. Maar waar ik ondertussen niemand over hoor, is het effect van ChatGPT op reguliere softwaretoepassingen, apps bovenal. En dat is gek, want ik voorzie ook hier grote effecten. Een gelukkig toeval wil dat ik op afstand betrokken ben bij de ontwikkeling van een consumenten advies-app (sorry, ik houd het vaag). De trekkers zijn marketeers, mensen met meer visie dan een simpele ict’er zoals ik, maar met een wat beperkter vermogen om, hoe zeg ik ‘t, zaken goed te doorden- ken. Terwijl we bezig waren met het ontwerp van onze app barstte de ChatGPT-bom. De marketeers zagen meteen het potentieel. Het eerste idee was om ChatGPT als shell rond onze software en data in te zetten. Ik vroeg of het wel zo slim was om je investering op te hangen aan een nog onbekende derde partij. En misschien vinden consumenten het soms handig om zonder chat-omwegen te zoeken via list boxes en radio buttons. Wat hielp om het idee af te serveren was de reactie van ChatGPT toen ik op een ontworpen vraag naar de stemming van de klant aangaf dat ik seksueel op- gewonden was. ChatGPT is vandaag al preuts en morgen kan het in full-SGP modus draaien. Het volgende idee was om eigen domeininformatie toe te voegen aan de wereldwijsheid van ChatGPT. Ge- lukkig werd een eerlijke ai-adviseur aangetrokken die vertelde dat een serieus ai-trainingsproject een chatbot zou opleveren van het niveau dat we kennen van banken en energiebedrij-

P:13

ven. Dat hielp! Goede ai is peperduur - daarom: koop Big-Techaandelen - en alleen weggelegd voor partijen met geld, menskracht en tijd. Ik hoefde niet eens te argumenteren dat het misschien niet zo’n goed idee is om de unieke productkennis in onze da- tabase en onze experts toe te voegen aan het wereldmodel van ChatGPT zonder keiharde garanties van Open AI, het bedrijf achter ChatGPT. Na deze ervaringen was het ChatGPT- enthousiasme voorbij. Maar ik was veranderd van scepticus in ai-enthou- siasteling. De mogelijkheden om ai- modellen te combineren met klassieke apps zijn enorm zodra je ChatGPT ziet voor wat het is: een über-parser! (een parser is een computerprogramma dat de grammaticale structuur van een invoer volgens een vastgelegde grammatica ontleedt, in het Engels ‘VOOR JE HET WEET BEN JE LID VAN HET LEGIOEN AI-DOMPTEURS‘ ‘parset’, n.v.d.r.) De open vraag naar de stemming van een gebruiker kun je eenvoudig omzetten naar de beperkte wereld van een domein-specifieke app door ChatGPT te vragen om de gege- ven gebruiker-input te classificeren aan de hand van een lijst van mo- gelijkheden, uiteraard op de achter- grond. Gebruikers die off-topic gaan kun je disciplineren door ChatGPT te vragen of eerdere input wel gaat over ‘het product’. Het resultaat is een ap- plicatie die het beste van klassieke ict en moderne ai combineert: een schijn- baar open, wereldwijze applicatie die de gebruiker toe leidt naar een ant- woord op maat, inclusief een heldere onderbouwing van de uitkomsten. Natuurlijk heb ik ChatGPT als über- parser idee voorgelegd aan de marketeers, maar hun focus ligt nu op het uitnutten van onze unieke data met klassieke, bewezen middelen. Ik vind dat uitstekend. ChatGPT als über-parser zal klassieke software niet vervangen en valt gemakkelijk toe te voegen aan bestaande en zelfs legacy-applicaties. Nog een voorspel- ling: terwijl straks veel ‘data scien- tists’ worden ingezet op geestdodend ai-dompteerwerk wordt het leven van oldskool ontwikkelaars een stuk aantrekkelijker. Marketeers mogen mij bellen. PS Deze rubriek is volledig ai-vrij tot stand gekomen. #2/3 | 2023 13

P:14

OPROEP WIE BOUWT MEE AAN TAXITOEZICHTSYSTEEM? De Inspectie Leefomgeving en Transport (ILT) werkt aan een nieuw systeem voor het toezicht op het taxivervoer. De ILT roept daarbij de ict-markt op om commerciële oplossingen voor taxivervoerders te bedenken. . TEKST: RIK SANDERS BEELD: ILT De ILT houdt toezicht op het taxi- vervoer. Nu worden de gegevens, die nodig zijn voor het toezicht, nog vastgelegd in de Boordcomputer Taxi (BCT) die in elk taxivoertuig moet zijn geplaatst. Het gaat om gegevens over het voertuig, de chauffeur, taxi- onderneming, taxiritten en arbeids- en rusttijden, ook wel de taxitoezicht- gegevens genoemd. Maar dit systeem is geen doorslaand succes geworden. Daarbij liep ook nog eens de geldig- heid van public key infrastructure (pki)-overheidscertificaten voor BCT- kaarten in 2020 af; vervanging ervan kostte een aantal miljoenen. De staatssecretaris van het ministerie van Infrastructuur en Waterstaat wilde zo’n situatie niet nog een keer en vroeg toezichthouder ILT om met een alternatief te komen. Dat wordt uitgewerkt in het project Realisatie Inspecteur van de ILT met de BCT Toezichttool op een bijrijdersstoel. Variant BCT. Daarvoor wordt de vorm van de apparatuur, waarmee de taxitoezichtgegevens worden geregis- treerd en aangeleverd, losgelaten. In de nieuwe opzet gebeurt het aanleve- ren van realtime-data onder strikte voorwaarden. Maar taxibedrijven mogen zelf kiezen met behulp van welke commerciële producten en diensten zij deze gegevens naar de ILT toesturen. De toezichthouder doet een oproep aan ict-bedrijven om de daarvoor benodigde apparatuur en/of software te ontwikkelen en op de markt te brengen, onder meer door de specifi- caties voor de gegevensuitwisseling beschikbaar te stellen. De inwer- kingtreding van de aangepaste wet voor Variant BCT staat gepland op 1 juli 2024. Als het systeem daarna operationeel wordt, is er sprake van een overgangsperiode van een aantal jaren tot november 2028. Dan vervalt het rootcertificaat van de huidige BCT- kaarten en moet elke taxivervoerder met het nieuwe systeem werken. Afgelopen 16 maart organiseerde de ILT een eerste informatiebijeen- komst voor ict-dienstverleners. Zo’n twintig partijen uit de taxibranche, waaronder de drie BCT-leveranciers, maar ook uit de logistieke wereld en ict-branche lieten zich in de Social Impact Factory aan het Vredenburg in Utrecht bijpraten over de contouren van het programma. De komende maanden publiceert de ILT api-speci- ficaties en koppelvlakdocumentatie en er zullen meer informatie- en overlegrondes volgen. In het najaar staat een praktijktoets op de plan- ning, waarbij de inspectie proefdraait met een aantal taxi-ondernemers en techleveranciers die zich in de tussen- tijd hebben gemeld. Aanmelden Partijen die overwegen een alternatief voor de BCT te ontwikkelen, kunnen zich melden bij de ILT via het mailadres [email protected]. Meer informatie over het project is terug te vinden op de communitysite DMI - Realisatie Variant BCT. Scan hiervoor de qr-code. 14 #2/3 | 2023

P:15

REVIEW BRENG DEMOCRATIE VIA IT NAAR JONGEREN Cambridge Analytica, toeslagenschandaal, informatieoorlogen en Big Tech-monopolies; er is weinig reden te verwachten dat informatietechnologie (it) het democratisch gehalte van een samenleving versterkt. Toch is Rudy van Belkom in zijn boek ‘Alive and Clicking’ hoopvol gestemd. Onder meer door de beweging G0v (spreek uit als gov-zero) en de vaststelling dat jongeren zich niet snel laten ringeloren. TEKST: TEUS MOLENAAR BEELD: MARC WEIKAMP #2/3 | 2023 15

P:16

16 #2/3 | 2023 REVIEW Van Belkom is directeur van de Stichting Toekomstbeeld der Techniek, dat al meer dan vijftig jaar brede toekomstverkenningen uitvoert (domein-overstijgend en interdisciplinair) op het snijvlak van technologie en samenleving. Gedre- ven door diverse schandalen, gerela- teerd aan informatietechnologie, lage opkomstcijfers van vooral jongeren bij verkiezingen en de toenemende macht van Big Tech (Amazon, Google, Apple, Facebook, Twitter, Instagram, TikTok) heeft hij een kleine twee jaar intensief onderzoek gedaan naar de toekomst van de democratie. Waarbij hij zelf regelmatig zijn eigen denk- beelden moest bijstellen. Of in Van Belkoms woorden: ‘Als ik bij mijn broer op bezoek ben, zitten zijn tienerdochters (mijn nichtjes) bijna letterlijk met hun gezicht aan hun scherm vastgeplakt. Het enige dat ik zie en hoor zijn ‘domme filmpjes’ en ‘gekke dansjes’. Maar dankzij dit onderzoek weet ik dat we ze anders moeten benaderen als we ze willen betrekken bij democratie en politieke besluitvorming. Terwijl ze (in onze ogen) doelloos scrollen en swipen, zijn ze bezig om hun identiteit en wereldbeeld te vormen. Ze gaan veel kritischer om met nieuwe technolo- gieën dan vaak wordt gedacht.’ ONDER DRUK ‘Van Belkoms boek ‘Alive and Clicking - Er is hoop voor de democratie’ laat zien dat digitalisering onze democra- tie niet alleen onder druk zet, maar óók kansen biedt. Nederland moet de positieve mogelijkheden verkennen en digitalisering ter verdediging van de democratie inzetten’, meldt Lola ’t Hart. Zij is programmamaker bij De Balie in Amsterdam. Om te weten waar we het over hebben, onderzoekt Van Belkom al- lereerst het begrip democratie. Om vast te stellen dat ‘de democratie’ niet bestaat. Zo is er een groot verschil tussen de vertegenwoordigende sys- temen van bijvoorbeeld de Russische president Poetin, de Hongaarse pre- mier Orbán en Frankrijk. Dat de eerste twee systemen worden benoemd door de naam van een persoon en het derde door de naam van het land zegt al genoeg. ‘Er zijn bijna net zoveel verschillende vormen van democratie, als dat er democratische naties in de wereld zijn’, constateert Van Belkom. Ook de inzet van informatietechno- logie verschilt in democratieën. Zij is te gebruiken om burgers te controle- ren en kort te houden, maar ook om burgers te enthousiasmeren om actief deel te nemen aan het landsbestuur. VERSLAAFD ‘Jongeren van nu zijn verwend, slecht geïnformeerd, verslaafd aan hun telefoon en geob- sedeerd door selfies. Boven alles zijn ze ego- centrisch en onverschil- lig’, meldt Van Belkom. Uit zijn onderzoek evenwel komt, zelfs tot zijn eigen verrassing, een heel ander beeld naar voren. Het mooie van Van Belkoms onder- zoek is dat hij de jongeren (wereld- wijd) actief heeft betrokken bij zijn studie. Zo heeft hij een essay-wedstrijd uitgeschreven onder jongeren om te achterhalen wat zij van democratie vinden. Van drie essays heeft hij een samenvatting in het boek opgenomen. Ook beschrijft hij tal van onderzoeken die door instituties zijn uitgevoerd naar de houding van jongeren. In een uitgebreid notenapparaat zijn de bronnen opgenomen (boeken, studies, en dergelijke). Het resultaat: jongeren zijn wel degelijk actief. Niet zozeer bij politieke partijen en verkiezingen (zeg maar: de huidige, ‘oude’ demo- cratische vormen) als wel bij actuele onderwerpen als klimaatverandering, dierenwelzijn, vervuiling en armoede. Het is volgens Van Belkom nodig om de democratische beginselen zo aan te passen dat hun inbreng een plaats krijgt. ECHOKAMER De auteur gaat in op ‘informatie- vervalsing’, het idee dat mensen vastzitten in hun zeepbellen en – vanwege de algorit- mes van

P:17

Facebook, Google, TikTok – alleen maar informatie tot zich nemen die hun eigen mening versterken. Uit onderzoek blijkt dat dit niet het geval is. Ook al zitten velen in de door Big Tech geconstrueerde filterbubbels, zij zoeken wel degelijk informatie buiten deze begrenzing. Toch willen mensen graag ergens ‘bij horen’. Daarvoor zoeken ze naar gelijkgestemde menin- gen op sociale media om zo terecht te komen in ‘echokamers’, een plek waar ze bevestigd worden in onze hun eigen overtuigingen en andersden- kenden gedemoniseerd worden. ‘Het probleem van een echokamer is niet dat mensen niet meer in aanraking kúnnen komen met andersdenken- den, maar dat andersdenkenden niet langer worden vertrouwd. Tegelijker- tijd kan het vertrouwen in gelijkge- stemden juist in alle vrijheid groeien. In dat opzicht heeft een echokamer wel wat weg van een sekte’, aldus Van Belkom. Hoewel het hier om een kleine fractie gaat, is het volgens hem zinvol hier aandacht aan te besteden, omdat het draait om vertrouwen en wan- trouwen. En een democratie drijft op vertrouwen. Dit onderwerp behandelt Van Belkom uitgebreid. ROOKGORDIJN Van Belkom heeft geleerd dat jonge- ren kritisch zijn op de informatie die zij krijgen voorgeschoteld en goed in staat zijn om nepnieuws te herkennen. Daar kunnen volwas- senen veel van leren. Ook hebben zij geleerd om de algoritmen van Big Tech te omzeilen. Zoals rijke bedrijven en mensen een rookgordijn weven om de Belastingdienst te omzeilen. Hij beschrijft het voorbeeld van Sa- mantha Mosley die tijdens de Shmoo- con hacker-conferentie in 2020 uit de doeken doet hoe zij Instagram voor de gek weet te houden. Zij heeft een Rinsta-profiel (Real Instagram), een Finsta-profiel (Fake Instagram) en ver- volgens profielen die door meerdere mensen worden beheerd. Een doolhof waar Instagram maar moeilijk een aan adverteerders te verkopen profiel weet te maken. Jongeren, zo blijkt, kennen de trucs om onder de radar te blijven. Dat is hoopvol. Tegelijk zijn er maatregelen nodig om de macht van Big Tech in te dammen. Internet, zo betoogt Van Belkom, zou een nutsvoorziening moeten zijn. Hij ziet in de boezem van de Europese Unie richtlijnen ontstaan om het digitale heft in eigen handen te nemen. MODERNE DEMOCRATIE Van Belkom heeft een uitvoerige studie naar de levensvatbaarheid van inclusieve democratie gedaan. Hij neemt de lezer mee op zijn zoektocht en is openhartig over zijn bevindin- gen. Het voorbeeld van G0v laat zien dat de technologische ontwikkelingen, mits goed ingezet, kunnen leiden tot een moderne democratie. Volgens Audrey Tang, minister of Digi- tal Affairs van Taiwan, is het politieke probleem een informatieprobleem. “In ict-termen komt het er volgens haar op neer dat je door eens in de vier jaar te stemmen slechts 5 bit aan informatie uploadt naar het systeem. Met tweejaarlijkse referenda kom je misschien tot 10 of 20 bit. Ter vergelij- king, met een basisinternetverbinding kun je 50 miljoen bits per seconde uit- wisselen.’ Het antwoord is vTaiwan (v = virtual), een proces dat het mogelijk maakt dat burgers op ieder moment wetgeving kunnen helpen vormge- ven, verbeteren en bediscussiëren. Zo heeft Van Belkom voorbeelden gevon- den (ook op IJsland) waarbij proces- sen, mogelijk gemaakt door mo- derne technologie, jongeren betrekken bij democratische besluitvorming. Er is nog hoop. #2/3 | 2023 17 ‘Alive and Clicking - Er is hoop voor de democratie’ (Bot Uitgevers, ISBN 9789083207162, 368 pagina’s, prijs €24,95 (€14,99 e-book)

P:18

COLUMN Gebrek aan it-kennis is uitdaging voor organisaties Innovaties in de it-sector volgen elkaar razendsnel op. Van ai tot low-code. Daar- naast winnen technologieën zoals cloud, opensource-tools en devops aan populariteit. Organisaties móéten tech-ontwikkelingen op de voet te volgen. Doen ze dat niet, dan zijn concurrenten hen voor en verliezen ze hun aantrekkelijkheid voor it-talent. Uit ons onderzoek blijkt dat een kwart van de it-professionals elke paar jaar van baan wis- selt om zich te blijven ontwikkelen. Actuele it-kennis en -vaardigheden zijn cruciaal voor een organisatie om te groeien. Hoe pak je dat aan? Een voor de hand liggende manier om de it-kennis van werknemers te verbeteren, is het aanbieden van opleidingsmogelijkhe- den. Daarmee help je professionals om bij te blijven in de veranderende it-wereld. Bo- vendien is het een kans voor it’ers om zich te specialiseren in nieuwe technologieën. Denk aan een cursus over programmeertalen. De verwachting is dat it’ers in de toekomst gaan werken met Javascript (41%), Java (38%) en Python (35%). Het hoeft niet altijd te gaan om een (dure) externe cursus of opleiding. Organisaties kunnen ook investeren in in- terne ontwikkelingsmogelijkheden, zoals het aanbieden van workshops. Laat it’ers van elkaar leren. Zet een trai- neeship-programma op, dat jong it-talent koppelt aan een ervaren iemand. De junior leert de kneepjes van het vak, terwijl de senior wijzer wordt van de frisse inzich- ROEL VAN HEURCK ten die het talent meebrengt. Je kunt ook faciliteren dat it’ers kennis vergaren over een bepaald subdomein van hun expertise. It-professionals zijn nog geen expert op dat gebied, maar krijgen hierdoor de kans om deze expertise uit te bouwen. Durf ook verder te denken, zoals het bijwonen van een hackathon of Capture The Flag. Op dergelijke evenementen ontwikkelen en testen it’ers snel nieuwe ideeën en vinden ze ruimte om hun kennis en vaardigheden te vergroten. Deelnemers die buiten hun comfortzone werken, doen altijd nieuwe inzichten op. Houd bij dit alles in gedachten dat it-talent je organisatie zal verlaten als het onvol- doende ontwikkelingsmogelijkheden heeft. Uit genoemde studie blijkt dat een derde van de it-professionals de neiging heeft om van werkgever te wisselen als hun kennisniveau hoger wordt dan dat van collega’s. Het voor- oplopen in it-kennis is dus een manier om jong talent aan te trekken. Door te innoveren, bind je de juiste it-professionals aan je, die er op hun beurt weer vernieuwing aanjagen. Een vicieuze cirkel die je graag in je bedrijf ziet. Het is een gemiste kans dat een relatief groot deel van de organisaties nieuwe, relevante technologieën niet op de voet volgen. Hier- door lopen ze niet alleen als organisatie achter op it-gebied, maar zijn ze ook minder aantrekkelijk voor it-talent. Tijd dus om de kennis bij te spijkeren én op niveau te houden. Want uiteindelijk kunnen de vaar- digheden van je werknemers je organisatie maken of breken. BUSINESS LEAD NEDERLAND BIJ AXXES 18 #2/3 | 2023

