‘Een Centraal Bureau voor cybersecurity prestaties van bedrijven wereldwijd’ 

Bitsight is een internationaal bedrijf met hoofdkantoren in de Verenigde Staten, Lissabon en de Asia-Pacific-regio. Hun klanten komen uit zeer uiteenlopende sectoren: overheden zoals het Centrum voor Cybersecurity België, maar ook bedrijven in de maakindustrie, banken, transportbedrijven en hightech bedrijven. Lennart Pikaart, Strategic & Key Accounts bij Bitsight licht de unieke aanpak van het bedrijf toe.

Kun je kort uitleggen wat Bitsight doet?

Lennart: ‘Bitsight is een soort Centraal Bureau voor de Statistiek, maar dan voor de cybersecurity prestaties van bedrijven wereldwijd. We bieden organisaties inzicht in hun eigen securitypositie en die van hun leveranciers. Daarnaast kunnen bedrijven zichzelf vergelijken met hun peers op het gebied van cybersecurity.’

Hoe helpen jullie organisaties precies?

Lennart: ‘We lossen eigenlijk twee belangrijke problemen op met ons platform en onze data. Ten eerste helpen we organisaties met het beheren van security risico’s in hun supply chain. Ten tweede kunnen bedrijven visualiseren hoe een hacker van buiten hun organisatie ziet. Soms komt de vraag vanuit het bestuur: “Hoe doen wij het dan vergeleken met onze concurrenten?” Dat antwoord kunnen wij volledig datagedreven geven.’

Wat is jullie aanpak?

Lennart: ‘Dertien jaar geleden hadden we het idee om een soort credit rating te creëren, maar dan op het gebied van cybersecurity. Dat concept werkt alleen als je wereldwijd elke organisatie op exact dezelfde manier kunt beoordelen. Dat betekent dat we alleen waarnemingen van buitenaf doen. Als je toestemming nodig hebt om systemen te scannen, zal de helft nee zeggen. Dus we hebben we gekozen  om het van buitenaf te doen. We zeggen wel eens dat we de “Criminal’s Eye View” bieden op twee miljoen organisaties wereldwijd, en we scannen, monitoren en updaten die informatie dagelijks.’

Hoe verzamelen en verwerken jullie die data?

Lennart: ‘We hebben een platform ontwikkeld waarmee we wereldwijd data verzamelen via ons eigen scanningsplatform en een groot aantal externe bronnen. We richten ons op verschillende bedrijven, zoals bijvoorbeeld de Nederlandse High Tech Sector, die over de hele wereld actief zijn. De data moet consistent zijn en van dezelfde kwaliteit. Vervolgens verpakken we die informatie in 25 security deelgebieden van. Het interessante is dat we deze data oprollen tot KPI’s, zodat organisaties zichzelf kunnen benchmarken ten opzichte van hun peers of intern.’

Hoe leiden deze KPI’s tot een security rating?

Lennart: ‘We rollen al deze data en KPI’s op tot een algemene security rating. Deze rating is gebaseerd op het Amerikaanse credit ratingsysteem en loopt van 300 tot 850. Het geeft een eenvoudig te begrijpen cijfer dat de algehele cybersecurityprestaties van een organisatie weergeeft.’

Stel dat je bij een organisatie komt met een rating van 600. Ze zitten boven het gemiddelde en doen het relatief goed. Willen de meeste klanten dan streven naar die 850-rating, of zijn ze tevreden met een voldoende?

Lennart: ‘Dat hangt sterk af van de security awareness en maturiteit van de organisatie. Meestal is de eerste reactie: ‘Laat maar zien dan.’ Iedereen wil natuurlijk verbeteren, maar het is ook belangrijk om te realiseren dat niet elke organisatie dezelfde middelen heeft. Daarom is het zo belangrijk om dit in de supply chain te bekijken. Security gaat niet alleen over willen en ambitie, maar ook over of je de middelen hebt om het te realiseren. Banken investeren bijvoorbeeld al tientallen jaren in security en presteren daarom vaak beter. Middelgrote bedrijven hebben die mogelijkheden misschien niet.’

