Albert Spanjer
Albert Spanjer ziet dagelijks hoe kwetsbaar het midden- en kleinbedrijf is geworden. Spanjer is oprichter van TCA Group BV, dat bestaat uit TCA Telecom & IT in Assen en BiebCloud en ThemaTeam in Leusden. Ondernemers zijn volgens hem niet onverschillig ten aanzien van cybersecurity, maar zien het vaak als een kostenpost zonder directe opbrengst.
„Het is geen sexy onderwerp en de ‘Return On Investment’ is lastig zichtbaar,” stelt Spanjer. „Maar de echte ondernemersvraag is: wat kost het je als je niets doet?” Het is volgens hem geen uitzondering dat bedrijven worden gegijzeld, data wordt gestolen en systemen worden platgelegd. „In 95 procent van de gevallen wordt het veroorzaakt door menselijk handelen. Eén keer op een verkeerde link klikken, kan leiden tot ransomware en datalekken, met reputatieschade en financiële schade tot gevolg. Preventie kost geld, maar de kosten van een cyberaanval zijn altijd hoger”, vertelt hij.
In 1996 richtte Albert Spanjer zijn bedrijf op, dat tegenwoordig 26 medewerkers heeft. In september wordt het 30-jarig bestaan gevierd. In die periode heeft het bedrijf zich ontwikkeld van een technisch georiënteerde IT-partij naar een organisatie die zich richt op de continuïteit en ontwikkeling van haar klanten. Met de overname van ThemaTeam is die beweging versneld. „Waar IT vroeger vooral draaide om systemen en infrastructuur, richt TCA zich steeds nadrukkelijker op een totaal ecosysteem”, aldus Spanjer.
Datasoevereiniteit
De ondernemer ziet dat MKB’ers wel geïnteresseerd zijn in ICT en veiligheid, maar zich vooral druk maken over datasoevereiniteit. „Vanwege de huidige geopolitieke situatie willen we graag dat Europa zelf meer controle heeft over infrastructuur en ICT-systemen, zodat we minder afhankelijk zijn van landen buiten Europa. Dat is begrijpelijk en zeker relevant. Tegelijkertijd zie ik dat de discussie soms te veel daar op focust, terwijl cybersecurity in de praktijk vele malen belangrijker is voor de continuïteit van bedrijven.”
‘Wat kost het je als je niets doet?’
In dat kader wijst hij ook op de NIS2-richtlijn, die per 1 juli in werking treedt.
„Vaak wordt gedacht dat deze alleen geldt voor vitale sectoren, maar dat is een misvatting. Door ketenverantwoordelijkheid krijgen ook toeleveranciers indirect met deze eisen te maken. Als MKB’er moet je bovendien, volgens de verplichte Risico-Inventarisatie en -Evaluatie (RI&E), risico’s in kaart brengen, inclusief digitale risico’s. Door gebrek aan actieve handhaving ontstaat vaak het gevoel dat het niet echt verplicht is. Dat is een misvatting en een risico.”
Standaard beveiliging niet voldoende
Het team van TCA merkt dat veel ondernemers rekenen op de standaard beveiliging van Microsoft. „Maar dat is niet voldoende”, zegt Spanjer. „Standaardinstellingen zijn primair ontworpen om gebruiksgemak te bieden, niet om maximale bescherming te verzorgen. Cybercriminelen zijn georganiseerd, slim en snel, en de razendsnelle ontwikkelingen in Ai maken het voor kwaadwillenden eenvoudiger dan ooit om aanvallen uit te voeren.”
Een cyberaanval kan leiden tot stilstaande productie, geblokkeerde systemen en klanten die hun vertrouwen verliezen. Spanjer: „Beveiliging is een keten en die is zo sterk als de zwakste schakel. Juist daarom is het essentieel om naar het hele ecosysteem te kijken: van technische beveiligingsmaatregelen tot awareness en adoptie binnen de organisatie. Daarom verzorgen wij met ThemaTeam trainingen. Niet alleen op het gebied van ICT en cybersecurity, maar juist ook gericht op gedragsverandering. Uiteindelijk bepaalt het gedrag van mensen hoe veilig een organisatie echt is.”
Aantoonbaar competent
TCA wordt graag kritisch bevraagd. Het is volgens Spanjer de enige manier voor klanten en potentiële klanten om te ontdekken of ze met de juiste ICT-leverancier in zee gaan. „Je moet weten of een ICT-leverancier aantoonbaar competent is. Let dus op ISO 27001, actuele security-trainingen en certificeringen voor medewerkers. Plan vervolgens een onafhankelijke security-audit en ontdek waar de zwakke plekken zitten. Die zitten bijvoorbeeld in multifactor authenticatie die niet overal actief is, privé-apparaten die toegang hebben tot bedrijfsdata, bedrijfsapparaten die niet aantoonbaar veilig zijn. Van een ICT-leverancier mag je bovendien verwachten dat verdachte activiteiten actief gemonitord worden en dat er volledige back-ups gemaakt worden.”
TCA is een zogeheten managed service provider. De dienstverlening is doorlopend en klanten worden voor een vast maandbedrag volledig ontzorgd, vrijwel altijd in combinatie met Microsoft365. Ze kunnen kiezen uit diverse pakketten die aansluiten op hun bedrijfsvoering.
TCA ontwikkelde de Security Baseline voor het proactief monitoren en corrigeren van IT-omgevingen. Spanjer: „Het is slim en efficiënt en sluit aan op het Microsoft portfolio dat klanten gebruiken. Verdachte activiteiten worden gesignaleerd, waarna automatisch actie wordt ondernomen. Met de TCA Security Baseline voldoen klanten ook meteen aan relevante wet- en regelgeving, wat veel administratieve druk en onzekerheid wegneemt. Dat lijkt een papieren werkelijkheid, maar bij een cyberincident word je er keihard op afgerekend.”