P:19

DOSSIER DATA- & CLOUDSECURITY DOSSIER DATA- & CLOUDSECURITY 20 Cybersec 36 Datasecurity Maturity-model schiet security digital twins te hulp. 39 Advertorial Gemeente Amsterdam voert digitale transformatie door met impact voor de stad. 40 Hacking Ethisch hacker Inti De Ceukelaire focust op bedrijfskwetsbaarheden. 43 Advertorial Hogeschool Leiden en NFI starten met master Digital Forensics. 44 Column John Schaap over het betalen met jouw data. Europe 2023 Ict-vakbeurs wordt steeds inter- nationaler: een overzicht. 22 Onderzoek Ict-budget gaat steeds vaker naar security, vooral mkb trekt portemonnee. 26 Gesignaleerd Vier security-uitdagingen in de verzekeringsbranche. 28 Interview Fred Streefland laakt ot-beveili- ging van datacenters. 34 Expertopinie Mark van Leeuwen over zero- trust in de cloud. Security was hot, security is hot en security blijft hot. Door de opkomst van cloud computing is de discussie over security ook naar de cloud verlegd. Want hoe zorg je dat je veilig blijft als iemand anders garant moet staan voor jouw veiligheid? Een cruciaal onderdeel hierin zijn data. Hoe bescherm je jouw data in de cloud en hoe kan je voldoen aan wet- en regelgeving als je bijvoorbeeld met internationale cloudaanbieders samenwerkt? In dit dossier aandacht voor cybersecurity, met speciale aandacht voor data en cloud. #2/3 | 2023 19

P:20

CYBERSEC EUROPE 2023 DOSSIER DATA- & CLOUDSECURITY CYBERSEC EUROPE WORDT STEEDS INTERNATIONALER 19 en 20 april 2023, Brussels Expo Landsgrenzen zijn niet heilig voor hackers, net als de beveiliging van organisaties. Daarom is security niet een lokale maar een internationale aangelegenheid. Dat is ook de reden dat vakbeurs Cybersec Europe sinds vorig jaar zich op het internationale publiek richt, nadat voorganger Infosecurity.be alleen een focus op de Belgische markt had. En met succes, want de tweede editie van deze vernieuwde beurs kent een spec- taculaire, internationale line-up met keynotes! TEKST: SANDER HULSMAN EN WILLIAM VISTERIN BEELD: CYBERSEC EUROPE Cybersec Europe keert op 19 en 20 april terug naar Brussel. Content vormt de rode draad in het programma. De vakbeurs profileert zich als de go-to-hub voor iedereen die zich bezighoudt met cybersecurity. Cybersec Europe brengt internationale partijen samen om ideeën uit te wisselen en samenwerkingsverbanden op te zetten. ‘Hiervoor bieden we ruimte voor ongeveer 130 expo- santen en meer dan vijfduizend bezoekers’, aldus Mick den Dijker, woordvoerder van Jaarbeurs, de organisator van Cybersec Europe. ‘Per dag vinden er ruim honderd sessies plaats, waaronder meer dan tien keynotes, panelgesprekken en diepte-interviews.’ Op beide dagen komen verschil- lende internationale experts aan het woord. Zij kaarten uiteenlo- pende thema’s aan zoals de psycho- logie achter een sterke cybersecu- ritystrategie, de uitdagingen rond kwantumcomputing, generative ai (denk maar aan ChatGPT) of de maatschappelijk en business impact van misinformatie. Elders in dit magazine komen al keynote- sprekers Fred Streefland (vanaf pagina 28) en Inti De Ceukelaire (vanaf pagina 40) aan bod. Daarnaast is er op Cybersec Europe ook nog een ‘heroes stage’ waar je gedurende de twee beursdagen terecht kan voor presentaties en pitches van (jong) it- en security- talent. Op 20 april worden op dat podium ook de Computable Awards België uitgereikt met Wim De Vilder als host. Van beide beursdagen lichten we drie keynotes uit. 19 APRIL 2023 THE FRONT LINE OF DIGITAL DE- FENCE: LESSONS FROM UKRAINE’S WAR AGAINST DISINFORMATION 11.45 uur Ksenia Iliuk (LetsData) Deze keynote gaat over de desinfor- matie en cyberaanvallen in hybride oorlogsvoering tijdens de nieuwe fase van de Russische oorlog in Oekraïne. Iliuk deelt ervaringen uit eerste hand over de samenwerking tussen de Oekraïense regering, het bedrijfsleven en het maatschap- pelijk middenveld om deze digitale dreiging tegen te gaan. 20 #2/3 | 2023

P:21

Computable Awards België •11.00 uur: pitches Tech Startuip of the Year •11.45 uur: pitches Next Generation Award •12.45 uur: pitches Security Innovation of the Year + Benelux-onderzoek cybersecuritybudgetten •13.35 uur: genomineerden IT Project of the Year in SMB Market •14.05 uur: genomineerden IT Project of the Year in Public Market •14.35 uur: genomineerden IT Project of the Year in Enterprise Market •15.05 uur: genomineerden Social Innovation of the Year •15.45 uur: winnaarsceremonie Computable Awards België Aanmelding Inschrijven voor Cy- bersec Europe (voor 19 en 20 april) is gratis. Na registratie krijg je toe- gang tot de beurs en kan je ook je geregistreerde data delen met specifieke exposanten of sprekers waarmee je graag in contact wil komen of informatie van wil ontvangen. Volledige programma door kwantumtechnologie. Dan gaat het over de toekomst, verandering en de impact op gegevensbescherming en privacy. Hij definieert hierbij een robuuste en solide benadering van het kwantumtijdperk zonder gehei- men en, zonder digitale grenzen. CAN CHATGPT CHANGE THE WORLD – AND SHOULD WE LET IT? 13.30 uur Lesley Kipling (Microsoft) Kan de technologie achter ChatGPT de wereld veranderen? Deze sessie onderzoekt het concept van toege- paste waarneembaarheid, de uitda- gingen en voordelen van het integre- ren van signalen met AIMLops. DOSSIER DATA- & CLOUDSECURITY THOSE ARE MY (ETHICAL) PRINCIPLES, AND IF YOU DON’T LIKE THEM... WELL, I HAVE OTHERS 12.45 uur Pablo Ballarin (Balusian) Veel van onze beslissingen worden bepaald door ethiek, de moraal van een samenleving die beschrijft wat juist is om te doen. Wat gebeurt er als algoritmen ook worden gebruikt in oplossingen die beslissingen nemen die cruciaal zijn voor ons leven? Wat voor problemen en risico’s brengt dat met zich mee? In deze keynote duidelijkheid! THE ERA OF GENERATIVE AI 13.25 uur Nina Schick (Tamang Ventures) Ai-expert Nina Schick denkt dat ge- nerative ai zal leiden tot een nieuwe fase in de menselijke evolutie, een fase die alle aspecten van menselijke creativiteit, communicatie, kennis en informatie fundamenteel zal hervor- men. Dergelijke almachtige techno- logieën roepen vragen op. Zal ai ons versterken of automatiseren? Wie beheert de generative ai-systemen? Hoe zit het met data en privacy? Kan dit een open infrastructuur voor de mensheid worden? Hoe wordt de overvloed aan informatie verdeeld? Schick komt met antwoorden. 20 APRIL 2023 THE HUMAN IN SECURITY 11.55 uur Iretioluwa Akerele (Cybarik Limited) In deze keynote richt Akerele zich op het menselijke aspect in beveiliging, door te praten over de psychologie, het infiltreren van mensen, algemene social engineering-tactieken, mens- gerelateerde cyberaanvallen en de weg vooruit. QUANTUM COMPUTING: THE END OF PRIVACY AS WE KNOW IT 12.45 uur Ramsés Gallego (CyberRes) In deze keynote gaat Gallego in op de uitdagingen waarmee de samenle- ving als geheel wordt geconfronteerd #2/3 | 2023 21

P:22

WERKGEVERSONDERZOEK ICT DOSSIER DATA- & CLOUDSECURITY MKB MAAKT INHAALSLAG MET ICT-BUDGET SECURITY Grotere organisaties reserveren minder geld voor beveiliging Nederlandse organisaties reserveren meer budget om zich te wapenen tegen cyberaanval- len. Waar vorig jaar security nog 15,16 procent van het ict-budget uitmaakte, daar stijgt dit percentage in 2023 naar 16,45 procent. Het zijn met name de organisaties met kleinere ict-budgetten die steeds meer investeren in hun beveiliging. Het mkb is bezig met een inhaalslag, daar waar grote organisaties gemiddeld genomen minder budget vrijmaken voor cybersecurity. Dit blijkt uit eigen onderzoek van Computable dat Enigma Research in opdracht uitvoerde. 22 #2/3 | 2023 TEKST: SANDER HULSMAN BEELD: SHUTTERSTOCK De toename van de lagere secu- ritybudgetten (tot honderddui- zend euro) staat haaks op het feit dat juist de hogere budgetten voor cybersecurity teruglopen. Het zijn dus vooral het grootbedrijf, multinationals en grote eindgebrui- kers die minder van hun ict-budget in 2023 reserveren voor security. Eigenlijk alle investeringen boven een ton lopen terug, behalve die tussen de twee en vijf miljoen euro. Die budgetten zijn ten opzichte van vorig jaar gelijk gebleven SECURITY-FTE’S Enigma Research onderscheidt in zijn onderzoek vier type organi- saties: micro (maximaal 10 fte’s), kleine (11-50 fte’s), middelgrote (51-250 fte’s) en grote (meer dan 250 fte’s). Wanneer gekeken wordt naar het aantal fte’s met een security-ge- relateerd ict-profiel dan werken bij het merendeel van de Nederlandse micro- (90 procent), kleine (74 pro- cent) en middelgrote (77 procent) organisaties niet meer dan vier fte’s met zo’n profiel. 61 procent van de grote organisaties komt wel boven de vier fte uit. Wat verder nog opvalt is dat bij de organisa- ties tot vijftig fte ruim 15 procent van de Nederlandse respondenten aangeeft dat er twintig tot vijftig fte’s in security-gerelateerde functie Securitybudget 2023 Ontwikkeling securitybudget in Nederland (2023 t.o.v. 2022) Budget 2023 2022 €0 - €999 10% 10% €1.000 - €4.999 4% 6% €5.000 - €9.999 4% 2% €10.000 - €24.999 6% 5% €25.000 - €99.999 13% 9% €100.000 - €499.999 8% 10% €500.000 - €999.999 3% 4% €1.000.000 - €1.999.999 1% 2% €2.000 000 - €4.999.999 3% 3% €5.000.000 of meer 5% 7% Weet ik niet 42% 42%

P:23

geeft. Kleine en middelgrote bedrij- ven hebben een iets hoger budget; respectievelijk 60 procent en 75 procent geeft tussen de vijfduizend en honderdduizend euro uit. De forse budgetten zijn beschikbaar bij grote organisaties; bijna twee derde (63 procent) geeft meer dan honderddui- zend euro uit. Wat betreft de verschillende bran- ches in Nederland geeft de overheid verreweg het meeste geld uit aan security (60 procent besteedt hon- derdduizend euro of meer). In de zorg is het budget een stuk lager; bij bijna 62 procent komt het budget niet boven de 25.000 euro uit. In de ict- markt zijn de hoogtes van budgetten redelijk gelijk verdeeld, waarbij een budget tussen de 25.000 en honderd- duizend euro het vaakst opgevoerd wordt (16 procent). NIST CYBER SECURITY FRAMEWORK In het onderzoek is ook naar speci- fieke onderwerpen gekeken, waar- bij Enigma Research de principes hanteert die zijn vastgelegd in het NIST Cyber Security Framework. Daarbij is er grofweg een verdeling in vijf deelgebieden: Identify, Protect, Detect, Respond en Recover. Net als vorig jaar is volgens de Nederlandse ondervraagden ‘Protect’ de post waar gemiddeld het grootste gedeelte van het securitybudget aan uitgegeven wordt (30,3 procent). ‘Identify’ en ‘Detect’ volgen respectievelijk met 22,3 en 19,3 procent. In de deelge- bieden ‘Respond’ (14,9 procent) en ‘Recover’ (13,2 procent) wordt iets minder geïnvesteerd. Onder ‘Protect’ vallen zaken als toegangscontrole, awareness en training, datasecurity, informatiebe- veiligingsprocessen en -procedures, onderhoud en beschermende techno- logie. ‘Identify’ behelst oplossingen voor bijvoorbeeld asset manage- ment, zakelijke omgevingen, gover- nance, risicobeoordeling en een risk management-strategie. Bij ‘Detect’ moet er aan zaken gedacht worden DOSSIER DATA- & CLOUDSECURITY werken. Dat betekent dat het securi- tybudgetonderzoek bovenmatig veel respondenten heeft aangetrokken die werken bij it-beveiligingsspecialisten. Ruim vier op de vijf (82 procent) zorgorganisaties in dit onderzoek zijn grote bedrijven met meer dan 250 fte’s. Het aantal fte’s met een security-gerelateerd ict-profiel is bij zorgorganisaties, gezien de omvang van deze bedrijven, opvallend laag. Bij 82 procent van de Nederlandse zorgorganisaties werken maximaal vier fte’s in dit vakgebied. Bij over- heidsorganisaties zakt dit percen- tage tot net boven de helft. Bijna 36 procent beschikt over vijf tot vijftig beveiligings-fte’s. OMVANG ORGANISATIE Het securitybudget van de organisa- tie is lang niet bij alle werknemers bekend; ruim twee op de vijf (42 procent) Nederlandse ondervraagden zeggen niet te weten hoe groot dit is voor 2023. Wat betreft welk aandeel het beveiligingsbudget heeft in het totale ict-budget kan slechts bijna een kwart (24 procent) een inschatting maken; gemiddeld komt dit aandeel in Nederland dus uit op 16,45 procent. Het securitybudget in euro’s neemt toe met de bedrijfsgrootte. Zo zegt 90 procent van de ondervraagden die werken bij een micro-organisatie dat hun bedrijf naar schatting niet meer dan vijfduizend euro in 2023 uit- #2/3 | 2023 23

P:24

WERKGEVERSONDERZOEK ICT DOSSIER DATA- & CLOUDSECURITY als afwijkingen en events, security continuous monitoring en detec- tieprocessen. Bij ‘Respond’ gaat het bijvoorbeeld over responsplanning, communicatie, analyse, mitigatie en verbeteringen en onder ‘Recover’ vallen zaken als herstelplanning, verbeteringen en communicatie. EXTERN VS. INTERN Gemiddeld genomen besteden Ne- derlandse organisaties bijna de helft (49,7 procent) van het securitybudget extern door één of meerdere partners in de arm te nemen. Micro- (46,5 pro- cent) en middelgrote (43,4 procent) organisaties besteden net wat minder extern dan kleine (52,8 procent) en grote organisaties (51,9 procent). Er zit dan nagenoeg geen verschil tussen professionals en beslissers in de mate van interne of externe inhuur. Beide percentages zijn nagenoeg 50 procent, waarbij interne inhuur net iets vaker gedaan wordt. In de zorg wordt een opvallend groter percentage (72,7 procent) van het budget aan externe inhuur besteed. Nederlandse ict-organisaties besteden juist een groter percen- tage van het beveiligingsbudget aan intern dan extern (57,5 procent), net trouwens als overheidsorganisaties (54,2 procent). Top 10 Nederlandse securityleveranciers RANSOMWARE De afgelopen paar jaar is ransom- ware bezig met een opmars, maar toch maken Nederlandse organi- saties zich er minder druk om dan in 2022. 37 procent van de organi- saties heeft in de afgelopen twee jaar meer budget vrijgemaakt om gijzelsoftware te bestrijden en/of te voorkomen en nog eens ruim een kwart (27 procent) zegt dat er hier dit jaar (weer) meer budget voor vrijkomt. Dit is echter lager dan vorig jaar; toen gaf nog 38 procent aan dat er ook dit jaar (weer) meer budget vrij zou komen. In totaal steekt 56 procent van de organisaties nu of in de afgelopen twee jaar extra geld in de bestrijding en/of het voorkomen van ransomware. Dit was vorig jaar in Nederland nog 66 procent. Zeven op de tien microbedrijven geeft aan dat er helemaal geen extra budget vrijkomt of al is vrijgekomen. 43 procent van de kleine, 40 procent van de middelgrote en 39 procent van de grote organisaties trekt geen extra geld uit voor de bestrijding van ransomware. Ook in de zorg zien we met 56 procent dat een meerderheid geen extra geld uittrekt om zich tegen deze vorm van cybercriminaliteit te beschermen. Dat ligt bij ict- (41 pro- cent) en vooral overheidsorganisaties (31 procent) weer anders. SECURITY OPERATIONS CENTER Een security operations center (soc) wordt het vaakst in Nederland gebruikt door grote organisaties (66 procent). Ongeveer één op de drie middelgrote (31 procent) en kleine (bijna 24 procent) bedrijven hebben een soc. Bij Nederlandse micro- organisaties komt een soc het minst vaak voor (bijna 14 procent). Daarbij blijken vooral overheidsinstellin- gen gebruik te maken van een soc (bijna 77 procent). Dat is beduidend meer dan de bijna 27 procent van de zorginstanties die gebruikmaken van een soc. Het percentage voor ict-orga- ORGANISATIES HOUDEN ZICH HET VAAKST BEZIG MET ‘NETWERKBEVEILIGING’ EN ‘SECURITY AWARENESS’, GEVOLGD DOOR ‘DATABEVEILIGING’ EN ‘APPLICATIEBEVEILIGING’ nisaties ligt op ruim 51 procent. Bijna de helft van de Nederlandse organisaties met een soc bemandt deze intern (48 procent). Bijna een kwart (24 procent) besteedt het uit en bijna drie op de tien hebben het soc gevarieerd ingevuld met interne- en externe medewerkers (27 procent). Als we kijken naar de zorgorganisa- ties, dan heeft niemand volledig het soc intern bemand. In 40 procent gaat het om volledige uitbesteding, in 60 procent van de gevallen is het een combinatie tussen intern en extern. Bij de overheid zijn de percentages voor intern en extern nagenoeg gelijk (allebei 38 procent, in een kwart van de gevallen is het gecombineerd. In de ict-markt is het gangbaar om het soc intern te bemannen (78 procent). SOORTEN BEVEILIGING Organisaties houden zich het vaakst bezig met ‘netwerkbeveiliging’ en ‘se- curity awareness’ (beide 17 procent), gevolgd door ‘databeveiliging’ en ‘applicatiebeveiliging’ (beide 16 pro- cent). Overigens geeft ook 17 procent van de Nederlandse respondenten aan dat het zich met andere soorten beveiliging bezighoudt. Er worden dan zaken genoemd als forensics, privacybescherming en risk manage- ment. Slechts 10 procent heeft in Nederland de focus op ‘cloudbeveili- ging’ en ‘endpoint-beveiliging’ scoort met 8 procent in ons land het laagst. Ongeacht de vorm van security, zijn Microsoft, Fortinet, Cisco, Fox-IT en AwareTrain in de Benelux de externe 1 2 3 4 5 6 7 8 9 10 1 Microsoft 3 Fortinet 5 Cisco 2 Fox-IT - AwareTrain - Sophos 3 KPN - Eset - SentinelOne - F5 9,71% 3,43% 2,67% 2,29% 1,90% 1,71%* 1,71% 1,52%* 1,52% 1,14% 2022 Securityleverancier Percentage 24 #2/3 | 2023 * = Meer hogere posities

