Kwetsbare schakels: Gebouwbeheersystemen als doelwit van cyberaanvallen onder NIS2  `Stel je voor: een wereld waarin gebouwbeheersystemen, die cruciaal zijn voor het monitoren en reguleren van faciliteiten, plotseling dienen als springplank voor cyberaanvallen. Dit scenario werd scherp geïllustreerd door de beruchte hack van de Amerikaanse retailer Target in 2013, waarbij miljoenen creditcardgegevens en klantaccounts werden buitgemaakt, met een verwoestende kostenpost van meer dan 200 miljoen USD tot gevolg. In dit artikel duiken we dieper in de reikwijdte van de NIS2-richtlijnen, met bijzondere nadruk op de potentiële impact ervan op gebouwbeheersystemen. Hoewel vastgoedeigenaren niet direct onder NIS2 vallen, werpt deze wet wel een brede net over netwerk- en informatiesystemen, inclusief operationele technologieën (OT) en industriële automatiserings- en controlesystemen (IACS), en zelfs meet- en regelsystemen. Wat betekent dit voor de beveiliging van gebouwbeheersystemen en hun gebruikers? Laten we samen de complexe ketenwerking en mogelijke juridische implicaties verkennen die deze nieuwe richtlijnen met zich meebrengen. Zoals inmiddels wel bekend is, is de NIS2 van toepassing op entiteiten (organisaties) vanaf een bepaalde omvang (ondergrens 50 FTE) binnen de in de wet genoemde sectoren. NIS2 is van toepassing op netwerk- en informatiesystemen. In de toelichting op de NIS2-implementatie (in Nederland bekend als de Cyberbeveiligingswet) wordt aangegeven […]

Mijn ervaring op de Global MVP Summit 2024  Wat is een MVP en waarom is het belangrijk?  Hallo allemaal, ik ben verheugd om mijn ervaring met jullie te delen op de Global MVP Summit 2024, die plaatsvond op het hoofdkantoor van Microsoft in Redmond, Washington, van 12 maart tot 14 maart. Voor degenen die niet bekend zijn met de term, MVP staat voor Most Valuable Professional, en het is een erkenning die Microsoft toekent aan uitmuntende communityleiders die hun passie, expertise en kennis over Microsoft-technologieën met anderen delen. MVP’s zijn geen Microsoft-medewerkers, maar het zijn onafhankelijke experts die vrijwillig hun tijd en energie besteden om anderen te helpen leren en groeien. MVP’s hebben verschillende achtergronden, landen en vakgebieden, maar ze hebben allemaal één ding gemeen: ze houden van Microsoft en ze delen graag hun kennis. De Global MVP Summit is een jaarlijks evenement dat alle MVP’s van over de hele wereld samenbrengt om met elkaar en met de Microsoft-productteams in contact te komen. Het is een unieke kans om meer te weten te komen over de nieuwste ontwikkelingen, feedback te geven en invloed uit te oefenen op de toekomstige richting van Microsoft-technologieën. De top is ook een viering van de […]

AI, oude wijn in nieuwe zakken?  Artificiële intelligentie is hot. Alle bedrijven timmeren hard aan de weg om deze technologie in hun producten te verwerken. Microsoft Co-Pilot, ChatGPT, DALL-E, je wordt er helemaal mee doodgegooid. Veel bedrijven gebruiken de hype om AI als nieuwe en baanbrekende technologie te positioneren.  Maar, AI is niet zo nieuw en baanbrekend als je waarschijnlijk denkt.  De Dartmouth-conferentie  In de zomer van 1956 vond namelijk op de Dartmouth-universiteit een onderzoeksproject plaats over artificiële intelligentie. Een groep van wetenschappers van o.a. Dartmouth, Harvard, IBM en Bell Telephone Laboratories legden tijdens dit project, en de daaropvolgende conferentie, de term AI1 vast.   Stiekem bestond AI al voor deze conferentie. Zo was Alan Turing (in zijn artikel “Computing Machinery and Intelligence”) al bezig met vraagstukken rondom wat later bekend werd als AI 2.  Disclaimer: Alan Turing, Christopher Strachey en Arthur Samue Zomers en winters  Als AI al zo oud is, waarom hoor ik er nu pas over?   Om deze vraag te begrijpen is het essentieel om terug te kijken in de tijd. Na de conferentie in Dartmouth was er groot enthousiasme over AI. In de jaren daarna volgden belangrijke ontwikkelingen, zoals de General Problem Solver. Maar al snel bleek eind jaren ’60 dat de ontwikkelingen van AI niet […]

