ThreadStone Cyber Security bestaat in september 2024 tien jaar. In die periode is er veel veranderd. ‘Er is veel meer bewustzijn gekomen over het belang van informatiebeveiliging en cybersecurity. Maar nog steeds denken veel organisaties dat een aanval hun niet overkomt of dat ze al voldoende beschermd zijn op basis van maatregelen uit een vorige eeuw.’ Algemeen directeur René van Etten blikt terug en kijkt vooruit.
In 2014 startte René van Etten samen met kompanen Richard Klein en Frans van de Wetering ThreadStone Cyber Security: een van de eerste 100% Nederlandse aanbieders van cybersecuritydiensten. ‘We hadden momentum,’ aldus René. ‘De Wet bescherming persoonsgegevens was aangescherpt. Bovendien zagen we dat er nauwelijks mogelijkheden waren voor MKB-bedrijven om zich goed te beschermen tegen digitale dreigingen. Wat er was, was vooral gericht op corporates en grotere organisaties. Voor het MKB was dat onbetaalbaar.’
Wind in de rug
Dankzij het winnen van het HSD Development Fund, wat in feite de start van ThreadStone betekende, had ThreadStone direct de wind in de rug. ‘We konden vanaf onze start samenwerken met onder meer TNO. Veel van hun kennis konden we toepassen in onze oplossing. We vestigden ons op de campus van wat toen nog The Hague Security Delta (HSD) heette (inmiddels kortweg Security Delta). Vrij snel na oprichting zijn we de samenwerking aangegaan met MKB Nederland voor de campagne Veilig Zakelijk Internetten. We waren nog een jonge organisatie, maar kregen toch het vertrouwen om dat mooie project met MKB Nederland uit te voeren.’
Uiteindelijk won die campagne zelfs een Europese prijs, de European Crime Prevention Awards. ‘Hiermee stonden we in een keer op de kaart. Dankzij financiering vanuit de ministeries van EZ en Klimaat en Justitie en Veiligheid werd de campagne verder uitgebreid. Doelstelling was om van een bereik van 300 op te schalen naar 2.500 MKB-organisaties die we hielpen met het controleren van hun website en de “buitenkant” van het bedrijfsnetwerk op kwetsbaarheden met ons ThreadScan-platform. Later zijn daar veel meer partnerships bij gekomen, onder meer met grote verzekeraars. Want vrijwel iedereen zag de noodzaak om maatregelen te treffen tegen de almaar groeiende cybercriminaliteit.’
Naar het politiebureau
René herinnert zich een situatie die duidelijk maakt hoe het er toen aan toe ging. ‘Voor een ander project dat we samen met TNO uitvoerden, wilden we gebruik maken van de zoekmachine Shodan; voor hackers is dit een bekende zoekmachine om kwetsbare systemen in kaart te brengen. Bij de eerste de beste zoekopdracht bleken we bij een makelaarskantoor in Den Haag te zijn beland. Alle koopovereenkomsten, identiteitsbewijzen van kopers en verkopers waren zonder enige barrière vrij toegankelijk op het internet. Echt iedereen kon direct bij die bestanden komen. Een belletje naar de betreffende makelaar om ze te waarschuwen werd echter niet gewaardeerd: ’s midddags zaten we op het politiebureau omdat zij aangifte van computervredebreuk tegen ons hadden gedaan. Dat was in de tijd dat dit ook nog vrij nieuw was voor de politie. Volgens de procedure werd bijvoorbeeld gevraagd hoe de dader eruitzag. Wij hadden alleen maar goede intenties, gelukkig zag de politie dat ook en werd de aangifte niet verder in behandeling genomen. Inmiddels is ook de politie op dit punt enorm geprofessionaliseerd.’
We zijn niet meer roepende in de woestijn,
maar de uitdagingen van toen zijn er nog steeds
Een andere belangrijke verandering in die tien jaar is dat het bewustzijn rondom cyberveiligheid is gegroeid. ‘Toen wij startten, waren we roepende in de woestijn. Doordat de digitalisering razendsnel toeneemt en er meer aanvallen in de publiciteit komen, hoeven we niet meer te benadrukken dat dit onderwerp bij ondernemers op de agenda moet komen. Toch worden de risico’s nog steeds niet altijd even goed onderkend. Pas als organisaties zelf “pijn” voelen, wordt er grondig actie ondernomen. Bijvoorbeeld bij een aanval dichtbij of bij een vergelijkbare organisatie, of als regelgeving het afdwingt. Wat dat betreft is de inwerkingtreding van NIS2 zeker relevant. Een deel van ons werk is nog steeds uitleggen hoe digitale risico’s goed beheersbaar te maken en houden. Dat blijven we ook doen.’