P:25

Top 5 Top 5 Applicatiebeveiliging Benelux Cloudbeveiliging Benelux Positie Securityleverancier 1 Microsoft 2 Fox-IT 3 Intermax 4 SentinelOne 5 Cloudflare Endpoint-beveiliging Benelux Positie Securityleverancier 1 Microsoft 2 SentinelOne 3 CrowdStrike 4 Sophos 5 Fortinet Security awareness Benelux Positie Securityleverancier 1 AwareTrain 2 Fox-IT 3 InCyber 3 NEH 5 Hoffmann Positie 1 2 3 4 5 Databeveiliging Benelux Securityleverancier Microsoft Sophos F5 Axians Orange Cyberdefense Top 5 Top 5 Positie 1 2 3 4 5 Netwerkbeveiliging Benelux Positie Securityleverancier 1 Fortinet 2 Cisco 3 Microsoft 4 Eset 5 KPN Securityleverancier Microsoft Tesorion Cisco Cronos Okta Top 5 Top 5 securitypartners en/of -leveranciers waar het meeste mee wordt (samen) gewerkt. Op het gebied van ‘security awareness’ worden AwareTrain, Fox- IT, InCyber en NEH vaak genoemd. Microsoft, Sophos en F5 zijn partijen die bij ‘applicatiebeveiliging’ naar voren komen. Bij ‘cloudbeveiliging’ is dit niet heel verrassend ook Micro- soft, bij ‘databeveiliging’ is dit na deze techgigant ook noh Tesorion en bij ‘endpoint-beveiliging’ leidt Micro- soft ook, gevolgd door Crowdstrike en SentinelOne. Cybersec Europe 2023 Naast de Nederlandse cijfers zijn er ook Benelux-cijfers in het onderzoek naar de securitybudgetten. Deze resultaten worden gepresenteerd tijdens de Europese vakbeurs Cybersec Europe, die op 19 en 20 april 2023 in Brussel plaatsvindt. Bezoek deze beurs fysiek of hybride gratis: Onderzoeksverantwoording De redacties van Computable in zowel Nederland als België worden overspoeld met verschillende securityonderzoeken. Deze zijn vaak gerelateerd aan een specifiek securityon- derwerp, zoals ransomware, trojans/antivirus of security-bewustzijn. Wat steevast mist, is hoe organisaties hun security regelen en hoe- veel geld hiervoor beschikbaar is. Computable heeft daarom samen met Enigma Research een Benelux-onderzoek opgezet. Met behulp van het onderzoek wordt inzage verschaft in de hoogte en besteding van secu- ritybudgetten. Er wordt gekeken naar de totale Benelux, maar ook gesegmenteerd naar land. Ook worden branches apart uitgelicht, om te kunnen bepalen of securitybudgetten in ver- schillende branches variëren. Dit onderzoek is een vervolg (1-meting) op het onderzoek dat vorig jaar is uitgevoerd. Voor dit onderzoek is gebruik gemaakt van kwantitatief online onderzoek. De responden- ten zijn benaderd via een adressenbestand en via de eigen mediakanalen van Computable. Het veldwerk heeft plaatsgevonden van 26 ja- nuari t/m 6 maart 2023. De totale steekproef heeft een omvang van 384 personen. 284 personen ronden de vragenlijst volledig af. DOSSIER DATA- & CLOUDSECURITY #2/3 | 2023 25

P:26

DOSSIER DATA- & CLOUDSECURITY G4ESIGNALEERD De verzekeringsbranche staat bekend om grote hoeveelheden gevoelige klantgegevens. Hoe meer gegevens een verzekerings- maatschappij heeft, hoe interessanter deze is voor cybercriminelen. Het is dus zaak deze gegevens goed te beveiligen. Vooral als het gaat om persoonlijk identificeerbare informatie (PII). Gelukkig heeft de digitale transformatie er bij verzekeraars voor gezorgd dat een cybersecurity-strategie hoog op de agenda staat Dirk Croenen, director insurance sector lead bij NTT Data, signaleert vier security- uitdagingen voor de verzekeringssector. TEKST: DIRK CROENEN BEELD: SHUTTERSTOCK SECURITYUITDAGINGEN VOOR DE VERZEKERINGSSECTOR UITDAGING 1: BEVEILIGINGSBEHEER oor de overstap naar de cloud is ook cloudbeveiliging een aandachtspunt geworden voor veel verzekeraars. Want als de beveiligingsnormen van de cloud niet in acht worden genomen, kan dat grote gevolgen hebben. Denk aan cybercriminelen die de cloud-omgeving hacken en de gegevens op straat leggen. En daarin ligt ook meteen de eerste uitdaging. Beveiligingsbeheer in de hybride en multi-cloud-omgevingen waar veel bedrijven de voorkeur aan geven, is complex. Verzekeraars moeten daarom kijken naar methodes en tools die naadloos samenwerken tussen openbare cloudproviders, pri- vate cloudproviders en on-premise implementaties. UITDAGING 2: DATA-GEDREVEN BUSINESS Een andere uitdaging waar veel ver- zekeraars tegenaanlopen is het volle- dig datagedreven werken. Aangezien ze hun strategische plannen en be- slissingen baseren op klantgegevens, moeten ze data-intelligent zijn om snel te kunnen handelen en om de ontwikkelingen bij te kunnen benen. Degenen die hierin slagen, profiteren van hogere inkomsten, grotere ef- ficiëntie en verbeterde winstgevend- heid. En hebben dus een voordeel ten opzichte van hun concurrentie. Maar wanneer verzekeraars afhankelijk worden van gegevens, is het belang- rijk dat ze gebruik maken van een holistische strategie waarin zaken als compliance, governance, privacy, veerkracht en audits zijn meegeno- men. UITDAGING 3: SLIMMER EN MEER GEAUTOMATISEERD Hoewel er verschillende hulpmid- delen zijn in te zetten om technologie effectief te beveiligen, zoals antivi- rus/anti-malware, applicatiebeveili- ging en gegevensversleuteling, blijft menselijk ingrijpen op het gebied van beveiliging nodig. Vooral als het gaat om verhoogde waarschuwingen en incidenten. Dat kan uitdagend zijn voor verzekeraars die cybersecurity niet als corebusiness hebben. De oplossing? Het automatiseren van tijdrovende en repetitieve taken, met behulp van slimme technologieën. Dit stelt cybersecurity-teams in staat zich te focussen op activiteiten waar zij het verschil kunnen maken. Daarnaast kunnen tekortkomingen in de technologie worden vastgesteld, die via formele procedures worden gecorrigeerd, en vergemakkelijkt het de standaardisering van tools. Hierdoor wordt het gebruik en de implementatie van een grote ver- scheidenheid aan beveiligingstools die hogere kosten met zich meebren- gen, vermeden. UITDAGING 4: DIGITALE WERKPLEK Het is geen nieuws dat werken op afstand een blijvertje is. Medewer- kers van bedrijven van over de hele wereld maken er maar al te graag gebruik van. Maar dit brengt ook gevaren met zich mee: wanneer er meer medewerkers op afstand werken, zijn traditionele beveili- gingsmethoden die vertrouwen op perimeters, wachtwoorden en 26 #2/3 | 2023

P:27

Dirk Croenen werkt al bijna negen jaar bij NTT Data Europa als director/insurance sector lead. Hij is verantwoordelijk voor het laten groeien en opleveren van de Everis-business voor het Belgische kantoor met focus op de verzekeringssector. DOSSIER DATA- & CLOUDSECURITY handmatig toestemmingsbeheer on- toereikend. Thuiswerkers zijn steeds vaker doelwit van cyberaanvallen zoals phishing, malware en wacht- woordaanvallen. Om deze uitdaging het hoofd te bieden, moeten ver- zekeraars, die met strikt gevoelige gegevens werken, de bijbehorende beveiligingsprocedures volledig en consequent uitvoeren. In dit kader maken veel verzekeraars al gebruik van role based access control-methodes. Daarnaast moeten zero-trust-benaderingen prioriteit worden bij het beveiligen van ex- terne werkplekken. Dit zorgt ervoor dat alle medewerkers, of ze nu wel of niet zijn aangesloten op het netwerk van de organisatie, worden geverifi- eerd, geautoriseerd en gevalideerd bij toegang tot applicaties, gegevens en documentatie. Deze vier uitdagingen staan verze- keringsmaatschappijen in de weg bij het uitrollen van hun cybersecurity- strategie. Het is niet de vraag óf maar hoe ze deze gaan trotseren. Boven- staande oplossingen kunnen hen op weg helpen bij het vormen van een goed schild in deze strijd tegen cyber- criminaliteit. #2/3 | 2023 27

P:28

INTERVIEW DOSSIER DATA- & CLOUDSECURITY Fred Streefland (Secior): operationele technologie is achilleshiel ‘DATACENTERS LETTEN ONVOLDOENDE OP DE BEVEILIGING VAN OT’ Datacenters lopen een hoog beveiligingsrisico doordat eigenaren, beheerders en beveiligers onvoldoende letten op de operationele technologie (ot). Die apparatuur, zoals koelingsinstallaties, computers voor de aansturing van procesautomatisering (plc’s), noodaggregaten, camerasystemen en temperatuursensoren, is steeds vaker verbonden met het internet en vormt zo de achilleshiel van het datacentrum. Dat zegt Fred Streefland, directeur van de jonge datacenterbeveiliger Secior. TEKST: PIM VAN DER BEEK BEELD: DAAN MULLER Op de zesde etage van een bedrijvenverzamelgebouw in Schiphol-Rijk, waarin ook Juniper Networks gevestigd is, praat hij over de beveiligingsrisico’s van datacenters. Streefland, wit overhemd, om de ringvinger een flinke trouwring, voelt zich een stuk jonger dan zijn leeftijd (55 jaar) die op een verjaardagskaart staat die al vanaf januari op zijn bureau rond- zwerft. Voor het interview begint, checkt hij nog even of de dictafoon van zijn gesprekspartner aan staat. ‘Kan ik beginnen?’ Hij vertelt over een groot datacen- ter in het zuiden van Nederland waarvan hij via de netwerkkaart van het koelingssysteem op af- stand via internet de sysadmin- en webadministrator-rechten kon achterhalen. ‘Ik zou de temperatuur op tachtig graden kunnen zetten en zorgen dat de servers oververhit raken en uitvallen. Als ik het kan, dan kan een Russische hacker het ook’, waarschuwt hij voor de toe- genomen aanvallen op de westerse infrastructuur vanuit dit land. Streefland legt direct de vinger op de zere plek van de huidige datacenter- beveiliging. Hoewel veel datacenters zich veilig wanen doordat ze de fysieke beveiliging en de ict-bevei- liging goed op orde hebben, is de beveiliging van de operationele tech- nologie en iot (internet of things) vaak een rommeltje. ‘Ot-systemen zijn gebouwd om tientallen jaren te draaien. Cybersecurity is meestal niet meegenomen in het ontwerp van die systemen. Het draait om continuïteit.’ Ook ziet hij veel gebrek aan kennis over datacenterbeveili- ging. Vaak wordt deze vooral digi- taal benaderd. ‘Die ict-beveiligers hebben geen kennis van ot. Ander- zijds hebben de techneuten die de ot-installaties onderhouden geen idee van de cybergevaren.’ En die liggen op de loer, bijvoorbeeld als door sabotage datacenters uitvallen. Zeker in kritieke sectoren zoals de energievoorziening en de zorg kan die uitval mensenlevens kosten. Volgens Streefland is ot goed voor zo’n driekwart van het aanvalsop- pervlak van datacenters. Dat komt doordat die apparatuur steeds vaker voor het beheer en monitoren op af- stand aan het internet is verbonden. ‘Vaak missen partijen überhaupt het overzicht van wat er allemaal aan 28 #2/3 | 2023

P:29

DOSSIER DATA- & CLOUDSECURITY #2/3 | 2023 29

P:30

INTERVIEW DOSSIER DATA- & CLOUDSECURITY den. Streefland die zich met Secior systemen in en rond het datacenter toespitst op de beveiliging van zowel draait.’ de it, ot als iot van datacenters voert Ter verduidelijking schetst hij nog scans uit waarbij in vier weken tijd even de verschillen: it omvat infor- de infrastructuur inclusief het net- matiesystemen zoals computers, werkverkeer van het datacenter zelf netwerken en softwareapplicaties wordt gemonitord. Dat gebeurt met voor kantoorautomatisering en een sensor van Nozomi Networks. zakelijke processen. Ot richt zich op Het is een appliance (hardware of de systemen die betrokken zijn bij software) die in het netwerk geïnstal- de productie, bewaking en controle leerd wordt. Met het bijbehorende van fysieke processen, zoals indus- softwareplatform wordt een dash- triële automatiseringssystemen, board samengesteld dat inzicht geeft procescontrolesystemen, brandinstal- in de beveiligingsrisico’s. laties, noodstroomvoorzieningen en scada-systemen (supervisory control Op zijn scherm laat hij een voorbeeld and data acquisition). Ook ziet hij zien. Het is een overzicht van de soft- een groot verschil in de impact van wareversies van alle geïnstalleerde een aanval op de it of ot. Streefland: programmatuur binnen dat datacen- ‘Kijk, als je een ransomware-aanval ter en biedt een eerste analyse van op je laptop hebt, dan heeft dat veel de kwetsbaarheden in de software impact en zul je heel veel dingen en assets van het datacenter. In een opnieuw moeten doen. Hopelijk heb ander dashboard staan de verbindin- je back-ups.’ Maar een aanval op kri- gen. Hij wijst naar het overzicht van tisch infrastructuur is vaak meteen connecties tussen interne systemen maatschappij-ontwrichtend, Bijvoor- en de ‘lijnen’ naar buiten. ‘Zo zie je beeld als criminelen een ondersta- bijvoorbeeld dat een plc praat met tion, pijpleiding of datacenter in de een bepaald workstation, terwijl je vitale sector opblazen.’ dat misschien helemaal niet wil.’ Secior geeft aan de hand van de scan adviezen ter verbetering. Daarnaast 270 KWETSBAARHEDEN Bij een scan in een groot datacenter beschikt het bedrijf over een soc vond zijn bedrijf onlangs binnen (security operations center)-dienst Attack Surface Datacenter een uur meer dan 270 kwetsbaarhe- die constant de datacenteromgeving Protect your OT, IT and IoT systems against digital cyber attacks blijft monitoren en alarm slaat bij kwetsbaarheden of aanvallen. Het bedrijf bestaat op dit moment uit drie man. Dat zijn oprichter, data- centerspecialist en ict-ondernemer Sander Nieuwmeijer, die eerder datacenterbouwer ICTroom oprichtte en ook detacheerder van datacenter- personeel DC People leidt. Streefland is directeur en ‘manusje van alles’ van het jonge bedrijf. ‘Ik ben ceo, cto, business developer, sales en marke- ting in één!’ Nummer drie, Edward Heck, is als gecertificeerd it-auditor en compliance-specialist actief. DRUK EN STRESS Streefland draait al heel wat jaren mee in de wereld van de ict-beveili- ging. Na zijn carrière als inlichtingen- officier bij de luchtmacht startte hij in 2008 bij IBM als consultant public safety & security. Hij was ciso (chief information security officer) bij Exact en Leaseweb en chief security officer bij netwerkbeveiliger Palo Alto Net- works voor Noord en Oost-Europa. Voor het Chinese Hikvision werkte hij als hoofd cybersecurity voor Europa, Midden-Oosten en Afrika. ‘Het is supergaaf dat al die kennis en ervaring nu bij Secior samenkomt. Het gaat om it, ot en iot en het is niet alleen beperkt tot datacenters. We kunnen ook de kritieke infrastruc- tuur van een waterzuiveringsinstal- latie, voedingsmiddelenproducent of ziekenhuis monitoren en beveiligen.’ Streefland ziet hoe verantwoorde- lijken voor cyberbeveiliging vaak onder druk staan. Marktonderzoeker Gartner voorspelde onlangs dat tegen 2025 de helft van de huidige ciso’s (chief information security officers) van baan is veranderd vanwege die grote druk en stress waaraan ze zijn blootgesteld. Die wordt zelfs vergeleken met een oorlogssituatie. Die laatste vergelijking gaat de oud- luchtmachtofficier een stap te ver. ‘Ik heb contact gehad met F16-piloten die boven vijandelijk gebied met ra- ketten beschoten werden. Dan heb je het direct over een zaak van leven en Computer Room Airconditioners (CRACs) Fire Extinguishing System Chillers Uninterruptible Power Supplies (UPS) Battery Packs Transformer CCTV Security NOC / SOC with DCIM (Rack) PDU’s Access Control Fuel Tank Generator Sets Switchboard PLC’s Fire / Flame Detection 30 #2/3 | 2023