Grote corporates zijn vaak ISO 27001-gecertificeerd, maar dat betekent niet dat ze per se een rating van 850 halen, toch?

Lennart: ‘Dat klopt. Veel mensen denken: “Ik heb mijn ISO 27001-certificaat behaald      ,dus ik ben veilig”. Maar zo werkt het niet helemaal. Je kunt het vergelijken met een voetballer die een jaar geleden bij het eerste elftal is aangenomen en daarna dacht dat hij niet meer zo hard hoefde te trainen. In cybersecurity kunnen dingen heel snel veranderen. Het kan zijn dat tijdens de audit alles op orde was, maar als er daarna mensen vertrekken of processen veranderen, kunnen er snel gaten ontstaan. Daarom benadrukken regelgevers steeds meer het belang van continu monitoren. Je moet met je leveranciers afspraken maken over je security-eisen, deze vastleggen in KPI’s en die vervolgens actief monitoren.’

Dus jullie helpen organisaties niet alleen inzicht te krijgen in hun eigen securitypositie, maar ook die van hun leveranciers?

Lennart: ‘Precies. Door een continu en objectief beeld te geven van de securityprestaties in de hele keten, kunnen organisaties beter risico’s beheren en samenwerken met leveranciers om verbeteringen door te voeren. Met de groeiende complexiteit van digitale ecosystemen en strengere regelgeving is het essentieel om continu inzicht te hebben in je eigen securitypositie én die van je ketenpartners. We blijven ons platform ontwikkelen om nog meer waarde te bieden aan onze klanten en om hen te helpen bij het navigeren door het steeds veranderende cybersecuritylandschap.’

Waarom heeft Bitsight besloten het NIS2 Quality Mark te omarmen?

Lennart: ‘De Stichting Kwaliteitsinnovatie heeft een gedegen framework ontworpen waarmee bedrijven zich kunnen laten auditen en certificeren. Door samen te werken, kunnen onze Bitsight-klanten hun supply chain nog beter monitoren. De 25 securitygebieden die wij monitoren, kunnen we visualiseren binnen het framework van het NIS2 Quality Mark. Zo begrijpen onze klanten hoe deze twee tools samenhangen.’

Hoe kijk je naar het NIS2 Quality Mark vanuit je expertise?

Lennart: ‘Ik vind het NIS2 Quality Mark een sterk initiatief, vooral omdat het een groeimodel met drie niveaus biedt. Bedrijven hoeven niet meteen een enorme sprong te maken, maar kunnen geleidelijk groeien naar een voor hen haalbaar niveau. Het biedt eenduidigheid en helpt bij de vertaling en het begrip van cybersecuritynormen in een bepaald geografisch gebied. Mijn enige zorg is dat Europa mogelijk overspoeld wordt met verschillende standaarden, wat verwarrend kan zijn. Maar het NIS2 Quality Mark maakt direct de koppeling met verschillende frameworks, wat helpt bij het begrip en de implementatie.’

Hoe integreren jullie die twee tools precies?

Lennart: ‘Wij integreren het NIS2 Quality Mark in de Bitsight-portal. Gebruikers kunnen direct zien hoe de 25 security-KPI’s die wij monitoren binnen dat framework passen. Je kunt zien waar je goed in bent en waar je kunt groeien, en het verhoudt zich precies tot je niveau binnen het NIS2 Quality Mark. Als een leverancier bijvoorbeeld zegt dat ze level 3 hebben behaald, maar onze data laat iets anders zien, wordt dat contrast direct zichtbaar. Dit helpt bedrijven om eventuele discrepanties te begrijpen en actie te ondernemen.’

Wat maakt de combinatie van Bitsight met het NIS2 Quality Mark zo sterk?

Lennart: ‘Het behalen van het NIS2 Quality Mark is een geweldige stap, maar het is belangrijk om daarna te blijven trainen en verbeteren. Met Bitsight kun je continu in de spiegel kijken en zien hoe je ervoor staat. Je kunt eenvoudig toegang krijgen tot ons platform om te zien of je verwachtingen overeenkomen met de realiteit. Daar kun je alleen maar van leren.’