Download the app for: iOS iOS Android Android
Back

Cyberbeveiliging 'from scratch' opbouwen

July 31, 2023

Thales Cyber Defense Solutions beoogt kritieke infrastructuren digitaal weerbaarder maken. Steeds meer nutsbedrijven, maritieme ondernemingen en chemische fabrieken laten hun cruciale controlesystemen doorlichten door Roel van Rijsewijk en zijn team van dreigingsjagers.

“Met de toenemende digitalisering krijgen onze vitale infrastructuren ook steeds meer te maken met uiteenlopende cyberdreigingen. We zien een sterke groei in ransomware-aanvallen en statelijke actoren die proberen onze OT, onze operationele technologie, te hacken”, zegt Roel van Rijsewijk, directeur cyberdefensie bij Thales. “Het is een illusie om te denken dat we ons volledig kunnen afschermen van al deze gevaren. Verbonden zijn maakt ons kwetsbaar. Honderd procent veiligheid is onhaalbaar, en onwenselijk. We moeten juist veerkrachtig zijn, aanvallen kunnen detecteren, de schade beperken en er sterker en wijzer uit komen.”

Van Rijsewijk geeft leiding aan de businesslijn Cyber Defense Solutions (CDS), die deel uitmaakt van Thales’ wereldwijde businessunit Secure Information Communication Systems (Six). “Voordat ik bij Thales in dienst kwam, heb ik twee decennia bij Deloitte gewerkt. Op een gegeven moment heb ik daar risicobeoordeling kunnen combineren met mijn interesse voor de digitale transformatie en ben ik hoofd geworden van het Cyber Risk-team, dat ik heb uitgebouwd van 80 naar 150 professionals, variërend van advies- en implementatie-experts tot ethische hackers met dieptechnische kennis. In 2019 klopte Thales bij me aan met de vraag of ik hetzelfde wilde doen voor hun cyberteam in Huizen.”

“Met mijn ondernemersgeest heb ik gelijk ja gezegd. Ik ben zelf niet technisch, maar ik werk wel heel graag met techneuten. En ik zie een enorme kans voor Thales in cybersecurity voor operationele technologie”, legt Van Rijsewijk uit waarom hij besloot het aanbod aan te nemen. “De markt voor IT-cyberbeveiliging is al behoorlijk vol, maar OT-cyberbeveiliging is relatief nieuw. Industriële en andere infrastructuren staan nog vrij laag op de cybervolwassenheidsschaal. Als specialist in militaire defensiesystemen én digitale technologie heeft Thales een uitstekende uitgangspositie om een toonaangevende leverancier van cyberverdedigingsoplossingen te worden.”

Purple teaming

CDS heeft vier hoofdactiviteiten. “Onze eerste waardepropositie, zoals ik het graag noem, is offensieve beveiliging”, vertelt Van Rijsewijk. “Dit komt in feite neer op red team-pentests. Bij penetratietests vallen onze ethische hackers de systemen van onze klanten aan om te bepalen waar de gaten zitten. Red teaming is het spelen van de vijand en het daadwerkelijk uitbuiten van de kwetsbaarheden om binnen te komen en gegevens te stelen.”

“Onze tweede waardepropositie is managed services”, gaat Van Rijsewijk verder. “In Huizen hebben we ons SOC, ons Security Operating Center, waar we 24/7 de IT- en OT-omgevingen van onze klanten in de gaten houden. We monitoren hun systemen, hun netwerken en al het verkeer dat erdoorheen loopt. Het minste of geringste teken van verdachte activiteit doet de alarmbellen afgaan. Vervolgens helpen we onze klanten te reageren en er veerkrachtiger uit te komen.”

“Onze derde waardepropositie is wat ik cyberconsultancy noem. Daarmee bedoel ik niet het geven van advies, maar het integreren van oplossingen. De Thales Group heeft een breed scala aan beveiligingsproducten, waaronder een groot encryptieportfolio dat we in 2019 hebben verworven met de overname van Gemalto. Deze business is ingelijfd als Digital Identity and Security, DIS, en we werken nauw met hen samen om hun producten te implementeren bij onze klanten.”