P:31

‘IN HET BEGIN BEN JE VOORAL VEEL BRANDJES AAN HET BLUSSEN’ dood. Het platgaan van een organisa- tie of datacenter heeft ook verstrek- kende gevolgen, maar stress van je werk is anders dan oorlogsstress.’ Over de druk die bij een baan als ciso komt kijken, spreekt hij uit eigen ervaring: ‘In het begin ben je vooral veel brandjes aan het blussen. Tot je zegt: ‘Wacht even, ik ga het anders doen, ik ga het even omdraaien’. Uiteindelijk laat je een roadmap zien en kom je in control.’ Streefland wijst er wel op dat dit alleen lukt als een ciso het vertrouwen en de ondersteu- ning van het management heeft. ‘Die moet snappen dat een ciso risico’s wegneemt waarvan de business pro- fiteert. Daar hoort natuurlijk ook een goede beloning bij.’ NIS2 Met de nadruk op het monitoren en scannen van de beveiliging van data- centers loopt Secior vooruit op NIS2. Die aangescherpte Europese regelge- ving rondom cyberbeveiliging, is op 16 januari 2023 ingegaan en verplicht datacenters om stappen te zetten in het verbeteren van hun beveiliging en die resultaten te delen. De regel- geving moet vanaf 17 oktober 2024 door alle EU-lidstaten zijn omgezet in nationale regelgeving. Een risico- analyse wordt dus verplichte kost voor datacenters. Die regels gaan ook gelden voor bedrijven in niet-vitale sectoren. ‘Wie slim is, zorgt nu alvast voor overzicht om straks niet voor verrassingen te staan’, tipt Streefland. Hij heeft NIS2 vertaald naar een over- zicht van minimale maatregelen voor het beheer van beveiligingsrisico’s (zie kader).‘Negentig procent van de datacenters die we spreken heeft nog veel werk te doen.’ Datacenters hebben een serieuze uitdaging om aan de NIS2 te vol- doen doordat niet duidelijk is wie er verantwoordelijk is voor de ot-beveiliging, ziet hij. Ze leggen de verantwoordelijkheid bij de leveran- ciers. ‘Natuurlijk nemen partijen als Siemens, Honeywell Rockwell, ABB en Schneider Electric cyberveiligheid serieus. Maar datacenters hebben vaak geen goed overzicht van al die systemen en leveranciers en de onderlinge samenhang. Dat maakt de apparatuur kwetsbaar.’ Hij ziet ook cybersecurity-uitdagingen bij het onderhoud en de vervanging van ap- paratuur. ‘De leverancier installeert nieuwe apparatuur en controleert of deze het doet, maar controleert niet of het ingeschakelde apparaat, dat via internet toegankelijk is, een standaardwachtwoord heeft. De datacenter-eigenaar laat het liggen omdat die denkt dat de leverancier hier zorg voor draagt.’ Ook camera’s zijn kwetsbaar. Bij da- tacenters hangt die fysieke security, zoals toegangspoortjes en beveili- gingscamera’s, weliswaar vaak in een apart netwerk, maar dat is indirect toch aan internet verbonden via bijvoorbeeld het interne it-netwerk. Streefland ziet dat cybercriminelen de camera’s vooral als springplank gebruiken om binnen te komen op GEMEENTE AMSTERDAM ZIE PAGINA 39 Maatregelen beheer beveiligingsrisico’s DOSSIER DATA- & CLOUDSECURITY 1. Risico-analyse 2. Incidentenbehandeling 3. Bedrijfscontinuïteit(back-upse.d.) 4. Beveiligingvandetoeleveringsketen 5. Beveiligingtoepassenbijhetverwer- ven, ontwikkelen en onderhouden van it/ot-systemen; kwetsbaarhe- den beheren 6. Beleidenproceduresomdeeffecti- viteit van de cyberbeveiligingsmaat- regelen te beoordelen 7. Basiscyberhygiëneencybersecu- rity-trainingen 8. Cryptografieenencryptie(indien van toepassing) 9. Hr-,accescontrol-enasset management-beveiliging 10. Multi-factor-authenticatiewaar mogelijk toepassen in organisatie #2/3 | 2023 31

P:32

INTERVIEW DOSSIER DATA- & CLOUDSECURITY Cybersec Europe 2023 Fred Streefland is spreker tijdens Cybersec Europe. In zijn keynote “IT Security is ‘kidsplay’; OT Security is for grown-ups!” zal hij de verschillen tussen it- en ot-security duiden en ook aangeven waarom er juist nu meer aandacht moet worden be- steed aan ot-security. Hij verzorgt zijn keynote op 19 april 2023 om 11.00 uur. spionage via camera’s van al dan niet Chinese leveranciers, namelijk: spe- ciaal op ot toegeschreven malware. Het gaat om Pipedream. Dat is een door de Russische cybergroepering Chernovite gebouwde malwaresoort die gebruik maakt van een stan- daardprotocol van plc’s. Het gevaar is volgens hem vele malen groter dan bij die andere malware voor plc’s zoals Stuxnet. Die malware was namelijk speciaal ontwikkeld voor het protocol van plc’s van Siemens. Pipedream daarentegen maakt gebruik van het opc (OLE for process control)-protocol, dat gebruikt wordt door plc’s van bijna alle leveranciers. Daardoor is het aanvalsoppervlak vele malen groter: het verspreidt zich namelijk over apparatuur van meer- dere leveranciers in allerlei sectoren. Streefland somt zeven malwarefami- lies op die specifiek zijn toegespitst op industriële computeromgevingen (zie kader). Na ruim een uur praten en als de vragen van Computable zijn beant- woord, moet Streefland weer verder. Er wacht een volle mailbox. ‘Weet je trouwens hoe het is afgelopen met mijn melding bij dat datacenter in het zuiden van het land waarvan ik op afstand de temperatuur kan manipu- leren? Er is niks mee gedaan. Ik heb het ook bij het NCSC (Nationaal Cyber Security Center, n.v.d.r.) gemeld. Maar die melding staat nog steeds open.’ ‘HET GEVAAR VAN PIPEDREAM IS VELE MALEN GROTER DAN BIJ ANDERE MALWARE VOOR PLC’S’ het interne netwerk. Ook worden de camera’s als bots ingezet voor ddos- aanvallen, zoals gebeurde met het Mirai-botnet dat miljoenen camera’s kon misbruiken. HIKVISION Over camera’s gesproken, Streefland werkte voordat hij in januari 2022 startte bij Secior twee jaar voor het Chinese Hikvision. Die leverancier van camera’s kwam net als veel andere techspelers uit China onder vuur te liggen vanwege de banden met de Chinese staat met het risico op spionage. Het is juist om die geopoli- tieke situatie dat Streefland besloot te stoppen bij dat bedrijf. ‘Ik steek nog steeds mijn hand ervoor in het vuur dat Hikvision er alles aan doet om die camera’s zo veilig mogelijk te maken. De risico’s van die camera’s zitten in de manier waarop ze zijn geïnstal- leerd. Ook camera’s van Axis of Bosch vormen een risico als je ze open laat staan. Ook is software altijd kwets- baar, maar dat geldt dus voor alle merken, vandaar dat er regelmatig patches nodig zijn.’ Op de gewetensvraag of hij datacen- ters zou adviseren om wel of geen Hikvison-camera’s te gebruiken, antwoordt hij: ‘Ik ben me bewust van de gevoeligheden die er nu spelen rondom Chinese techleveranciers in het huidige politieke klimaat. Om vragen te voorkomen kun je beter camera’s van een niet-Chinees merk hebben, maar dat heeft niets te maken met de cybersecurity van de camera’s.’ Overigens ziet hij in en rond datacenters vooral camera’s van andere leveranciers. GEVAARLIJKER DAT STUXNET Kijkend naar de ot van datacenters ziet Streefland een veel groter gevaar op ons afkomen dan de vermeende Ics-malware Op industriële computersystemen (ics) toegesneden malware: • Stuxnet • Havex • Blackenergy2 • Crashhoverride • Trisis • Industroyer2 • Pipedream 32 #2/3 | 2023

P:33

Shield your core April 19th and 20th 2023 | Brussels Expo www.cyberseceurope.com 100+ sessions 18 keynote speakers 130+ exhibitors Cyber attacks are an ever growing threat in today’s tech environment. Cybersec Europe 2023 is the platform for experienced cyber security experts as well as next gen start-ups to share knowledge with peers for jointly coping with the cybersecurity challenges. Businesses and institutions off all sectors learn how to enhance cyber resilience and protect their core. Speakers such as: Inti de Ceukelaire Nina Schick Head of hackers Intigriti Author, Entrepeneur and advisor on Generative AI Lesley Kipling Chief Cybersecurity Advisor Microsoft EMEA Ramsés Gallego International CTO Cyberres REGISTER FOR FREE POWERED BY

P:34

EXPERTOPINIE DOSSIER DATA- & CLOUDSECURITY ZERO-TRUST-AANPAK ONMISBAAR BIJ VERBINDEN VIA CLOUD Zero-trust mag dan een term zijn die vaak verkeerd begrepen en gebruikt wordt, een zero- trust-aanpak blijft waardevol om systematische cyberrisico’s te verminderen en de weerbaar- heid van je organisatie te verbeteren. In de transitie naar de cloud is een zero-trust-aanpak zelfs onmisbaar bij het waarborgen van een veilige cloud-omgeving. 34 #2/3 | 2023 TEKST: MARK VAN LEEUWEN BEELD: SHUTTERSTOCK Sommige leveranciers beweren dat zero-trust alleen te maken heeft met identiteits- en toe- gangsbeheer. Bijvoorbeeld hoe een bedrijf geautoriseerde gebruikers toegang geeft tot bronnen en syste- men. Hoewel dat zeker een onderdeel is van zero-trust, is het slechts één on- derdeel van wat moet worden gezien als een grotere strategie die rekening houdt met alle risicogebieden waarin het bedrijf opereert, zoals identiteit, infrastructuur, product, processen en toeleveringsketen. Elke beveiligingsprofessional zal je vertellen dat te veel vertrouwen op technologiearchitecturen en netwer- ken historisch gezien een slecht idee is geweest. Een vertrouwd netwerk dat verbonden is met uw datacenter- netwerk kan worden gecompromit- teerd, een eindpunt gehackt en een vertrouwde gebruiker met de sleutel tot jouw koninkrijk kan zomaar veranderen in een onbetrouwbare binnendringer. Zero-trust biedt de strategische aanpak om al het impliciete vertrou- wen tussen technologische entiteiten te elimineren. Is zero-trust dan zo eenvoudig als een oproep voor meer beveiliging? De hamvraag is nooit geweest óf organisaties zero-trust moeten omarmen, maar meer hóé ze dit zouden moeten doen. Waar moet je beginnen en hoe ga je om met de kosten en de wellicht geringe bereidheid tot verandering binnen de organisatie? Uit mijn ervaring blijkt dat organisa- ties die zero-trust met succes hebben omarmd, hun programma’s eerst op risicomanagement hebben gericht. Omdat ik meer dan tien jaar voor een grote financiële dienstverlener heb gewerkt, heb ik risicomanagement goed leren kennen – en dan vooral dat kleine gebeurtenissen soms schade kunnen toebrengen aan een hele organisatie of zelfs bedrijfstak. Dergelijke systematische gebeurtenis- sen, ook wel ‘black swans’ genoemd, zijn recentelijk ook binnen onze cybersecurity-metaverse gewoon geworden. Ransomware-aanvallen en incidenten in de toeleveringske- ten zijn mogelijk de meest zichtbare symptomen van de risico’s die we dagelijks in het nieuws zien. Die risico’s zijn een goede focus voor je zero-trust-programma. Dit soort technologische systemati- sche risico’s kunnen zich in meerdere situaties voordoen: SINGLE POINT OF FAILURES Hieronder vallen in ieder geval de belangrijk- ste componenten die de ruggengraat van je infrastructuur vormen. Een onveilige of slecht ontworpen active directory, web-single sign-on of dns-infrastructuur kan snel ontaar- den in een nachtmerrie. VEROUDERDE SOFTWARE- MONOCULTUREN Besturingssystemen, firmware en software die door grote delen van de organisatie worden gebruikt en niet regelmatig worden gepatcht: één enkele kwetsbaarheid kan Mark van Leeuwen is country manager Nederland bij Palo Alto Networks. Daarvoor vervulde hij meerdere com- merciële rollen bij Oracle en Dell.

P:35

organisaties onbetaalbaar zijn. Het vervangen van legacy-connecti- viteit of een gedateerde beveiligings- stack is een grote stap en soms is er een harde (ransomware) duw nodig om die stap te maken. Nu organisa- ties in toenemende mate werklasten, toepassingen en gebruikers naar de cloud verplaatsen en devops invoeren, is dit het juiste moment om je cybersecurity vanaf het begin te ontwerpen en niet achteraf bij te spijkeren. Een systematische aanpak in deze context vereist dat je, naast de bevei- liging van je productieomgeving, de beveiliging van je ci/cd-pijplijn en de integratie van beveiligingscontroles zo vroeg mogelijk in de pijplijn in acht neemt. Laten we een paar vragen for- muleren in zero-trust taal, die je zou moeten kunnen beantwoorden als je beveiliging in de devops en cloudom- gevingen serieus neemt: • Vertrouw je erop dat het apparaat van je software engineer niet ge- compromitteerd is? • Vertrouw je erop dat je code reposi- tory niet gecompromitteerd wordt? • Vertrouw je op de integriteit van de code tijdens het ontwikkelings- en implementatieproces? • Vertrouw je je infrastructure- as-code (iac) template of docker container van derden? Vergeet niet dat gemiddeld de helft daarvan kwetsbaarheden bevat. • Hoe zit het met andere afhankelijk- heden van softwaretoepassingen die in je projecten worden gebruikt? • Vertrouw je erop dat aan jouw iden- titeiten de juiste rechten worden toegekend? • Vertrouw je erop dat je code wordt gecontroleerd op beveiliging of verkeerde configuraties, zoals hardcoded credentials, te geprivile- gieerde netwerkinstellingen etc.? • Vertrouw je erop dat je microservi- ces orchestrator niet gecompromit- teerd is? Wacht niet te lang met het beant- woorden van deze vragen en bouw je zero-trust-strategie aan het begin van je reis naar devops en de cloud. DOSSIER DATA- & CLOUDSECURITY leiden tot een catastrofaal ransomware- of sabotagerisico. ‘FLAT NETWORKS’-EFFECT Een organisatie zonder goede segmentatie of netwerkcontrole over it (denk aan al uw onbeheerde apparaten), ot en iot. Makkelijk spel voor elke indringer of virus/ransomware. Als ik uit zou moeten leggen hoe je de cybersecurity van je organisatie optimaliseert, dan zou ik dat als volgt doen: om een weerbare organisatie te creëren, moet van cybersecurity een systeem worden gemaakt en niet een afgezonderde doelstelling. Leg bijvoorbeeld niet al je focus op het testen van de effectiviteit van je sandbox-controle. Geef in plaats daarvan prioriteit aan hoe je sandbox is geïntegreerd met andere bevei- ligingscontroles in je organisatie. Besteed ook geen miljoenen aan het pentesten van je meest kritieke ap- plicatie als deze applicatie in het- zelfde netwerk is verbonden met een iot-apparaat van een miljoen dollar en op de server enkele extra blootge- stelde diensten draait. De manier waarop netwerkbeveili- ging in het verleden werkte was dat alles binnen de organisatie werd vertrouwd, en alles daarbuiten niet - beveiliging werd alleen toegepast aan de grenzen van de organisatie. Dat model werkt niet meer met externe werknemers, cloud, edge en mobiele toegangseisen. Al deze omgevingen zijn tegenwoor- dig rechtstreeks verbonden met het internet. Maar ze missen allemaal zelfs de meest elementaire beveili- gingscontroles zoals segmentatie of inbraakdetectie. De reden hiervoor is dat het testen of invoeren van indivi- duele controles en beleidsmaatrege- len tot hoge kosten leidt, waardoor de meeste cybersecuritycontroles voor #2/3 | 2023 35

P:36

DATASECURITY DOSSIER DATA- & CLOUDSECURITY MATURITY-MODEL SCHIET SECURITY DIGITAL TWINS TE HULP Digital twins kunnen de operatie, het beheer en onderhoud van datacenters aanzienlijk verbeteren. Maar er kleven ook risico’s aan het gebruik van dit soort virtuele kopieën van een datacenter: als de security niet goed is geregeld, biedt het cybercriminelen onge- kende kansen om het datacenter over te nemen of te ontregelen. Een security-maturity- model moet datacenters helpen dit te voorkomen, zodat zij met minimale risico’s maxi- maal profiteren van de mogelijkheden van een digital twin. TEKST: ROBBERT HOEFFNAGEL BEELD: SHUTTERSTOCK Een digital twin van een data- center is een virtuele repre- sentatie van de apparatuur en de processen in het datacenter. Noem het een digital kopie van het fysieke datacenter. Verwar dit niet met een 3d-cad-model, want een driedimensionale tekening van het datacenter. In een digital twin is het de bedoeling dat we data over het functioneren van de apparatuur en de processen in het fysieke datacen- ters invoeren. Fysieke en virtuele omgeving moeten ‘twins’ van elkaar zijn. Hierdoor is het mogelijk om si- mulaties te doen en de operationele processen in het model te volgen en te verbeteren. SENSOREN Een digital twin van een datacenter komt tot zijn recht als operationele data in het model worden inge- bracht. Uit assetmanagement-tools kunnen we gegevens halen over de apparatuur, via monitoring en sensoren kunnen we de actuele status van de apparatuur in kaart brengen. Die sensoren meten temperaturen, luchtvochtigheid, luchtstromen, energiegebruik en dergelijke. Deze data worden bij voorkeur in realtime in het digitale model ingebracht. Data invoeren kan ook met intervallen, maar doen we dit in realtime dan beschikken we over een volwaardig virtueel beeld van wat er op dat moment in het fysieke datacenter gebeurt. Cruciaal voor een succesvol gebruik van een digital twin is dat de beno- digde data op een beveiligde manier in het model worden gebracht. Hoe doen we dat? Een lastig probleem is dat veel van de benodigde iot-appa- ratuur weliswaar beveiligd is, maar dat de kwaliteit van die security niet altijd duidelijk is. Bovendien zijn de securitymaatregelen veelal per individuele sensor of groep van gelijksoortige iot-apparaten geregeld en is er nauwelijks sprake van een mogelijkheid om deze securityinfo samen te brengen in een overzichtelijk dashboard. Ook ontbreekt het vaak aan processen om de data goed georganiseerd en veilig te ontvangen, te verwerken en weer te gebruiken om instellin- gen in het fysieke datacenters aan te passen. MATURITY-MODEL Hier komt het ‘Iot Security Maturity Model Digital Twin’ in beeld. Een eerste versie van dit model werd reeds in 2019 opgesteld. Gebruikt werd het echter mondjesmaat, bij gebrek aan voldoende daadwer- kelijke implementaties van digital twin-technologie. Inmiddels is met name de manufacturing-industrie zover dat daar een fors aantal digi- tal twins operationeel is. Ook in de datacenterindustrie neemt de be- langstelling toe. Mede daarom is het oorspronkelijke document waarin het maturity-model is beschreven nu uitgebreid en aangepast. Het doel van het security-maturity- model is om zowel aanbieders 36 #2/3 | 2023