NIS2 – Drie redenen waarom het voor jouw organisatie geen big deal hoeft te zijn   NIS2 komt eraan. Dat is een gegeven voor iedereen die zich bezighoudt met cybersecurity in Europa. Toch zijn nog lang niet alle organisaties zich bewust van wat NIS2 is en hoe het hen kan beïnvloeden. Gelukkig is er veel informatie online te vinden over de impact en reikwijdte van NIS2. Vaak wordt benadrukt dat NIS2 groot, veelomvattend en impactvol kan zijn voor organisaties. Net als bij de GDPR-richtlijn wordt er veel aandacht besteed aan sancties voor non-compliance. Maar er zijn redenen waarom NIS2 voor jouw organisatie helemaal geen big deal hoeft te zijn.   Jouw organisatie is niet werkzaam in een kritieke sector NIS2 is de opvolger van NIS, het Network and Information Security directive van de Europese Unie. NIS had al een aantal kritieke sectoren benoemd, en het aantal is in NIS2 fors uitgebreid. NIS2 is van toepassing op: energie, vervoer, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, beheer van ICT-diensten, overheid, ruimtevaart, post- en koeriersdiensten, afvalstoffenbeheer, chemische stoffen, levensmiddelen, vervaardiging, digitale aanbieders en onderzoeksorganisaties. Er wordt onderscheid gemaakt tussen essentiële entiteiten en belangrijke entiteiten, met verschil in toezicht en […]

Zie je als een berg op tegen die enorme IT-transitie? Nergens voor nodig. Die complete IT-klus? De vinden we veel te groot om aan te beginnen. Herkenbaar? Dan ben je niet de enige. Bedrijven ervaren regelmatig een drempel wanneer ze aan een flinke IT-klus willen óf moeten beginnen. Het fenomeen ‘moeten’ speelt een rol op het moment dat er een probleem in de huidige situatie ontstaat. Dat kan, ondanks de vele inspanningen, bijvoorbeeld gaan om het ervaren van te weinig voortgang. En dat heeft vaak weer te maken met het ontbreken van een duidelijke richting vanwaaruit heldere, goed onderbouwde beslissingen genomen kunnen worden die zijn gebaseerd op een passende strategie. Je ziet dan in de praktijk veel energie wegvloeien omdat er ad hoc geacteerd wordt waarbij het gewenste resultaat achterwege blijft. Start aan de voet van de berg Vergelijk het maar met het beklimmen van een berg: wanneer je aan de voet staat lijkt de top ver weg en misschien zelfs onbereikbaar. Maar wanneer je van base camp naar base camp klimt en af en toe in rust kijkt naar wat je al bereikt hebt en naar hoe het nu verder moet, dan lijkt de top ineens een stuk minder […]

Beste IT-consultant, hoe tevreden ben jij met je ontwikkelpad en je vrijheid? ‘Binnen SimplifyNow werken we met drie specifieke focusdomeinen: IT-security (verdeeld in een Identity Access management (IAM) tak en een securitytak) nieuwe technologie en transitie en transformatie. En elke collega heeft zitting in een domeinteam.’ Aan het woord is Guy Counet, Managing Consultant binnen SimplifyNow. Hij vertelt over het warme nest dat SimplifyNow vormt voor gedreven consultants die zichzelf willen ontwikkelen, veel vrijheid willen ervaren en tóch een steady community en thuisbasis zoeken in de samenwerking met hun collega’s.   Community building als belangrijke thuisbasis Guy: ‘Binnen onze domeinteams voeren we een aantal taken uit. Ten eerste bespreekt de teamlead updates vanuit het management met het team en het is de plek waar aan community building wordt gedaan. We werken immers veel vanuit verschillende locaties, dus dat vinden we belangrijk. Verder leveren de domeinteams ondersteuning aan de afdelingen marketing, sales en recruitment en stellen we een jaarplan op. Ook kijkt het management naar een aantal kerncompetenties die onze normen, waarden en strategie ondersteunen. De domeinteams gebruiken deze competenties als input om domeinspecifieke functieprofielen op te stellen. Denk daarbij aan onder meer cloud engineer of security architect. Tot slot zijn de […]

Hoe zeker weet jij dat je álles uit je IT-oplossing haalt?  We zien het nogal eens voorbijkomen in de praktijk: IT-oplossingen die niet optimaal gebruikt worden. Meestal is dat geen bewuste keuze. Het heeft er in veel gevallen vooral mee te maken dat men niet voldoende op de hoogte is van de mogelijkheden die een pakket nog meer biedt. Denk bijvoorbeeld aan Identity and Access Management- en monitoroplossingen, maar ook aan de algemene kantooroplossingen. Daarvoor geldt bijna zonder uitzondering dat lang niet alle opties gebruikt worden. Er worden tools aangeschaft, ad hoc koppelingen gelegd en, wanneer je de brug slaat naar de bekende piramide van Maslow, lagen gebouwd zónder dat de basis (de onderliggende laag dus) goed op orde is. En we weten allemaal: dat leidt niet tot een stevige constructie. Concreet voorbeeld   Een concreet voorbeeld gaat over de bij iedereen bekende Microsoft Teams-licenties zoals Microsoft 365 E3 en E5. Binnen deze oplossing zijn er bijvoorbeeld verschillende subscriptieniveaus en veel beschrijvingen vallen daarin. Toch worden deze lang niet allemaal gebruikt, bijvoorbeeld op securityvlak of juist in het functionele aspect. Er zijn tal van voorbeelden te noemen. Eén daarvan is de feature Bookings vanwaaruit mensen zelf afspraken kunnen plannen op de […]

Wees gerust, dat is geheel de bedoeling! Waarschijnlijk heb je wel eens gehoord van “Multi-Factor Authentification” (MFA) of zelfs van “wachtwoordloos inloggen”. Veilig voor de organisatie, gebruiksvriendelijk voor de medewerker. Beveilig je toegangspoort!

door Dave Stork