“Onze vierde waardepropositie is het leveren van zogenaamde sovereign security-oplossingen, die zijn afgestemd op zeer strikte klantbehoeften. De Nederlandse overheid en de Nederlandse strijdkrachten werken bijvoorbeeld met zeer vertrouwelijke informatie die ze door Nederlandse oplossingen beschermd willen zien. Wanneer zij Amerikaanse of Israëlische producten niet betrouwbaar genoeg vinden om hun geheimen te bewaken, wenden zij zich tot ons voor maatwerk. Dat doen we ook voor de Naval-programma’s van Thales in Hengelo.”

Door de waardeproposities te stapelen, ontstaan nieuwe mogelijkheden. “Als je offensieve beveiliging combineert met managed services, krijg je purple teaming”, illustreert Van Rijsewijk. “Een rood team probeert binnen te dringen in een systeem dat door een blauw team wordt beschermd – rood gemengd met blauw geeft paars. Als de aanval onopgemerkt blijft, moet je nieuwe detectiemechanismen bedenken. Mogelijk moet je zelfs extra beveiligingsoplossingen implementeren, wat dan weer resulteert in een nieuw consultancytraject.”

Van startup tot scale-up

De afgelopen vier jaar is CDS onder leiding van Van Rijsewijk gegroeid naar ruim vijftig mensen, die werken voor tientallen klanten. “Tijdens mijn sollicitatiegesprek vroeg Thales Nederland-CEO Gerben Edelijn me om de businesslijn breder te trekken dan het defensiedomein. Dat is gelukt. We bedienen nu zelfs bijna uitsluitend civiele klanten, variërend van nutsbedrijven tot maritieme ondernemingen en chemische fabrieken, waarbij we zowel hun bedrijfs-IT als hun kritische controlesystemen bewaken.”

De club van Van Rijsewijk bestaat uit cyberspecialisten, consultants en engineers. “We hebben drie competentieteams: ontwikkelaars die werken aan ons SOC-platform en onze andere technologie, generalisten die onze klanten ondersteunen met advies over mensen, processen en technologie, en hackers en analisten die jagen op dreigingen. Samen zijn deze drie teams verantwoordelijk voor het leveren van onze waardeproposities.”

Toen Van Rijsewijk aan boord kwam, werd hij aangemoedigd om zijn club te runnen als een startup. “Dat klonk als muziek in mijn ondernemersoren, dus dat heb ik gedaan. De warme deken van een grote organisatie als Thales kan daarbij echter verstikkend werken. Om het kasplantje niet in de kiem te smoren maar lekker te laten groeien, heb ik de eerste twee jaar bewust mijn nek uitgestoken en ben ik zo veel mogelijk uit de comfortzone van het moederbedrijf gebleven.”

Inmiddels is Van Rijsewijk met CDS aanbeland in de scale-upfase en komt de warme Thales-deken juist goed van pas. “Nu we voet aan de grond hebben gekregen in de markt, is de noodzaak om risico’s te nemen niet meer zo dringend. De tijd is gekomen om lekker tegen elkaar aan te kruipen – wel voorzichtig, want je wilt de scale-up nog steeds niet verstikken. We zullen meer in de pas moeten lopen met de bedrijfsprocessen, maar het brengt ook veel voordelen met zich mee. Als je een enorme organisatie als Thales voor je kunt laten werken, kun je de wereld aan. Daarmee zijn wij als relatief klein beveiligingsbedrijf in staat echt grote klanten te bedienen.”

Ook weten hoe het is om te werken bij Thales? Op zoek naar een baan waarin je écht kunt doorgroeien, in een high-tech omgeving, waar we samen werken aan een toekomst waarop iedereen kan vertrouwen? Klik hier voor onze vacatures!