P:37

DOSSIER DATA- & CLOUDSECURITY als gebruikers van digital twin de mogelijkheid te bieden om beveili- gingsmechanismen te ontwikkelen. Ook is aan de hand van het model te onderzoeken hoe de security van een figuur) beschrijft hiertoe hoe security rond digital twins goed gestructu- eigen digital twin zich ontwikkeld ten reerd is op te bouwen. Hierin wordt opzichte van wat bij andere datacen- ters gebruikelijk is. Het model (zie onderscheid gemaakt tussen ‘do- mains’, ‘subdomains’ en ‘practices’: • Domeinen zijn cruciaal voor het bepalen van de prioriteiten van verbetering van de volwassenheid van de beveiliging op strategisch niveau. Op domeinniveau bepaalt de stakeholder de prioriteiten voor • het verbeteren van de beveiliging Subdomeinen geven aan hoe deze prioriteiten voor verbetering gepland dienen te worden. Op HOGESCHOOL LEIDEN ZIE PAGINA 43 #2/3 | 2023 37

P:38

DATASECURITY DOSSIER DATA- & CLOUDSECURITY subdomeinniveau identificeert de belanghebbende de typische behoeften voor het aanpakken van • beveiligingsproblemen; Practices definiëren de typische activiteiten die verband houden met subdomeinen en die op tactisch niveau worden geïdentificeerd. Op practice-niveau overweegt de belanghebbende het doel van speci- fieke beveiligingsactiviteiten. Omdat het te ver voert om het model tot in detail te bespreken enkele highlights: • Het security governance-domein is het hart van de beveiligingsaanpak rond digital twins. Het beïnvloedt en informeert iedere beveiligings- practice, inclusief bedrijfsproces- sen, juridische en operationele kwesties, reputatiebescherming en • het genereren van inkomsten. Het security enablement-domein is gebaseerd op het door de organisa- tie vastgestelde beveiligingsbeleid. ‘DIGITAL TWINS ZIJN TE BESCHOUWEN ALS EEN SYSTEEM VAN SYSTEMEN, OF HET NU GAAT OM EEN ENKELE TWIN OF OM MEERDERE’ Het pakt de bedrijfsrisico’s aan met de best beschikbare middelen. Securitybeleid en -controles dienen periodiek herzien en beoordeeld te • worden. De domein-practices voor ‘secu- rity hardening’ (het versterken van de beveiliging) ondersteunen betrouwbaarheidsdoelstellingen via het beoordelen, herkennen en herstellen van risico’s met zowel organisatorische als technische tegenmaatregelen. HOGER NIVEAU VAN VOLLEDIGHEID Twee aspecten zijn essentieel voor het meten van de voortgang van het beveiligen van iot-systemen en het stellen van prioriteiten van de bijbehorende beveiligingspractices: volledigheid en reikwijdte. ‘Comprehensiveness’ geeft de mate van diepte, consistentie en zekerheid weer van beveiligingsmaatregelen die volwassenheidsdomeinen, subdo- meinen of practices op het gebied van beveiliging ondersteunen. Een hoger niveau van volledigheid van drei- gingsmodellering impliceert bijvoor- beeld een meer geautomatiseerde, systematische en uitgebreide aanpak. De reikwijdte weerspiegelt de mate van aanpassing aan de behoeften van het datacenter. Dit geeft de mate van aanpassing weer van de bevei- ligingsmaatregelen die domeinen, subdomeinen of practices voor bevei- ligingsvolwassenheid ondersteunen. Dergelijke aanpassingen zijn meestal vereist om branchespecifieke of sys- teemspecifieke beperkingen van het iot-systeem aan te pakken. SYSTEEM VAN SYSTEMEN Digital twins zijn te beschouwen als een systeem van systemen, of het nu gaat om een enkele twin met activa of om meerdere onderling verbonden digital twins en bijbehorende activa. Bij gebruik van meerdere digitaal twins kan datasoevereiniteit een rol spelen. Dit bijvoorbeeld het geval zijn als de digital twins zich bijvoorbeeld in verschillende landen bevinden. Of als zij onder de governance van ver- schillende industrieën vallen. Denk hierbij aan een datacenter van een farmaceutisch bedrijf. De rol van lokale wet- en regelgeving kan met name van belang zijn wan- neer er fysieke activa bij betrokken zijn. Dit betekent dat zowel de activa als de digital twins onderworpen kunnen zijn aan wet- en regelgeving van de landen waarin ze zich bevin- den. Dit kan een behoorlijke impact hebben op de doelstellingen voor security-maturity en de bijbehorende beoordelingen. Aspecten als de loca- tie waar gegevens dienen te worden opgeslagen, gaan dan een rol spelen. Dit speelt bijvoorbeeld bij de vraag of een digital twin in de cloud gehost dient te worden. En zo ja, in welk land dit dan dient te gebeuren? 38 #2/3 | 2023

P:39

GEMEENTE AMSTERDAM > MARLEEN GEBRAAD > ABDOULMAJID BOZIA > PATRICK SCHOLTE AMSTERDAM PAKT DOOR Digitale transformatie met Nimpact voor de stad flexibel kunnen leveren. Dat is hier de uitdaging.” Door alle data te verzamelen, houdt de gemeente overzicht en kan gekeken worden wat voor burgers a Black Friday ligt er in elke analyse ingezet en volgens Marleen efficiënter of slimmer kan. Scholte: stad meer karton bij de Gebraad (directeur Data) en Patrick “We kunnen zo beter inspelen op prullenbakken. Zo ook in Scholte (manager IT-dienstontwikke- bijvoorbeeld energiearmoede of af- Amsterdam. Wat doe je als gemeente- ling en -platformen) is de inzet van valinzameling. In de herfst gebruiken bestuur? Jaar na jaar verrast worden cloud en data daarvoor onmisbaar. we data-analyse voor de inzet van ca- en ad-hoc maatregelen treffen? Of automatiseren en anticiperen? Am- sterdam kiest voor het laatste. Amsterdam wil een schone stad zijn. Een financieel gezonde stad ook, waar iedereen aan het werk is. En een veilige stad, die ondermijning in het vizier heeft en security hoog in het vaandel. Daarom wordt data- ‘Data verzamelen ‘omdat het kan’ is voor ons geen uitgangspunt’ Scholte: “Het leven in deze stad staat nooit stil. Voor piekbelastingen, zoals de aangifte van de OZB-belasting in de eerste maanden van het jaar, kunnen we in de cloud flexibel op- en afschalen. En we hebben altijd de nieuwste (security)technologie beschikbaar.” Gebraad: “Data verzamelen ‘omdat het kan’ is voor ons geen uitgangs- punt. Met Privacy by design en Security by design houden we al tijdens het ontwerp rekening met beveiliging en encryptie omdat dat nodig is. Vertrouwen van de burgers in de overheid is een speerpunt. Daar gaan we ethisch en supersensitief mee om. Maar we moeten ook snel en paciteit bij de groenvoorziening. Ook sensordata passen we steeds vaker toe. Openen en sluiten van bruggen kan daardoor accurater worden be- stuurd. En we kunnen anticiperen op drukte tijdens Koningsdag. Opgavege- richt werken is voor ons een vanzelf- sprekendheid. Digitale transformatie moet impact hebben.” n ADVERTORIAL Amsterdam staat nooit stil. Dat geldt ook voor de 1.500 mede- werkers van de IT-afdeling. Handhaving, vergunningverlening, armoedebestrijding, opruimen van zwerfafval en aanpakken van ondermijning kan niet zonder cloud en data-analyse, stellen Marleen Gebraad, Abdoulmajid Bozia en Patrick Scholte. GEMEENTE AMSTERDAM #2/3 | 2023 39

P:40

HACKING DOSSIER DATA- & CLOUDSECURITY 40 #2/3 | 2023

P:41

Ethisch hacker Inti De Ceukelaire spreekt op Cybersec Europe DOSSIER DATA- & CLOUDSECURITY ‘IK ZOEK GRAAG NAAR VRIJDAGNAMIDDAGCODE’ Ooit kraakte hij het Twitter-account van Donald Trump en kon hij fake news publiceren op de website van het Vaticaan. Tussendoor won hij het WK Hacken en werd hij, in 2021, Computable’s IT Person of the Year in België. Wie dus iets wil opsteken over security, privacy en de methodiek van hackers, kan dus maar beter luisteren wanneer Inti De Ceukelaire spreekt. Binnenkort krijgen we daar weer de kans toe, tijdens zijn keynote op Cybersec Europe. TEKST: FREDERIC PETITJEAN BEELD: LIES WILLAERT Jij bent waarschijnlijk de be kendste ‘ethische’ hacker van België, maar hoe ben je in dat wereldje ingerold? ‘Het is eigenlijk allemaal de schuld van mijn moeder (lacht). Toen ik veertien was, had ze een PlayStation Portable als kerstca- deau gekocht, terwijl ik toch heel duidelijk om een Nintendo had gevraagd. Toen ben ik dus op zoek gegaan naar manieren om Nintendo-spelletjes op die PlayS- tation aan de praat te krijgen. Uit alle mogelijke online tutorials die ik had uitgeplozen, bleek dat ik eerst een manier moest vinden om het apparaat te laten crashen. Op dat moment waren heel veel mensen daarnaar op zoek, maar niemand die echt al iets bruikbaars had gevonden. Tot ik, na ontelbare pogingen, op een gegeven moment er wél in slaagde, via een buffer overflow waar ik eigenlijk per ongeluk te- genaan gelopen was. Plots was ik vijf minuten wereldberoemd op was gestart dat Intigriti heette, en dat intrigeerde mij natuurlijk. allerlei online forums en dat was Die man bleek Stijn Jans te heten. mijn toegangsticket tot de hack- scene. Dat ik eigenlijk zo goed als En nu organiseren we samen bug bounty hunts in opdracht van geen idee had waar ik mee bezig bedrijven en wij vormen de brug was, vertelde ik er natuurlijk niet bij (lacht opnieuw).’ met een paar duizend ethische hackers die de bugs proberen te vinden. Voor alle duidelijk- Uit die hobby is uiteindelijk wel een eigen bedrijf gegroeid: heid: Intigriti is dus níét naar mij Intigriti. vernoemd.’ ‘Ja, ik had al vrij snel door dat je met hacken je brood kon verdie- nen, ook op een eerlijke manier. Toen ik zestien was deed ik mee aan een bug bounty hunt van Google en ik kreeg van hen 1.200 dollar omdat ik een bug gevon- den had. Dat was meer dan ik ooit verdiend had met mijn stu- dentenbaantje in de supermarkt (lacht). Daarna ben ik aan steeds meer van dat soort wedstrijden gaan meedoen, tot in Las Vegas aan toe. Op een goede dag las ik in de krant dat een mede-Aal- stenaar een bug bounty platform Zonder alles al weg te geven: waarover ga je het hebben op Cybersec Europe? ‘Over standaarden. Dat klinkt saai, maar dat is het écht niet (lacht). Veel mensen beseffen niet dat de standaarden waarop het internet gebouwd werd, vaak meer dan dertig jaar oud zijn. En in veel van die standaarden, protocollen en formats zitten gaten, onder meer omdat we ze vandaag de dag gebruiken voor zaken waar ze eigenlijk totaal niet voor ontworpen zijn.’ #2/3 | 2023 41

P:42

HACKING DOSSIER DATA- & CLOUDSECURITY Kan men die standaarden dan niet gewoon updaten? ‘Dat is net het punt: nee, dat is niet zo eenvoudig. Kijk, als je als bedrijf met een zero day-kwetsbaarheid zit, breng je daar een patch voor uit. Klanten installeren die patch en je kunt weer verder. Een lek in een stan- daard is stukken complexer, omdat die dikwijls invloed heeft op diep- gaande processen en implementaties. Je kunt dat niet zomaar patchen, want dan ben je aan het rommelen aan de fundamenten van het internet. Bo- vendien kan zo’n lek werkelijk overal aanwezig zijn en is het best lastig om hierop automatisch te testen.’ Maak jij zelf ook gebruik van dat soort lekken? ‘Zeker. Voor ik begin te hacken, lees ik tegenwoordig vaak een paar uur een standaard helemaal door. Terwijl iedereen dus meteen op zijn com- puter begint te tokkelen, zit ik eerst een halve dag met mijn neus in de boeken. Dat wil ook zeggen dat het ei- genlijke hacken vaak een klus wordt van tien minuten of zo. Je moet eerst in alle uithoeken van de software neuzen, een beetje logisch nadenken en dan is tachtig procent van het werk eigenlijk al gedaan.’ Wat zijn favoriete aanvals methoden voor jou? ‘Ik maak graag gebruik van ‘de schaduwzijde van de verantwoorde- lijkheid’. Die term heb ik zelf verzon- nen (lacht). Dat gebeurt bijvoorbeeld wanneer zowel een softwareleve- rancier als een ontwikkelaar bij een bedrijf er van uit gaan dat de andere zijn werk heeft gedaan. En heel vaak zie je dat dit niet zo is. Vaak zijn twee producten op zich wel goed beveiligd, maar ontstaan er problemen wan- neer je ze met elkaar gaat verbinden. Je krijgt barstjes en gaatjes wan- neer bijvoorbeeld een nieuw soft- waresysteem in een onderneming geïntegreerd moet worden met een bestaand systeem. Wat ook vaak een goede toegangspoort is, is ‘vrijdagna- middagcode’. Je kunt dat echt zien: code die nog vlug werd geschreven voor het weekend begint; het moest allemaal snel gaan, er sluipen slordig- heden en foutjes in... Of MVP-code, van het minimum viable product, het prototype van de uiteindelijke software. Die wordt geschreven als het bedrijf nog klein is en er geen tijd en geld is voor security. Vaak vergeet men die er later weer uit te halen of te verbeteren. Ook heel dankbaar zijn heel specifieke of speciale features die op maat van één klant zijn ge- maakt. Financieel zijn die erg lucra- tief, maar ze worden meestal nooit onderhouden of getest op veiligheid.’ Zie je dat soort fouten ook nog bij techgiganten als Google of Face book? ‘Soms nog meer zelfs dan bij ‘gewone’ bedrijven. Omdat die grote reuzen uit heel veel eilandjes bestaan, is het soms niet meer duidelijk wie wat moet doen. En dan ontstaan er verkeerde aannames: ‘die of die zal het wel gecheckt hebben’. Terwijl die of die ervan uitgingen dat de andere afdeling dat ging doen.’ Een goede hacker kijkt dus op een onverwachte, minder voor de hand liggende manier naar software? ‘Inderdaad. Daarom ook dat goede programmeurs niet de facto goede hackers zijn. Twee van de beste hac- kers die ik ken, hebben een verleden als boekhouder en taxichauffeur. Maar ze hebben ook die brede, open blik die een pluspunt is in onze branche. Een programmeur is vaak heel rechtlijnig en analytisch en heel erg gefocust op de use case. Maar ik wil absoluut niet kwaad over hen spreken. Als programmeur zit je vaak gewoon veel te dicht op de business om nog afstand te kunnen nemen van je code. Daarom is het goed om bijvoorbeeld ook eens mensen van HR of van Finance naar je software te laten kijken. Vaak krijg je dan heel rare invalshoeken, maar die wel heel waardevol kunnen zijn.’ Om af te sluiten: er was laatst een stevig rel in Nederland over een white hat hacker die zelf tonnen data gestolen bleek te hebben. Was je verrast? ‘Eigenlijk wel, want zoiets blijft gelukkig toch nog altijd een absolute uitzondering. Nu is dit natuurlijk ook een sterk groeiende business, dus meer en meer van dit soort figuren vinden de weg naar het hacken. Het is vooral jammer omdat het voor enorme reputatieschade zorgt bij alle white hat hackers die te goeder trouw handelen. Ik ben blij om te zeggen dat we onder de 70.000 hackers bij Inti- griti nog nooit zo’n incident hebben gehad. Met background checks en rankings op ons plaform doen we er ook alles aan om dat te voorkomen.’ RTFR (Read The Bleeping RFC) De keynote van Inti De Ceukelaire vindt op 19 april 2023 om 12.25 uur plaats op Cybersec Europe in Brus- sel. In deze sessie gaat hij in op hackers die naast kwetsbaarheden in producten op zoek gaan naar kwetsbaarheden in standaarden, protocollen en formats. De Ceuke- laire gaat in op zijn eigen onderzoe- ken en bespreekt hij enkele van zijn recente vondsten. De hacking- technieken die hij onthult, zijn een- voudig te exploiteren en worden veelvuldig gebruikt. Een absolute aanrader voor organisaties die hun cyberbeveiligingsnormen op peil willen krijgen en hun beveiligings- stromen willen evalueren. Registreer gratis voor Cybersec Europe die op 19 en 20 april 2023 plaatsvindt in de Brussels Expo: 42 #2/3 | 2023

