Cyberaanvallen zijn vandaag geen uitzondering meer, maar de norm. Zeker bij een technologiebedrijf als Visma, met meer dan 200 dochterbedrijven verspreid over Europa worden ze constant aangevallen. “Dat vinden wij niet meer dan normaal,” zegt Cindy Wubben, Chief Information Security Officer bij Visma.
Visma heeft een zeer doordachte cyberstrategie en bouwde de voorbije jaren een stevig verdedigingsschild uit door door een aanpak van transparant te communiceren, samen te werken met hun bedrijen en slimme technologie centraal te stellen. Zónder hun eigenheid te verliezen.
Veel bedrijven maken de fout om hun digitaal product niet te beveiligen
Na twintig jaar in informatica beveiliging heeft Cindy één ding duidelijk geleerd. “Als het aankomt op het beveiligen of het bewaken van de interne werking zodat alles naar wens verloopt lig bij veel organisaties de focus vooral op heel veel interne zaken zoals processen, compliance, beleid ...enz. maar de focus lig heel weinig op het beveiligen van het digitaal product zelf. Het eigenlijke product dat je aan klanten levert? Dat krijgt opvallend weinig aandacht.”
Dat heeft verschillende oorzaken: productbeveiliging is technisch complex, vraagt om diepgaande expertise en er zijn niet altijd voldoende financiële middelen of mensen beschikbaar. Zeker in kleinere organisaties. Ergens begrijpelijk maar het brengt ook risico’s met zich mee.
Met het veranderende dreigingslandschap en nieuwe regelgeving zoals NIS2, komt daar nu verandering in. Productbeveiliging schuift op richting het hart van de securitystrategie. En terecht: het is uiteindelijk het product waarmee je klant waarde krijgt en waarop je als organisatie wordt afgerekend.
Visma koos daarom al tien jaar geleden voor een radicaal andere aanpak: de veiligheid van elk afzonderlijk online of digitaal product en de IT-infrastructuur van het bedrijf stond vanaf dag één centraal. Een opvallende keuze, zeker voor een groep die overnames bewust laat functioneren als zelfstandige entiteiten. Bij Visma blijft Silverfin Silverfin, en Teamleader gewoon Teamleader, met eigen systemen, codebases en infrastructuur.
Eén beveiligingslaag voor 200 bedrijven
Maar hoe beveilig je dan een groep met meer dan 200 unieke bedrijven? Cindy: “Elk bedrijf heeft zijn eigen product, zijn eigen technische omgevingen. Maar daarboven bouwen wij een uniforme security-laag.”
Die laag bestaat uit een vierledig maturity-programma: brons, zilver, goud en platinum. “Onze coreproducten zitten in platinum of goud”, legt Cindy uit. “Dat betekent dat ze voldoen aan strenge normen én gebruikmaken van alle verplichte beveiligingstools.”
Om dat op te volgen ontwikkelde haar team een dagelijks geüpdatet dashboard waarop 17.000 medewerkers kunnen zien hoe veilig hun product is. “Van tooling tot kwetsbaarheden: alles is zichtbaar. We maken het zelfs leuk door het te gamificeren. Ontwikkelaars ervaren het na een tijdje niet meer als last, maar als motiverend.”
“De managing directors rapporteren maandelijks over de voortgang (ook als ze dus platinum zijn) Security is onderdeel van alle board meetings, strategische en operationele plannen. De zichtbaarheid door ons dagelijks dashboard is uniek en zorgt ervoor dat de juiste security beslissingen genomen kunnen worden op basis van data.”
We betalen nooit aan cybercriminelen
In 2018 werd Visma het doelwit van een grootschalige cyberaanval, vermoedelijk afkomstig uit China. Die gebeurtenis was een wake-upcall en leidde tot een duidelijke beleidslijn: Visma betaalt nooit losgeld. “We willen die markt niet in stand houden,” zegt Cindy resoluut. “Het ondersteunen van cybercriminelen is voor ons geen optie.”
