Cybersecurity en kastelen hebben meer gemeen dan je denkt. Alleen werkt wat vroeger bescherming bood, vandaag niet meer.
Een kasteel is gebouwd om alles wat waardevol is achter dikke muren en een slotgracht te houden. Wie binnengeraakt, heeft gewonnen. Het is geen toeval dat VanRoey zijn Cybersecurity Day net in het kasteel van Ordingen in Sint-Truiden organiseert. Diezelfde kasteellogica zit al decennialang in elke IT-beveiliging. Trek een muur op rond je netwerk en hou de aanvallers buiten.
Vandaag klopt dat beeld niet meer. Je data zit in de cloud, je mensen werken thuis of op de trein, en je applicaties draaien overal behalve achter die muren. Het kasteel staat leeg – en toch blijven veel organisaties net die lege muren bewaken. Dat is, in één beeld, de rode draad doorheen een dag vol pentestverhalen, zero trust, endpoint security en een keynote over het menselijk brein.
Marketing manager Tom Hufkens legt de vergelijking meteen op tafel, en vraagt elke spreker om ze mee te nemen. “Een kasteelmuur beschermt alles wat waardevol is, en cybersecurity uiteraard ook. Alleen is de uitdaging vandaag dat jullie organisatie zich niet langer alleen binnen veilige kasteelmuren afspeelt.”
Verscherpt dreigingslandschap
Sales- en marketingverantwoordelijke Frédéric Michils schetst eerst de bredere context. AI, digitalisatie en een verscherpt dreigingslandschap dwingen bedrijven om beveiliging serieus te nemen.
“Je kan ontkennen dat AI bestaat, maar dan loop je echt achter. Of je omarmt het en zorgt dat je efficiënter kan werken”, zegt Michils. De rol van de klassieke manusje-van-alles is volgens hem uitgespeeld. “Vroeger had je bij sommige bedrijven één IT’er die van alles een beetje kende. Vandaag nog iemand vinden die echt álles kan, dat bestaat niet meer.”
Daarna is het woord aan Youssef Bey van Cresco, dat als neutrale partner pentesten en ethical hacking uitvoert. Het legt zo de gaten bloot waar VanRoey vervolgens mee aan de slag kan. “VanRoey gaat zijn eigen vlees niet keuren”, grapt hij over die onafhankelijke rol.
Pentesten
Het idee achter een pentest vat Bey met een herkenbare analogie samen: mensen die op een cola-automaat blijven duwen in de hoop dat er toch een blikje uitvalt. “Dat is eigenlijk net hetzelfde wat je met pentesten doet: je manipuleert een systeem op verschillende manieren tot er iets uitkomt”, klinkt het. Het doel is hacken vóór je echt gehackt wordt.
Bey neemt de zaal mee in een reeks verhalen die klinken als film, maar het niet zijn. Bij een Belgische stad zat zijn team binnen het uur in het adminpaneel van alle verkeerslichten. “We konden ze allemaal op groen of op rood zetten. We hebben dat uiteraard niet gedaan”, klinkt het.
Een pretpark, een Nederlands museum met een database van miljoenen euro’s aan kunststukken, bagagekluizen in stations, een farmabedrijf via zijn CRM: telkens lukte het om binnen te raken. De meest recente anekdote is meteen de meest ontnuchterende. “Vorige week nog zijn we in een intern netwerk binnengeraakt via de thermometer van een aquarium.”
Een pentest is met andere woorden een momentopname, en er komt altijd wel iets uit – zelfs bij wie de beste IT-partner heeft. De harde cijfers achter dat verhaal bundelen we in een apart nieuwsstuk.
Leeg kasteel beveiligen?
Zero trust is het antwoord op dat lege kasteel, aldus Jente Vandijck, Solution Architect bij VanRoey. Data verhuist naar SaaS-applicaties en mensen werken overal; wie dan blijft beveiligen zoals vroeger, beschermt iets wat er niet meer is. “Als we blijven beveiligen op de klassieke manier, dan zijn we eigenlijk een leeg kasteel aan het beveiligen.”
De oplossing draait volgens hem rond drie kernprincipes:
- Expliciet verifiëren: voortdurend opnieuw authenticeren en autoriseren.
- Minimale bevoegdheden: just-in-time en just-enough toegang, waarbij een gebruiker enkel de rechten krijgt die hij of zij op dat moment nodig heeft.
- Assume breach: ervan uitgaan dat je al gehackt bent en dus voortdurend je aanvalsoppervlak minimaliseren.
Waar Vandijck naar identiteiten kijkt, verlegt Pelle Aardewerk de blik naar het toestel in je handen. De Endpoint Security Lead VP EMEA bij HP, claimt dat meer dan twee derde van de security-incidenten start vandaag aan het endpoint.
Aardewerk plaatst het in de Europese context van NIS2, DORA en de Cyber Resilience Act, die ook leveranciers tot security by design dwingen. Volledige veiligheid blijft daarbij een illusie: “100% beveiliging bestaat niet en zal nooit bestaan.” De kern van zijn betoog is dan ook een mentaliteitswissel, van detecteren achteraf naar preventie vooraf.
“Een hacker heeft maar één of twee minuten nodig”, waarschuwt hij. “Ik klikte laatst zelf nog op een phishing link. Met AI is alles zo geraffineerd dat het gewoon gebeurt.”
De hacker mikt op je brein
Van de hardware en de software naar de mens. Veerle Peeters, oprichter van CybHERstrong, verbindt hiermee alle sessies. “Als ik vandaag een hacker was, dan zou ik niet jullie firewall hacken, maar jullie brein. En ik zou daar AI voor gebruiken”, opent ze.
Peeters, sociologe en criminologe van opleiding, ruimt meteen een hardnekkige uitspraak op. “Ik krijg altijd een beetje kippenvel als ik hoor dat de mens de zwakste schakel is”, zegt ze. Het is volgens haar geen kwestie van domheid: “Het is niet omdat wij iets weten, dat wij het ook gaan doen.”
Beveiliging begint volgens Peeters niet bij processen, maar bij een beslissing van het leiderschap. Ontbreekt de visie, dan krijg je verwarring; ontbreekt het belang, dan volgt weerstand; zonder plan ontstaat chaos; zonder middelen frustratie; en zonder de juiste competenties worden mensen bang.
Beveiliging, zo luidt de boodschap, moet je verankeren in de cultuur en niet als een sticker ergens bovenop plakken.
De poort staat open
Wat begint met een kasteelmetafoor, eindigt met de vaststelling dat de muren er nog wel staan, maar dat de poort vanbinnen wordt opengezet. De technische sessies tonen dat de perimeter is opgelost in identiteiten, toestellen en cloud, en dat regelgeving als NIS2, DORA en de Cyber Resilience Act bedrijven dwingt om verantwoordelijkheid te nemen tot diep in hun toeleveringsketen.
De pentestverhalen van Cresco maken pijnlijk concreet hoe snel het misgaat, en achter elke succesvolle aanval zit een mens die, onder druk van snelheid, autoriteit en vertrouwen, de deur opent.
Tom Hufkens sluit de dag af met diezelfde rode draad. De boodschap is niet “koop meer technologie”, maar “organiseer veiligheid rond je mensen”. Of, in de termen die het kasteel van Ordingen perfect samenvatten: een leeg kasteel beveiligen heeft geen zin.