P:43

HOGESCHOOL LEIDEN > HANS HENSELER Master Digital Forensics Istart in september uit te lezen. De studenten helpen op hun beurt het NFI met onderzoek. Zo ontwikkelen ze nieuwe software of tools voor Hansken en helpen ze met experimenten om smartphones en apps forensisch te onderzoeken. “Door de banden met het NFI nauwer aan te halen kunnen we onze geza- menlijke maatschappelijke impact op dit terrein verder vergroten”, aldus bestuursvoorzitter Angelien Sander- man van Hogeschool Leiden. Voor Computable-lezers die overwegen zich te laten scholen via een cursus, master of duale bachelor-opleiding bij Hogeschool Leiden (de enige hoge- school in Nederland voor dit vakge- bied) is de online informatieavond op 9 mei wellicht een aanrader. n s de verdachte op de tweede of de “Dit is een nieuwe weg voor het NFI derde etage geweest? Het ant- in samenwerking met het onderwijs- woord op die vraag kan gevonden veld”, zegt Hans Henseler, werkzaam worden met moderne bewegingssen- bij het NFI en lector Digital Forensics soriek. Of met tal van andere nieuwe & E-Discovery van Hogeschool Leiden. technologieën die door studenten van Hogeschool Leiden worden geëxplo- reerd voor het oplossen van misdrij- ven. Aangezien de ontwikkelingen bijna niet bij te houden zijn, wordt de al langer lopende samenwerking met het Nederlands Forensisch Instituut (NFI) geïntensiveerd. Daartoe werd op 14 februari 2023 het contract on- dertekend in het bijzijn van de pers. ‘Een nieuwe weg voor het NFI in samenwerking met het onderwijsveld’ “De ervaring van NFI-medewerkers geeft studenten een goed beeld van het werk in de praktijk terwijl de kennis en creativiteit van de studen- ten innovaties bij het NFI stimuleren.” NFI-onderzoekers gaan onder meer lesgeven bij de nieuwe tweejarige deeltijd-masteropleiding Digital Forensics, die start in september 2023. Studenten leren werken met artificial intelligence, bijvoorbeeld bij het ontwikkelen van nieuwe mogelijkheden (plug-ins) voor de digitale forensische zoekmachine Hansken, waarmee opsporingsdien- sten grote hoeveelheden digitale data kunnen organiseren, analyseren en doorzoeken. Ook leren ze technieken om bijvoorbeeld cryptotelefoons ADVERTORIAL Alle criminaliteit heeft inmid- dels een digitale variant en de vraag naar digitaal forensisch onderzoekers groeit. Het Neder- lands Forensisch Instituut en Hogeschool Leiden gaan daarom intensiever samenwerken. Onder meer de master Digital Forensics staat op het programma. INFORMATIE- AVOND HOGESCHOOL LEIDEN #2/3 | 2023 43

P:44

COLUMN DOSSIER DATA- & CLOUDSECURITY Je betaalt met data (want op internet is niets gratis) Twintig dollar. Dat is wat een ‘fully’, inter- netjargon voor een ‘full id’, op de zwarte markt opbrengt bij een cybercrimineel. Kwaadwillenden kopen hele datasets op het darkweb om er wie weet wat mee te doen. Te vaak brengen we onszelf in gevaar door onze persoonlijke gegevens voor een habbekrats online te zetten. Niets is gratis op internet. Zelfs Whatsapp, In- stagram, TikTok en Facebook niet. Zodra je in de gebruiksvoorwaarden op ‘akkoord’ klikt, ga je ermee akkoord dat die bedrijven jouw gegevens gebruiken en verkopen aan marketeers van andere bedrijven. Big Tech-bedrijven weten vaak meer over jou dan je partner van jou weet. Dat is niet verwonderlijk: ze verzamelen zoveel mogelijk gegevens over jou. De verkoop van datasets vertaalt zich meestal op relatief onschuldige wijze in advertenties. Back in the day, surfend op internet, kreeg je willekeurige advertenties te zien. Alsof je een stapel folders in je brievenbus kreeg, en die stapel zag er voor iedereen hetzelfde uit. Tegenwoordig is er een alwetende postbode die precies die advertenties in je brievenbus gooit die overeenkomen met je zoekgedrag. Dit is waar we kennis moeten nemen van de cyberbeveiligingstraining die we op het werk krijgen en die ook in ons persoonlijke leven moeten toepassen. Voor cybercriminelen bestaan er geen duidelijke grenzen tussen thuis en werk. Gegevens zijn gegevens, en gegevens zijn geld. Hoe meer we delen, hoe aantrekkelijker de ille- gale datamarkt wordt. Dat komt omdat datasets JOHN SCHAAP steeds rijker worden, waardoor criminelen er steeds meer fraude mee kunnen plegen. Die gegevens komen vaak (uiteindelijk) uit bron- nen die gratis lijken, zoals de social media apps. Elke like op Facebook, TikTok of Insta vormt een nieuwe regel in Your Big Data Book. En elke regel maakt jouw fully een waardevoller bezit voor cybercriminelen. Wees voorzichtig met welke persoonlijke infor- matie je deelt, zorg ervoor dat privacy-instellin- gen strikt worden bijgewerkt en houd software up-to-date met de nieuwste beveiligingsdown- loads. Hoewel we ons door privacyverklaringen en nalevingsformulieren haasten wanneer we accounts aanmaken voor online-winkelen, forums, klantenkaarten en meer, moet u de tijd nemen om de vakjes aan te vinken (of niet!) die ervoor zorgen dat uw gegevens niet worden gedeeld buiten het bedrijf waarmee u zaken doet. En wees vooral altijd alert op pogingen tot phishing en social engineering die de veiligheid en beveiliging van uw privé- en bedrijfsgege- vens in gevaar kunnen brengen. De overheid heeft de afgelopen jaren goede stappen gezet die privacy op de publieke agenda zetten - maar nog niet hoog genoeg. Net zoals we advertenties hebben tegen de schade- lijke effecten van alcohol en stickers op sigaret- tenpakjes, hebben we ook voorlichting nodig over de schadelijke effecten van sociale media en misbruik van gegevens. Cybercriminelen bouwen hele imperia op persoonlijke gegevens die ze online kopen of kapen. We moeten ons er meer bewust van zijn dat ons eigen datagebruik daar het fundament van is. 44 #2/3 | 2023 SENIOR DIRECTOR BENELUX & NORDICS BIJ BLACKBERRY

P:45

GELRE ZIEKENHUIZEN PIONIEREN MET EPD IN DE CLOUD Gelre ziekenhuizen is het eerste ziekenhuis in Nederland en in Europa dat het elektronisch patiëntendossier (epd) naar de cloud heeft gebracht. Die primeur was eind vorig jaar. In dit artikel blikken Han van der Zee (Gelre ziekenhuizen), Anna van den Breemer-Kleene (Microsoft), Arjen van Hengel (ChipSoft) en Wilco Turnhout (Rapid Circle) terug op het proces. TEKST: LEENDERT DOUMA BEELD: SHUTTERSTOCK/GELRE ZIEKENHUIZEN/MICROSOFT/CHIPSOFT/RAPID CIRCLE DOORGELICHT Eind november nam het zieken- huis - met locaties in Apeldoorn en Zutphen - ChipSoft HiX 6.3 in gebruik en plaatste dat in de Microsoft Azure-cloud. Er zijn meerdere zieken- huizen die stap voor stap stukjes van hun workflow naar de cloud brengen, maar zo’n ‘big bang’ als bij Gelre is internationaal ongekend. Er was dan ook geen ziekenhuis dat als voorbeeld kon dienen. Sterker nog: veel zieken- huizen wereldwijd keken argwanend over hun schouders mee. De betrok- ken partijen (Gelre ziekenhuizen, ChipSoft, Microsoft en serviceprovi- der Rapid Circle) sloegen de handen ineen in een projectorganisatie en sloegen aan het pionieren. Ze zetten de stap vol vertrouwen en definitief. Een rollback-strategie was er niet. Het is ook geen ‘rocket science’, je moet alleen de stap dúrven maken, zo relativeert Han van der Zee, cio/ transitiemanager Digitalisering Gelre ziekenhuizen, de keuze voor de cloud- migratie. ‘Het was cruciaal dat de raad van bestuur van het ziekenhuis die stap mentaal al had gemaakt.’ Daarna is het een kwestie van de juiste man (m/v/x) op de juiste plek. ‘Een belang- rijk element in een project als bij het Gelre is het partnership in het gehele traject. Om een oplossing als deze mogelijk te maken is specifieke kennis op verschillende vlakken cruciaal en dat is alleen te realiseren door het aanhaken van de juiste partners’, zegt Anna van den Breemer-Kleene, direc- teur publieke sector van Microsoft in #2/3 | 2023 45

P:46

46 #2/3 | 2023 DOORGELICHT Nederland. ‘Het was de uitdaging om van een papieren discussie naar een werkende oplossing te komen. Het klinkt als een open deur, maar valide- ren is weten. Daar is in dit traject heel goed gebruik van gemaakt.’ In het voortraject hebben we alle dis- cussies over de cloud willen beslech- ten, stelt Arjen van Hengel, project- manager bij Chipsoft. ‘Daardoor is het aantal issues minimaal gebleven’. Wilco Turnhout, chief strategy officer bij Rapid Circle: ‘De hele wereld keek mee, vaak kritisch achterover en met de armen over elkaar. Dus we wilden er met z’n allen zeker van zijn dat het goed zou gaan. Daarom hebben we uitgebreid getest en simulaties zwaar uitgevoerd.’ HAN VAN DER ZEE CIO/TRANSITIEMANAGER DIGITALISERING GELRE ZIEKENHUIZEN De migratie van het epd was het sluitstuk van de eerste fase van een omvangrijk transitietraject, onderdeel van het Routeplan Digitalisering van Gelre ziekenhuizen uit 2020’, legt Van der Zee uit. ‘Die fase stond in het teken van het op orde brengen van de interne, op workflows gebaseerde informatievoorziening. Inmiddels is de tweede fase gestart. Die is gericht op het op orde brengen van de op netwerken gebaseerde informatie- voorziening van het gehele zorg-eco- systeem waarin Gelre ziekenhuizen een belangrijke speler is.’ Veilige en betrouwbare gegevensuitwisseling tussen zorgverleners en zorgontvan- gers, anytime, anyplace, any device, is de hoeksteen voor de uitvoering van het Integraal Zorgakkoord – een metamorfose voor de betaalbare Zorg in Nederland. Gelre Ziekenhuizen wil daar voorloper in zijn, aldus cio Van der Zee. ‘Speerpunten bij het traject zijn de verbetering van informatiesystemen, infrastructuur en it. Daar kwam nog een heel praktische overweging bij. Onze eigen infrastructuur stond destijds in het ziekenhuis, maar we hadden behoefte om ons beddenhuis ‘IK DACHT: DIT IS ZO MOEDIG DAT IK ER WEL LEIDING AAN WIL GEVEN!’ uit te breiden. Een patiënt in de plaats van een computer.’ Het ziekenhuis maakte daarop de strategische keuze om het grootste deel van de it-infra- structuur naar de cloud te verhuizen en te laten beheren door een externe partij. De filosofie daarachter is eigen- lijk een ‘drietrapsraket’. Het beleid is 1. om zoveel mogelijk software-as- a-service (saas) af te nemen, zodat beheer en veiligheid geborgd zijn, 2. als dit niet mogelijk is, kijkt Gelre naar de mogelijkheid om dit met Azure in de cloud onder te brengen en 3. mocht dat ook niet lukken, dan wordt de software lokaal geïnstalleerd. Van der Zee was niet betrokken bij de strategische keuze. Hij werd in 2021 aangesteld om, zoals hij zelf zegt, ‘de transitie een boost te geven’. ‘Ik vond het een ambitieus plan. Ik dacht: dit is zo moedig dat ik er wel leiding aan wil geven!’ De werkplekken, het data-integratieplatform, werd vanaf 2021 perceeltje voor perceeltje naar de cloud gebracht. Het grootste deel van de applicaties draait sinds 2022 in Azure, voor een enkele applicatie – zoals PACS (Picture Archiving and Communication System)-beeldvor- mende technieken – is gekozen voor een private cloud. Tegelijkertijd ging het ‘Sunset-project’ van start, zo legt hij. ‘Het is niet alleen van belang dat we het nieuwe ter beschikking stellen, we moeten ook het oude afbouwen. Bij software is dat niet de stekker uit het stopcontact trekken. Er zitten databases met patiëntgegevens onder; daarop rust een bewaarplicht van jaren. Daar moeten we netjes mee omgaan, maar we moeten ook voor- komen dat we dubbele licentiekosten betalen.’ De grootste zorgen bij de migratie van het epd naar de cloud waren de performance en de maatvoering, vertelt Van der Zee. ‘In het begin was

P:47

de performance wat minder. Toen het spannend werd, hebben we – bij wijze van spreken – alle deuren even opengezet om het epd optimaal te laten functioneren. Dat leidde tijdelijk tot hogere kosten. Inmiddels hebben we de maatvoering beter gedimensio- neerd en lopen we weer in de pas.’ De eindgebruikers – zorgverleners én patiënten – zijn enthousiast over de nieuwe performance, meldt hij. ‘We hebben in de zorg nog een beetje een oud bedrijfsmodel, waarin de meeste communicatie in de dokterskamer plaatsvindt. Er staat een terminal op tafel waarop arts en patiënt samen kijken. Als je dan op de enter-knop drukt en het duurt nog een minuut voordat bijvoorbeeld radiologiebeel- den op het scherm verschijnen, dan is dat frustrerend. Die tijd is nu terugge- bracht tot een paar seconden.’ In het begin was er in de staf wel wat weerstand tegen de nieuwe workflow, maar dat betrof vooral de nieuwe zorgprocessen en zorgpaden, zegt de cio/transitiemanager van Gelre. ‘In bepaalde delen van het ziekenhuis was het lastig om artsen te overtuigen dat ze afscheid moesten nemen van hun eigen vertrouwde systemen – die op bepaalde vlakken soms misschien beter waren dan wat ze ervoor in de plaats kregen. Maar dat had niet zoveel te maken met het in de cloud zijn van systemen.’ ANNA VAN DEN BREEMER-KLEENE NEDERLANDS DIRECTEUR PUBLIEKE SECTOR MICROSOFT Het samenbrengen van databronnen maakt het mogelijk om medische gegevens te integreren, veilig uit te wisselen en te analyseren – en in het huidige zorgstelsel kunnen zieken- huizen niet meer zonder dat. Zo zetten steeds meer ziekenhuizen in hun meerjarenstrategie in op digitale zorg op afstand, ketenzorg en samen- werking met de patiënt. Heel veel verschillende bronnen moeten dan met elkaar communiceren. Dat werkt beter in de cloud dan in stand-alone- systemen, ook als het gaat om een epd. ‘Een dienst als HiX is een specifieke ‘DIT WAS MEER DAN ‘SLECHTS’ HET IMPLEMENTEREN VAN DE HIX-OPLOSSING’ workload met specifieke eisen die goed door de grote schaal aan dien- sten en virtuele-machine-types op het Azure platform past’, zegt Anna van den Breemer-Kleene van Microsoft. ‘Het creëert de mogelijkheid om op te schalen op basis van de behoefte van de zorginstelling. Op elk moment kan er extra capaciteit worden toegevoegd om te voldoen aan de vraag, bijvoor- beeld tijdens momenten van piekbe- lasting.’ Bij de implementatie van een sys- teem als HiX moeten veiligheid en privacy van patiëntgegevens voorop staan, vindt Microsoft. Denk daarbij bijvoorbeeld aan encryptie, toe- gangscontrole, netwerkbeveiliging en audittrials. Azure biedt de moge- lijkheid om beveiligingsincidenten realtime te detecteren en op te lossen. ‘De hoofdoorzaak van de uitval van medische systemen is het gebruik van verouderde systemen en op dit moment zien wij in de markt dat veel medische systemen kwetsbaar zijn, merkt Van den Breemer-Kleene. ‘Het opslaan van vertrouwelijke data, met daarin de juiste privacy-controles, is in de cloud veiliger dan informatie opslaan op eigen netwerken en syste- men. Dit komt doordat je binnen de cloud in één keer voor alle gebruikers veiligheidsupgrades kunt doorvoeren. Ziekenhuizen hoeven dan niet meer zelf de systemen lokaal te beheren en up-to-date te houden.’ De transitie bij Gelre ziekenhuizen #2/3 | 2023 47

P:48

DOORGELICHT toont het belang aan van een goede it-strategie, zo betoogt zij. ‘Het is cruciaal dat de it-architectuur goed is doordacht en er een helder uit- wijkscenario - of fallback - aanwezig is, zodat te allen tijde zorg geleverd kan worden. Daarnaast wordt er met medische patiëntgegevens gewerkt. Het belangrijkste is dat er vertrouwen is in het ziekenhuis, maar ook bij de patiënten, dat de informatie veilig is. Niet voor niets is er veel interesse voor het traject bij het Gelre’, merkt de Microsoft-directeur. ‘We moeten ons realiseren dat dit meer was dan ‘slechts’ het implementeren van de HiX-oplossing. Het gaat hier om grote lifecycle-managementtrajecten. Op het moment dat een ziekenhuis overgaat naar nieuwe hardware en nieuwe versies of een andere grote optimalisatie doet, is het interessant om dit ook mee te nemen. Dit kan als basissysteem zijn, zoals bij het Gelre het geval is, maar de Azure-oplossing kan ook gebruikt worden als uitwijk- oplossing.’ ARJEN VAN HENGEL PROJECTMANAGER CHIPSOFT De migratie naar de cloud – of in geval van ChipSoft de uitrol van HiX – verliep nagenoeg vlekkeloos, vertelt Arjen van Hengel. ‘Wat ons betreft was het een topuitrol, ook door alle inzet van alle Gelre-medewerkers. Dit heeft tot een hoge tevredenheid onder de eindgebruikers geresulteerd. We horen veel enthousiaste reacties. En ik vind het aantal issues minimaal.’ Dat komt volgens Van Hengel doordat in het voortraject redelijk intensief met alle partijen contact is geweest om alle risico’s in kaart te brengen. ‘Al in dit voortraject – nog voor contrac- tering – zijn we met het ziekenhuis, Microsoft en Rapid Circle om tafel gaan zitten om het landschap van Gelre door te nemen en alle discus- sies rondom de cloud met elkaar te beslechten. Daarna zijn we een ‘CTO- board’ gestart waarin alle betrokken partijen eventuele technische issues met elkaar kunnen bespreken.’ De risico’s voor ChipSoft zaten ‘m met ‘DE RISICO’S ZATEN ‘M MET NAME IN PERFORMANCE EN CONNECTIVITEIT’ 48 #2/3 | 2023 name in performance en connectivi- teit, zegt de projectmanager van de epd-leverancier. ‘Dan heb je het over de grenzen van de cloud. Je moet er voor zorgen dat apparaten en applica- ties die niet in de cloud draaien, wel goed ontsloten kunnen worden. Vaak kan dat via de infrastructuur worden opgelost, zoals bijvoorbeeld de prin- teraansturing of het ontsluiten van apparatuur, soms is er extra software nodig om te praten met de ‘grabber- cards’ (insteekkaarten, n.v.d.r.) voor endoscopie. Die hebben we nu ontwik- keld. We gaan kijken of we die alsnog bij Gelre kunnen implementeren. Ook de aansturing van de PACS-beelden van radiologie moest op een lokaal station staan. Na grondig onderzoek bleek dat geen grote impact te hebben