Die principiële keuze werd al snel op de proef gesteld. Amper een week na de overname van een dochterbedrijf werd diezelfde nieuwe entiteit getroffen door een ransomware-aanval. “Het gebeurde op een vrijdagmiddag,” herinnert Cindy zich. “Een moment waarop je liever geen crisisscenario ziet ontstaan. Maar tegen maandagochtend draaide alles weer normaal. We hadden alles hersteld, zonder te betalen.”
Het voorval bevestigde hun overtuiging. “Onze aanpak werkt,” zegt Cindy. “We investeren in weerbaarheid, niet in losgeld. En dat maakt een wereld van verschil, niet alleen voor ons, maar ook voor het bredere ecosysteem.”
Van nationale wetgeving tot geopolitieke zorgen
De uitdagingen voor Cindy’s team blijven groeien. Nieuwe Europese wetgeving, zoals NIS2, stelt strengere eisen aan bedrijven die digitale diensten aanbieden, en dus ook aan hun leveranciers.
“Voor kleine bedrijven is dat een enorme uitdaging”, zegt Cindy. “Als je een klant wil bedienen die aan NIS2 moet voldoen, dan moet jij als leverancier daar ook in mee.”
Tegelijk groeit het geopolitieke bewustzijn. Klanten uit de publieke sector stellen vragen over Amerikaanse techbedrijven, ook al staat de data fysiek in Europa. “Er is meer argwaan. Over ‘state actors’. Over wie toegang heeft tot welke infrastructuur. Dat merken we duidelijk.”
Intussen verschuift de focus van cybercriminelen. Die mikken steeds vaker op kleinere bedrijven, met geautomatiseerde aanvallen en zogenaamde infostealers: malware die inloggegevens, sessiecookies en wachtwoorden buitmaakt, vaak zonder dat gebruikers het merken.
“Het wordt nóg gevaarlijker als mensen wachtwoorden hergebruiken of er gewoon een cijfertje achter plakken”, waarschuwt Cindy. “Mijn advies is simpel, gebruik elke beveiligingsoptie die een tool aanbiedt. Two-factor authentication bijvoorbeeld is geen optie of last meer, het is een pure noodzaak geworden.”
Drijfveer
Wat drijft iemand om zich elke dag opnieuw te wapenen tegen digitale dreiging? Voor Cindy is cybersecurity veel meer dan gewoon een job. “Het zit overal in verweven,” zegt ze. “Het is intellectueel uitdagend, continu in volle ontwikkeling én maatschappelijk relevant. Door mijn werk help ik niet alleen Visma, maar ook onze klanten om zich beter te beschermen.”
Die aanpak werpt zichtbaar zijn vruchten af. “Wanneer een bedrijf toetreedt tot de Visma-groep, zien we in het eerste jaar een enorme sprong in hun cybersecurity maturity level,” zegt Cindy met gepaste trots.
Wat Visma daarbij onderscheidt, is de radicale transparantie. “We communiceren open over onze aanpak, ook als het gaat over incidenten of aanvallen. Dat is een bewuste keuze,” legt ze uit. “Want alleen als iedereen in het bedrijf, van CEO tot developer, weet waar het beter kan, en daar ook verantwoordelijkheid voor neemt, kun je echt stappen vooruit zetten.”
Die openheid zit diep in de cultuur verankerd. Scores en inzichten worden intern gedeeld, teams leren van elkaar, en het verbeteren van security is iets wat je samen doet. “Het is geen kwestie van controle, maar van vertrouwen en eigenaarschap,” besluit Cindy.
Veiligheid hoeft geen last te zijn
Voor ondernemers die nieuwe software willen inzetten, heeft Cindy een duidelijke boodschap: kies leveranciers die cybersecurity serieus nemen en dit kunnen aantonen. Maar: “Gebruik ook alle veiligheidsopties die ze aanbieden. Security is een gedeelde verantwoordelijkheid.”
”Veiligheid mag geen randvoorwaarde zijn, het moet in het hart van je bedrijf zitten.” Het mag duidelijk zijn dat cybersecurity bij Visma géén checkbox is, het is een gedeelde missie. En als het aan Cindy ligt, wordt dat straks de nieuwe standaard in Europa.