Jaarlijkse top 3 kwetsbaarheden MKB
ThreadStone publiceert elk jaar in de cybersecuritymaand oktober de top drie van actuele cyberkwetsbaarheden binnen het MKB. ‘Toen we startten waren er wel vormen van ransomware. Maar die zijn in de loop der jaren sterk geprofessionaliseerd voor een zo goed mogelijk verdienmodel. Vooral de afgelopen jaren hebben AI en Machine Learning een opmars gemaakt, waardoor aanvallen geraffineerder en sneller kunnen worden uitgevoerd. Daar komt bij dat tegenwoordig vrijwel alle apparatuur “connected” is. Alles bij elkaar betekent het een veelvoud aan mogelijke kwetsbaarheden. Toen wij startten werden er wereldwijd ongeveer 500 nieuwe kwetsbaarheden per maand ontdekt. Inmiddels zijn dit er zo’n 85 per dag. Ook de berg (gevoelige) data is explosief gegroeid. Iedere organisatie heeft data die beschermd moet worden en dat gaat niet meer met alleen een firewall en antivirusproduct. Beleid, mensen trainen en technische maatregelen zijn meer nodig dan ooit. Vergelijk het met het verkeer in 1980 en nu: de snelheid, hoeveelheid, nieuwe technieken zoals (deels) zelfrijdende auto’s zijn sterk gewijzigd. In het digitale landschap gaat deze transformatie nog veel sneller dan op de fysieke snelweg.’
‘Bumpier road dan gedacht’
Het oorspronkelijke concept waarmee ThreadStone begon, is inmiddels stevig bijgeschaafd. ‘Ons groeipad is anders gelopen dan we hadden gedacht. We wilden een platform lanceren voor geautomatiseerde controles van systemen en netwerken, voor een laag maandelijks bedrag. Het verdienmodel zat ’m in het draaien van bulk. Dat sloeg niet aan. Het was een veel bumpier road dan gedacht. Maar dat heeft wel geleid tot waar we nu staan. We zijn verder gegaan in de breedte, meer gericht op dienstverlening en advies. Dat is waar behoefte aan is. De waarde die wij toevoegen ligt in kennis en begeleiding, geautomatiseerd waar dat kan om de kosten concurrerend te houden. Een groot voordeel is dat we een Nederlands bedrijf zijn, nog steeds: we kennen de markt en snappen waar onze klanten mee te maken hebben.’
De meest recente grote stap die ThreadStone maakte, was de aansluiting bij TechOne. ‘Dat heeft een enorme boost gegeven aan onze verdere groei en opschaling. Inmiddels bestaat het ThreadStone-team uit zo’n twintig medewerkers. Samen staan we voor de uitdaging om de in totaal ruim 60.000 klanten van de groep via de verschillende zusterbedrijven te helpen om hun informatiebeveiliging naar een hoger volwassenheidsniveau te brengen. Tegelijkertijd zien we ook dat de ontwikkelingen in de markt snel gaan, onder andere met wetgeving die strenger wordt. Werk aan de winkel dus!’
Missie al tien jaar onveranderd
De missie van ThreadStone is onveranderd gebleven: het internet in Nederland veiliger maken. ‘Het cliché is waar: voorkomen is beter dan genezen. Als je de toegang van je systemen goed afsluit en bewaakt, komt niemand gemakkelijk of ongemerkt binnen. Met betrouwbare, effectieve en betaalbare managed services zorgen wij daarvoor. Klanten moeten het gevoel hebben dat ze goed worden beschermd en dat wij helpen om schade te voorkomen en te beperken mocht er een incident zijn. Wij weten zowel voor preventie als in geval van nood precies wat er gedaan moet worden. Daarbij werkt onze ervaring van het afgelopen decennium zeker in ons voordeel.’