P:49

op de data die in de cloud staan.’ ChipSoft heeft al ervaring met sys- temen in de cloud, legt Van Hengel uit. ‘Voor alle huisartsen die op HiX draaien is onze Azure cloud versie de nieuwe standaard. Individuele huisartsenpraktijken nemen bij ons saas, maar dat zijn natuurlijk kleine organisaties die alleen overdag draaien en nauwelijks gekoppelde apparatuur hebben. Een ziekenhuis is veel complexer en als iets niet werkt, is de impact op de primaire zorg vele malen groter! Daarom was dit proces voor ons heel leerzaam. Omdat we enkel software leveren, heeft het in de cloud staan functioneel gezien niet veel toegevoegde waarde. Maar het is voor ons vooral belangrijk dat we oog blijven houden voor de ontwikkelin- gen bij onze klanten. Daar moet je in mee blijven denken.’ WILCO TURNHOUT CHIEF STRATEGY OFFICER RAPID CIRCLE Als we de zorg betaalbaar willen houden met het lagere aanbod aan personeel, dan volstaan we niet meer met efficiënter te werken. We zullen het echt ánders moeten gaan doen, meer in samenwerking, meer buitens- huis. Dat kan alleen maar door data veilig en compliant uit te wisselen. Dat lukt eigenlijk niet met de infrastruc- tuur die de meeste ziekenhuizen nu hebben’, benadrukt Wilco Turnhout van Rapid Circle. ‘Dus ik denk dat de zorg van ‘application-centered’ naar ‘platform-centered’ moet gaan denken.’ Gelre ziekenhuizen loopt voorop in die cultuuromslag, denkt Turnhout. Hij raadt andere ziekenhuizen aan hier ook mee te beginnen. En wel nu. Je kunt je het niet veroorloven om nog langer te wachten. ‘Het hoeft allemaal niet in een ‘big bang’ met een zorgvul- dige voorbereiding, zoals bij Gelre. Je kunt het ook prima stapje voor stapje – workload voor workload – in drie tot vijf jaar doen.’ Dat lijkt makkelijk en laagdrempelig. Toch ziet Rapid Circle nog weinig urgentie in de ziekenhuis- wereld. Turnhout: ‘Ik ben met een groot aantal ziekenhuizen in gesprek, ‘ER IS NOG WEINIG URGENTIE TE BESPEUREN IN DE ZIEKENHUISWERELD.’ maar bij geen van die ziekenhuizen staat er daadwerkelijk een serieus besluit voor de deur. Misschien gaat dat veranderen nu de businesscase bij Gelre ziekenhuizen succesvol blijkt. De hele wereld kijkt mee. Nu is er bewijs dat het goed draait.’ Bovendien blijkt het kostenplaatje van werkplekken en het epd in de cloud, bij het ziekenhuis in Apeldoorn en Zutphen in ieder geval, gunstiger uit te pakken dan gedacht, zo rekent Turnhout voor. ‘We hadden verwacht dat we op break-even zouden zitten ten opzichte van het alternatief van een lokaal datacenter. Dan was het functioneel gezien een logische keuze om naar de publieke cloud te gaan. Nu het een aantal maanden draait, blijkt het voor Gelre zelfs een goed- kopere oplossing te worden.’ Dat zal overigens niet voor elk ziekenhuis opgaan, vult de chief strategy officer van Rapid Circle aan. ‘We moeten het per individuele situatie bekijken. Als een ziekenhuis net naar een nieuw da- tacenter is gegaan of net een contract met een datacenterprovider heeft ge- sloten, dan wil die dat eerst uitnutten en wordt het een ander verhaal.’ #2/3 | 2023 49

P:50

MARKT IN KAART HORECA ZET DIGITALE INNOVATIE OP HET MENU De horeca is een van de sectoren die door de Covid-19-pan- demie digitaal is gaan versnellen. Niet alleen schakelden restaurants, snackbars, bars en allerhande uitspanningen tijdens de coronacrisis veelal over op nieuwe, online-bedrijfs- modellen, ook na het einde van de lockdowns moesten de digital-first-verwachtingen die inmiddels bij klanten waren gewekt, worden ingelost. Wat daarbij opvalt, zijn de talloze branchespecifieke ict-bedrijven die hierop zijn ingesprongen. van de juiste kamerprijs. Maar er zijn ook kleinere deelnemin- gen, zoals bij Scanfie, een leverancier van een kassasysteem voor de horeca en vrijetijdssector. Die hengelde in februari van dit jaar via informele geldschieters een onbekend gebleven bedrag binnen voor een volgende groeifase. De startup uit Terheijden begon in 2018 met een qr-besteltooltje dat zich ontwikkelde tot een kas- saoplossing waarbij gasten in een etablissement zelf kunnen bestellen en afrekenen. Bij Formitable stapte vorig jaar september it-ondernemer Adriaan Mol (van Mollie en Messagebird) met acht miljoen euro in. Deze Amster- damse scale-up helpt restaurants met oplossingen voor reserveringen met vooruitbetalingen, kaartverkoop en klantenbinding. Het bedrijf wil inter- nationaal uitbreiden en kocht het al vrij snel daarna Zenchef, een verge- lijkbare ‘disgenoot’ uit Parijs. Zo zijn er nog andere voorbeelden van it-horecabedrijven die de afgelopen jaren kapitaal ophaalden, zoals het Nederlandse Maxxton en het Belgische Stardekk. Beide bedrijven bouwen software voor de hotel- en hospitality- sector en zijn in november 2020 onder één paraplu gebracht door het private equity-fonds Fortino Capital voor verdere internationale groei. Of neem de Zeeuwse startup Omniboost. Die gaat met financiële steun van reismil- jardair John Fentener van Vlissingen wereldwijd expanderen. Het software- bedrijf uit Terneuzen helpt hotels en restaurants data-processen te optima- liseren en automatiseren. Opvallend is dat er weinig ‘usual 50 #2/3 | 2023 TEKST: RIK SANDERS BEELD: BRIAN GUNTHER Zo ontving eind vorig jaar het softwarebedrijf Mews, met hoofd- kantoor in Amsterdam, maar liefst 185 miljoen dollar van inves- teerders voor de internationale groei en nieuwe overnames. Mews is een cloud-native vastgoed-beheersysteem dat alle handelingen voor hoteliers en restauranthouders en hun gasten wil vereenvoudigen en automatise- ren: van de boekingsmodule tot het uitchecken, van de receptie tot het beheer van inkomsten. Het Amster- damse bedrijf integreert zijn systeem voor het horecawezen met het klantre- latiebeheersysteem van Salesforce. Ook een andere horecasoftwarepartij liet tijdens de coronacrisis van zich spreken: het Belgische Deliverect (met een Nederlandse ontwikkeltak in Amersfoort). Deze leverancier van software waarmee restaurants thuisle- veringen beheren, haalde begin 2022 in alweer zijn vierde financierings- ronde honderdvijftig miljoen dollar op bij diverse kapitaalverschaffers. In totaal is er 240 miljoen dollar in het wereldwijde actieve bedrijf gepompt. Het platform van Deliverect auto- matiseert de online-bestellingen van restaurants vanaf een centraal punt, waarbij bezorg-, tafelapp- of afhaal- verzoeken van diensten als Uber Eats, Takeaway.com, Deliveroo en Shopify binnenkomen en rechtstreeks naar de keuken worden gestuurd om later naar de klant te worden gebracht. En het van oorsprong Vlaamse OTA In- sight (gestart in 2012) kreeg eind 2021 tachtig miljoen dollar via een Series B-kapitaalronde. Het bedrijf zet het kapitaal in voor het verder commerci- aliseren van zijn beheersoftware voor hotels. De software stelt hoteluitbaters in staat hun zaak online beter te profi- leren. Een algoritme geeft hen inzicht in hun concurrentiepositie in online- boekingtools en helpt bij het bepalen

P:51

suspects’ (zie ook kader) in de hore- cabedrijfstak opereren. Het zijn met name branchespecifieke partijen die hier kansen zien liggen. Waarschijnlijk volgt de komende jaren nog een conso- lidatieslag. Een bekend softwarebedrijf dat zich al wel heeft gemeld, is Exact. Dat kocht medio vorig jaar Horeko, een leverancier van restaurantmanage- mentsoftware uit Amersfoort. Het is niet zo dat automatisering voordat de pandemie uitbrak voor de horeca een onbeschreven blad was. Kassabeheersystemen, bijvoorbeeld van het Canadese Lightspeed, Eijsink, MPluskassa of Untill Software, of aller- hande managementsoftware beston- den al geruime tijd. Maar zoals Jerry Garcia, directeur Aruba Networks Belux, in een recente Computable-opi- nie al aangaf naar aanleiding van een onderzoek van zijn bedrijf over ict en de horeca, de sector staat wel voor een uitdaging: ‘Het blijkt een flinke opgave om nieuwe technologieën snel toe te passen. Naarmate horecabedrijven hun digitale transformatie versnel- len, krijgen ze ook te maken met een exponentiële toename van gegevens.’ Volgens Garcia biedt dit interessante mogelijkheden om betere, meer gedifferentieerde klantervaringen te creëren. Maar als zo’n dataverzame- ling niet goed wordt beheerd kan het horecabedrijven ook met een digitale vertraging opzadelen. Innovaties De afgelopen jaren doken tal van nieuwe ict-bedrijven op de horeca- markt. Een greep: • RoomRaccoon: een cloudgeba- seerd hotelreserveringssysteem met gastgerichte tools. De gelijknamige leverancier uit Breda sleepte in 2021 een nominatie voor een Computable Award, categorie • Tech-startup, in de wacht. Hotelchamp: een Amsterdamse scale-up die software biedt waar- mee hoteliers boekingen via hun eigen website kunnen genereren. Het bedrijf haalde ook al eens een • paar keer kapitaal op. Munch van Webdoos: een Belgisch online-platform waarmee restau- rants hun proces rond afhaalmaal- • tijden kunnen regelen. Ser.vi: een Amerikaanse bestel- app voor de horeca, werkend met • qr-codes. Apicbase: een Belgische aanbieder van online-software waarmee horecabedrijven hun voorraadke- tens kunnen beheren. Het bedrijf ontving al een paar keer groeigeld • van investeerders. Casper: een Belgische virtuele omgeving voor zogenaamde ghost- of dark kitchens: restaurants die alleen leveren zonder fysieke ruimte voor klanten. Deze startup verwierf in 2022 vijf miljoen euro startkapitaal. Overigens zijn niet alle nieuwe, innovatieve bedrijven een lang leven beschoren. Zo braken onder andere de Nederlandse bedrijven Bardoggy (een online platform voor cafés, clubs en kroegen met aanbiedingen) en Wwenc (een digitale ober), beide in de voorbije jaren genomineerd voor een Computable Award, niet door en zijn ze gestopt. #2/3 | 2023 51

P:52

PARELTJES In deze serie worden bedrijven geportretteerd die een opvallende rol hebben gespeeld of nog spelen in de Nederlandse ict-wereld. DNA SERVICES Van it-afdeling naar totaalaanbieder voor het mkb In 1994 gestart als verzelfstandigde it-afdeling van vleesproducent Bakker-Lekkerkerk is DNA Services al jaren een stille kracht in een aantal sectoren, zoals de voedselindustrie, de agf-branche, het transportwezen en de (groot)handel. Het DNA van het bedrijf uit Hendrik- Ido-Ambacht is wel aan het veranderen. In plaats van 100 procent maatwerksoftware biedt DNA Services sinds een paar jaar twee enterprise resource software (erp)-smaken: Uniconta en FreshERP. En met Hans de Wit als commercieel directeur en mede-eigenaar heeft het bedrijf de ambitie om een totaalaanbieder op it-gebied te worden. TEKST: RIK SANDERS BEELD: DNA SERVICES Bakker-Lekkerkerk stond bekend om zijn boerenzult, slavinken en borrelballen. En om het ‘van- daag voor morgen-leveren’-concept waarmee de vleesproducent dertig jaar geleden al zaken deed met retailer Albert Heijn. Elke dag verse vleeswaren transporteren naar de distributiecentra van Albert Heijn. Een eigen it-afdeling zorgde voor de broodnodige ondersteuning. Die deed zowel de software-ontwikkeling en hardware-inkoop als kantoorauto- matisering (tekstverwerken, mailen). Totdat Bakker-Lekkerkerk werd verkocht aan de Britse branchegenoot Perkins Food. Dick Griep, Niek de Rijk en Albert van Zijverden werkten op de it-afdeling. ‘HET IS EEN GAAF IDEE DAT DNA DAAR OP ‘EEN ZOLDERTJE’ IS BEGONNEN’ De verkoop van het vleesconcern vormde voor het drietal aanleiding om voor zichzelf te beginnen. Bakker Lekkerkerk werd de eerste klant van DNA (een samentrekking van de eerste letters van hun voornamen) Services. Naderhand verplaatste Perkins Food de productie naar een andere fabriek in Holten en viel deze klant weg. Maar binnen de Bakker-familie was er nog een andere tak: Van Iperen, een leverancier uit Westmaas van gewasbescherming en meststoffen aan boeren en tuinders wereldwijd. Die werd eveneens klant van DNA Services; het it-bedrijf hield in de beginjaren kantoor bij Transterminal Dordrecht (TTD), een zusterbedrijf van Van Iperen. Bij dit overslagbe- drijf komen dagelijks veel vrachtwa- gens langs om meststoffen te laden en lossen. ‘Toen ik in 2021 instapte bij DNA Services heb ik een rondje klanten gedaan en ben ik ook langs TTD op bezoek gegaan. Die zitten nog immer op hun oude stek. Het is een gaaf idee dat DNA daar op ‘een zoldertje’ is begonnen. Wij verzorgen bij TTD nog steeds de erp-oplossing, een IBM-AS/400-maatwerktoepassing en beheren de werkplekken’, vertelt commercieel directeur Hans de Wit. ACHT SECTOREN Het is mooi om te zien hoe zo’n relatie kan beklijven, stelt De Wit vast. ‘DNA heeft vanaf het begin als klein it-bedrijf voor grote concerns gewerkt, zoals Bakker Lekkerkerk en deze Bakker-tak. Er zit veel onderne- merschap in deze familie. Er bestaat ook nog een Bakker Barendrecht, een groothandel in groente en fruit uit Ridderkerk. Met die tak hebben we nog geen connectie. Daar moet ik nog eens achteraan.’ (lacht) Dit tekent het enthousiasme van De Wit. Hij heeft een achtergrond als it-ondernemer bij onderwijsautomati- seerder WIS en hielp daarna succesvol mee aan de uitrol van het communi- catieplatform Postex richting verze- 52 #2/3 | 2023

P:53

Een belangrijke stap voor DNA Services was de overname in april 2022 van FreshERP, een erp-pakket voor de aardappelen-, groente- en fruitsector (agf), van de Coöperatieve Caswell IT Group. keraars, woningcorporaties en lokale overheden. Bij DNA Services kocht hij zich twee jaar terug in en nam hij in het bestuur de plek over van de inmiddels overleden medeoprichter Dick Griep. De Wit vertelt terechtgeko- men te zijn in een business ‘waar iets gemaakt, verhandeld en getranspor- teerd wordt. Wij zijn hier actief in acht sectoren: agf, landbouw, tuinbouw, voedselindustrie, productie, handel, transport, productie en mode.’ Dat doet DNA Services met twee businessunits: Software & Develop- ment (erp-software, weboplossin- gen en api-integraties) en Beheer & Support (werkplekbeheer, back-ups, cloudmigraties en cybersecurity). ‘Onze kerndoelgroep is het mkb, maar we bedienen dus van oudsher tevens grote concerns. We hebben klanten die vijfhonderd miljoen omzet draaien maar we ondersteunen bijvoorbeeld ook een papierfabriek met vier werkplekken. Dat vinden we mooi, die brede doelgroep.’ ONDERAUTOMATISERING In de sectoren waarin DNA Servi- ces actief is, ziet De Wit veel vraag naar ict. Enerzijds omdat er sprake is van onderautomatisering: ja, er zijn ict-oplossingen ingevoerd maar veel werk gebeurt nog handmatig. Anderzijds omdat er een toene- mende urgentie is om efficiënter te werken, sneller te kunnen reageren op de actualiteit, zoals veranderende dagprijzen, schommelende valuta en variabele energieprijzen, en te zorgen dat zaken als douane-afhandeling en kwaliteitskeuring van dagverse producten vlekkeloos verlopen. De #2/3 | 2023 53

P:54

PARELTJES Wit: ‘Dat proberen wij allemaal te ondervangen. Neem het elektronisch berichtenverkeer: je zou verwachten dat edi - electronic data interchange - inmiddels overal is ingevoerd; in ons erp-pakket FreshERP zit dat bijvoor- beeld standaard ingebakken. Maar er worden nog steeds vele Excelletjes overgetoetst. De praktijk blijkt weer- barstig. Ik kreeg laatst nog een vraag van een zuivelconcern dat zijn be- richtenverkeer met zijn transporteur nu eindelijk wel eens goed system-to- system wilde automatiseren.’ Het brengt De Wit tot de constatering dat het vaak om een patroon gaat: dat van familiebedrijven met een behoorlijke historie, waar de vierde of vijfde generatie aan het roer staat, die oerdegelijk zijn en financieel gezond. ‘Op ict-vlak valt daar meestal nog een slag te maken. De goede machines die onmisbaar zijn om een product te maken, staan er wel maar je hebt vervolgens ook goede ict nodig om producten te kunnen aanbieden en te processen.’ Het voordeel van DNA Services is de inmiddels rijke ervaring en kennis van de logistieke en productiepro- cessen die het heeft opgebouwd met naast de eerder genoemde Bakker- bedrijven klanten als kalfsvleespro- ducent T. Boer & Zonen (van VanDrie Groep) en zuivelconcern Farmel. ‘We krijgen van een klant de ruimte om een applicatie helemaal uit te teke- nen’, vertelt De Wit. ‘En wat zich niet laat vangen in Uniconta of FreshERP maken we pasklaar op maat met pwa’s - progressive web apps - die we, gebruikmakend van Microsofts Visual Studio, in C# ontwikkelen.’ AANPASSING ERP-STRATEGIE Het bedrijf heeft nog steeds kennis in huis van AS/400 - tegenwoordig IBMi geheten - en Delphi, om oudere erp-oplossingen te onderhouden. ‘En ja’, stelt De Wit, ‘je kunt er nog prima mee doorontwikkelen, alleen de kennis over deze technologie wordt niet meer aangeleerd. Ik doe helemaal niets af aan de erp-producten die we ontwikkeld hebben, die systemen vervang je niet een-twee-drie. Maar het is onder andere de schaarste aan experts die ons op termijn parten gaat spelen. En daarnaast verschenen er technologische vernieuwingen die we graag wilden omarmen.’ Vandaar dat DNA Services zijn erp- strategie sinds een aantal jaren heeft aangepast. Vroeger bood het bedrijf 100 procent maatwerksystemen maar de nadruk ligt tegenwoordig op het aanbieden van standaardsoftware vanuit de cloud met een onderlig- gende gebruikers- en partner-eco- systeem. Zo is DNA Services weder- verkoper geworden van het Deense Uniconta en nam het begin vorig jaar de Uniconta-klantenkring van Decit Automatisering over. Uniconta is een op de cloud toegesneden erp-platform met modules voor bedrijfsprocessen als de boekhouding, het klantrelatie- beheer, de projectenadministratie, Voor zuivelbedrijf Farmel uit Emme- loord verzorgt DNA Services it-diensten. de productie en de logistiek, inclusief een rapportgenerator en een business intelligence dashboard. Het is een flexibele, multi-tenant-omgeving, gebaseerd op Microsoft-technologie (waaronder C#, Visual Studio en .Net) waarbij via REST API koppelingen met webshops en andere cloudoplossin- gen mogelijk zijn. Een tweede stap was de overname in april 2022 van FreshERP, een erp-pak- ket voor de aardappelen-, groente- en fruitsector (agf) van de Coöperatieve Caswell IT Group uit Heerhugowaard, een corporatie van groente- en fruit- bedrijven die samenwerken op het gebied van ict. FreshERP ondersteunt de bedrijfsprocessen in de sector, zoals in- en verkoop, importfacilitei- ten, voorraad- en partijadministratie, financiën en kwaliteitscontrole. DNA had al langere tijd ervaring met Fresh- ERP en was in 2016 betrokken bij de conversie van de oorspronkelijke Magic-broncode naar Microsoft C#. ‘Maar’, benadrukt De Wit, ‘we blijven maatwerksystemen ondersteunen en software ontwikkelen, zoals moderne webapplicaties en add-ons. Zo leveren we aan vlees- en vegafabrikant Com- paxo planningsoftware die ook goed kan koppelen met het nieuwe erp- systeem.’ Hij wijst ook op het eigen ip dat DNA Services bovenop Uniconta ontwikkelt: specifieke plug-ins voor bijvoorbeeld het elektronisch berich- tenverkeer en add-ons voor klanten. Zo is er een add-on voor de kerstpak- 54 #2/3 | 2023 Concurrentie erp-markt In algemene zin ziet Hans de Wit op erp-vlak als concurrenten de bekende namen zoals Exact, Afas, Visma en Microsoft Dy- namics 365 (zowel Business Central als F&O) voorbij komen. Daarnaast komt zijn bedrijf door de branchegerichte aanpak in segmenten als voedingsindustrie, productie of transport ook nichespelers tegen. Bijvoorbeeld ECI Solutions met het Ridder IQ systeem voor de maakindustrie of Pantheon dat met het pakket Freshng (begin 2021 overgenomen van RPO ICT Soluti- ons) actief is op de agf-markt. En het Amerikaanse Aptean dat met de Nederlandse onderdelen Schouw Informatisering en DIN Solutions ook actief is in de agf-sector. Commercieel directeur Hans de Wit van DNA Services

P:55

ketten- en relatiegeschenkenbusiness gebouwd waarmee in het erp-systeem producten te splitsen zijn in voedsel en non-voedsel. ‘Zo’n add-on bouwen wij in samenwerking met een klant waarbij wij dan afspraken maken om die te vermarkten. Daarnaast regelen we integraties met financiële pak- ketten, zoals een Unit4 Multivers- en Twinfield-connector, of een koppeling met de api - application programming interface - van de magazijnsoftware Picqer.’ MARKTONTWIKKELINGEN De Wit ziet een aantal ontwikkelingen op de erp-softwaremarkt die DNA Services kansen biedt. Zo is er sprake van een consolidatieslag waarbij investeerders instappen bij erp- softwareleveranciers. De consequen- tie is dat zo’n partij financieel meer slagkracht krijgt om bijvoorbeeld een overname te doen of de software ein- delijk cloudgebaseerd te maken, maar ook dat de tarieven omhoog gaan. ‘Ik ken voorbeelden van bedrijven die uurtarieven rekenen van 165-185 euro per uur. Dan maak je je relatie stuk en gaan klanten om zich heen kijken. Je klantenbestand uitmelken is korte-termijndenken.’ Ook wordt bij overgenomen bedrij- ven niet alle functionaliteit van hun pakketten meer doorontwikkeld. De Wit geeft als voorbeeld Exact dat ruim twee jaar geleden Unit4 Bedrijfs- software overnam. ‘Daar kunnen wij met onze Uniconta-modules en plug-ins een alternatief bieden voor bijvoorbeeld Unit4 Multivers. So- wieso zijn wij pro-actief op zoek naar samenwerking met andere software- vendoren.’ Recente voorbeelden zijn partnerschappen met OutSmart (overgenomen door Visma) dat field- servicemanagementsoftware biedt en Reverse IT uit Emmen, een aanbieder van handheldscanners, barcodeprin- ters en andere mobiele apparatuur. Verder merkt de commercieel direc- teur van DNA Services dat sommige buitenlandse partijen terugtrekkende bewegingen maken, zoals het Ierse Keelings Knowledge in de agf-markt. ‘Dat biedt ook kansen. Maar, hoewel we natuurlijk de concurrenten goed in de gaten houden, halen we an sich voldoende opdrachten binnen puur op basis van onze eigen propositie. Daar zijn we druk genoeg mee.’ TOTAALAANBIEDER De Wit wil doorgroeien met DNA Services maar waakt er voor te groot te worden. Dat gaat in zijn ogen ten koste van de innovatie- en bewegings- snelheid van een bedrijf. ‘Wij schalen langzaam op. Vorig jaar hadden we vijfentwintig medewerkers; inmiddels zo’n dertig. Wat ik merk is dat klanten het fijn vinden om qua it alles onder een dak te hebben. Ik had laatst een klant van FreshERP aan de lijn en die wilde dat wij voortaan ook de hard- warevervanging, het it-beheer en de beveiliging regelen. Werken met één it-leverancier scheelt ook naar elkaar wijzen wanneer er iets fout gaat.’ Kortgeleden bracht De Wit nog samen met collega’s een werkbezoek aan Metalura, een leverancier van glassys- temen voor overkappingen, balkons, wandsystemen en dergelijke. Dit bedrijf uit Alblasserdam heeft inmid- dels eveneens het it-beheer inclusief security bij DNA Services onderge- bracht. ‘Voor ons een fijne referentie in de sectoren handel en productie. En we innoveren onze dienstverlening regel- matig. Zo hebben we met een security- partner een nieuwe dienst uitgerold: Vulnerability Management Platform, oftewel phishing-simulatie in de strijd tegen ransomware. Daarbij trainen we medewerkers van bedrijven in hoe zij valse e-mails kunnen herkennen. Resultaten worden in een dashboard gepubliceerd. Op die manier kunnen klanten zien hoe veilig hun personeel werkt.’ Het ultieme doel van Hans de Wit is met DNA Services een totaalaanbieder te worden op het gebied van it binnen een ecosysteem van partners. ‘Ik heb daarbij het voordeel dat er al een slagvaardig, ervaren team van consul- tants, ontwikkelaars, systeembeheer- ders en cybersecurity-specialisten in huis was toen ik instapte. De komende jaren willen we vooral gecontroleerd en autonoom blijven groeien, maar we schromen niet om nieuwe strategi- sche overnames te doen.’ #2/3 | 2023 55 Gevarieerde klantenkring Tot de Uniconta-klantenkring behoren uiteenlopende bedrijven als De Knegt & Leeflang (specialist in waarderings- geschenken), vleesproducent Roos Carpaccio, Vasco-fulfilment (orderver- werking voor webshops), bedrijfskle- dingproducent Tricorp en Bumaco (een aanbieder van hoogwaardige stalen buizen). Opgetekende klantnamen voor FreshERP zijn dan bijvoorbeeld weer Excotic Roots (importbedrijf exotische producten), Proganic (leverancier van avocado’s en gembers) en groente- en fruithandelaar Lehmann & Troost.

P:56

HIGH PERFORMERS FLOW IS EEN HERWAARDERING VAN DE STAANDE ORGANISATIE In deze rubriek wisselen it-ondernemer Hans van Bommel en it-mediator prof.dr. Hans Mulder van gedachten over de vraag: wat maakt dat sommige organisaties in dit digitale tijdperk het (veel) beter doen dan andere? Wat zijn de unieke eigenschappen van deze ‘High Performers’? En welke rol speelt it hierin? TEKST: HANS VAN BOMMEL EN HANS MULDER BEELD: TJARKO VAN DER POL Van Bommel: Ik val maar meteen met de deur in huis. Wat maken High Performers volgens jou succesvol? Mulder: High Performers maken een onderscheid tussen wat nodig is en wat je niet moet doen. Ze durven buiten de lijntjes te kleuren van kennis uit de boekjes van de universiteit of hogeschool. High Perfor- mers snappen ook dat je voor sommige veranderingen geen project nodig hebt. Vergelijk het met de routeplanner. Die wordt continue aangepast met nieuwe techniek, symbolen en functies, zonder dat de routeplanner daardoor minder betrouwbaar wordt. Met de Standish Group hebben we re- centelijk onderzocht waarom innovaties mislukken. En wat bleek? In bedrijven waar vernieuwingen werden aangepakt met projecten daar mislukte het, maar in bedrijven waar dat niet gebeurde, daar ging het goed. Hoe kan dat? Omdat de aanpassingen daar altijd doorgaan! En er bij die bedrijven geen grote veranderingen door projecten zijn. Veranderingen gebeuren altijd door evolutie. Dat is ook iets wat de natuur afdwingt. Mensen praten graag over ‘disruptie’ en ‘revolutie’, maar dat is meer beeldspraak dan realiteit en alleen woorden. Veran- dering is nooit anders dan evolutie. Nooit. Je hoeft alleen maar de voorwaarden te scheppen om de volgende dag door te komen. In het veranderen moeten we streven naar Flow. Binnen een organisatie spreek je dan over een team- prestatie (‘de organisatie als geheel als meta-mens’) die samen als collectief elke dag focus weten te houden. Dit kan alleen als medewerkers weten dat voorziene hoge afhanke- lijkheden in de nabije toekomst gemanaged worden en het ze steeds minder energie kost om de prestatie die ze willen leveren te kunnen blijven leveren. Dus het is de ervaring waarin we onze capaciteiten volledig benutten, ontspan- nen zijn en ingewikkelde taken bijna zonder nadenken uitvoeren. Om in een staat van Flow te zijn, moet beweging binnen organisaties dus holistisch plaatsvinden. Ja, we kunnen volledig projectloos. Het kan al- lemaal weg! En dan komt de volgende vraag: wat betekent het dan als je geen projecten meer hoeft te hebben? Je moet dan vertrouwen op de bestaande teams, op de mensen die je binnen hebt. Flow is dus een herwaar- 56 #2/3 | 2023 Afscheid Govern-IT Dit is de eerste aflevering van de nieuwe rubriek High Performers als opvolger van Govern-IT. Deze rubriek van Hans van Bommel ging over besturen van en in it. De eerste aflevering van Govern- IT stond in het zomernummer (#6) van 2016, getiteld ‘De kracht van fouten maken’. In totaal zijn er 38 afleveringen verschenen, alle nog te lezen op Computable.nl.

P:57

dering van de staande organisatie. Toch leren we op school nog steeds: je werkt met projecten. En als je het niet goed doet, krijg je een onvoldoende. Ik leerde dat ook op de universiteit. Een project had een begin en een einde. En met mijn fysica- achtergrond haalde ik maar een zesje of zeven, want ik was het er toen al niet mee eens. Welk einde, hoe bevries je zoiets, een onmogelijkheid, toch? We zijn jaren gek gemaakt met de gedachte dat we projectmatig moeten werken. Toen we in de jaren zestig met it begonnen, deden we maar wat. De operators, codeurs, zelfs de gebruikers, alles kwam uit dezelfde koker. We wilden via projecten zaken op de rit houden. De eerste projecten waren een soort gentlemans agreements, binnen overheden, banken en verzekeraars, daarna werd het geprofessionaliseerd en werden er busi- nesscases opgezet. Totdat het schreeuwend uit de klauwen liep met projecten die nooit klaar waren. En organisaties geloven nog steeds in het werken in projecten, terwijl we allang weten dat alles veranderlijk is. De wereld verandert met een snelheid die niet bij de houden is. Wat wij wel zien is dat drie weken voor een project niet snel genoeg is, het gaat naar dagen toe. Daardoor verandert de mindset van een project van weken naar één dag. Maar dan is het geen project meer! Wat is het dan wel? ik denk dat we nu met de agile- denkwijzen weer tegen grenzen aanlopen. We maken het niet makkelijker met agile, we maken het moeilijker. Als mensen in Flow kunnen werken en de organi- satie in beweging brengen doen zij dat door hun werk uit te voeren vanuit een gedeeld begrip van de richting van hun organisatie. Het bereiken van deze toestand van Flow is een uitdaging voor alle organisaties. Het vereist de betrokkenheid van iedereen binnen die organisatie. Eigenlijk bestaan organisaties uit één of meer- dere waardestromen die producten leveren. Deze bewegen naast elkaar, door elkaar heen en soms zelfs tegen elkaar in. Dit lijkt op een rivier die soms rustig en soms kolkend voortbeweegt. Die waardestromen gaan allemaal op hun eigen manier, hebben allemaal hun eigen stroom. Dit cha- otisch effect komt met name doordat die organisaties niet voldoende overzicht en inzicht hebben in hun productport- folio en hoe dit ondersteund wordt binnen de organisatie. Om Flow goed over de bühne te krijgen is een bij- sluiter van het grootste belang, want Flow is, zoals jij al zei, niet eenvoudig gerealiseerd. Het creëren van Flow op organisatieniveau is ook essentieel om een High Performer te kunnen worden. Er is geen greenfield, geen Big Design Up Front (een softwareontwikkelmethode waarbij het ontwerp van het programma af moet zijn voordat de implementatiefase wordt gestart, n.v.d.r.) maar er wordt dan dagelijks geleerd en geproduceerd vanuit de status van het productportfolio en goed ontwikkelde kennisstructuren. #2/3 | 2023 57

P:58

COLUMN De duivel Mijn vrouw en ik begeleiden één keer in de twee weken een groep kerkjeugd. We proberen ze dan altijd een beetje te prikkelen en aan het denken te zetten. Zo hebben we ze laatst een papier en stiften gegeven en gevraagd om een mooie tekening van de duivel te maken. De uitkomst was verrassend. Er kwamen mooie tekeningen uit, varië- rend van enge monsters tot persona- ges die verdacht veel op Sywert van Lienden leken. Die van mijn vrouw ‘SATAN HEEFT ZICH VERKLEED IN DE VORM VAN EEN SPREADSHEET’ leek overigens verdacht veel op mij. Zelf had ik ook een tekening gemaakt. Ik had een Apple-logo getekend. Mijn uitleg was simpel. Ik zeg: ja, als je een in China in elkaar geknutseld telefoontje verkoopt voor minimaal tien keer de kostprijs dan ben je wat mij betreft de duivel. Daarbij verleidt Apple ons constant om onze ziel en privacy te verkopen en probeert ze ons als een stel junkies verslaafd te houden. Eva kon de verleiding in het paradijs ook niet weerstaan. Ook daar was een Apple de oorzaak. En wat krijg je er voor terug? Een paar icoontjes. De jeugd keek me nogal geschrokken aan. Misschien had ik het ook niet al schreeuwend moeten vertellen. Het was natuurlijk gekscherend bedoeld maar ik heb inmiddels mijn mening gewij- zigd. Niet Apple is de duivel. Het is Excel. En nu hoop ik niet dat ik nu de gemiddelde boekhouder de stuipen op het lijf heb gejaagd. Maar inderdaad, Satan heeft zich verkleed in de vorm van een spreadsheet. Hoe ik hierbij kom? Ik zie dat steeds meer bedrijven worden geregeerd door Excel. Vroeger was de klant koning. Tegenwoor- dig zijn dat de cijfertjes. Werknemers zijn niet meer het kapitaal van de onderne- ming maar een kolom die je heel makkelijk kunt selecteren en verwijderen. Met name bedrijven die beursgenoteerd zijn of zijn overgenomen door een investeringsmaat- schappij zijn getransformeerd tot een tabblad in een Excel-bestand. In plaats van Jansen B.V. kun je zo’n bedrijf beter Jansen.xls noemen. Wat is hier op tegen, zal de raad van bestuur zeggen. We zien toch groene cijfers in onze spreadsheet? Daar is ook niks op tegen als je niet van kostenposten en klanten houdt. Maar besef dat je door Satan hemzelf in het oor wordt gefluis- terd dat je hier niet op aarde bent om de wereld mooier te maken maar om centjes te verdienen. Volgende week mag de jeugd een tekening over liefde maken. Ben benieuwd hoeveel JACOB SPOELSTRA ict-oplossingen ze gaan tekenen. COLUMNIST EN STAND-UPCOMEDIAN MEER INFORMATIE OP WWW.JACOBSPOELSTRA.NL 58 #2/3 | 2023

P:59

De onmisbare bron van kennis bij de oriëntatie op en selectie van ict-producten en -diensten ONBEPERKT DOWNLOADEN VAN WHITEPAPERS VERGROOT UW KENNIS VIA COMPUTABLE Bent u op zoek naar informatie die u helpt bij het nemen van de juiste (inkoop)beslissingen in ict? Bezoek whitepapers.computable.nl voor de uitgebreide bibliotheek met whitepapers, reference cases en overige kennisdocumenten. #5/6 | 2022 59

P:60

Blijf op de hoogte van de laatste ict-ontwikkelingen met Magazine Awards Jaarlijkse uitreiking van de belangrijkste Nieuwsbrieven Wekelijkse of dagelijkse update van het belangrijkste nieuws in de wereld van de ict Online platform Ieder moment van de dag op de hoogte van het laatste ict-nieuws, trends, expertopinies en achtergrondverhalen Vier specials gericht op specifieke ict thema’s en twee jaargidsen, Computable Career Guide en Computable 100 zakelijke ict-prijzen in de Nederlandse markt Computable Computablenl Computable.nl Schrijf je nu in voor de nieuwsbrief computable.nl/nieuwsbrief

Create a Flipbook Now

Explore more