Daan Keuper, Hoofd Research bij Computest Security: “Onderzoek moet maatschappelijke impact hebben”

Daan Keuper is Security Specialist en leidt de onderzoeksafdeling van Computest Security, een all-service securitydienstverlener in Zoetermeer. Van het ontdekken van een kritieke kwetsbaarheid in Zoom tijdens de coronapandemie tot het blootleggen van onveilige laadpalen in Japan: Daan heeft zijn sporen verdiend in de securitywereld. In dit artikel duikt hij in de werkwijze van Computest Research, de keuze van onderzoeksthema’s en deelt hij zijn visie op de belangrijkste trends en adviezen voor organisaties die zich beter willen wapenen tegen cybercriminelen.

Luister ook de podcast

“Ons doel is altijd maximale impact te realiseren”

Daan vertelt: “Onze onderzoeksafdeling is ontstaan vanuit maatschappelijk verantwoord ondernemen. We willen met ons onderzoek niet alleen slimmer worden, maar vooral ook bijdragen aan een veilige samenleving.” Computest biedt diensten variërend van pentesting en monitoring tot incident response. Daarnaast is er een dedicated onderzoekstak die zich richt op maatschappelijk relevante securityvraagstukken. “Ons doel is altijd maximale impact te realiseren. Dat begint bij de keuze van onderwerpen die ons – en de samenleving – écht verder helpen.” Deze onderzoeksvoorstellen komen bij Computest vanuit drie bronnen: eigen initiatieven uit de marktobservatie, interne signalen vanuit andere businessunits, en vraag vanuit de markt en de overheid.

Samenwerken met politie en klanten: van melding tot mitigatie

Na het vinden van een kwetsbaarheid volgt een zorgvuldig proces. “Als we een bug ontdekken in een veelgebruikte firewall-oplossing, melden we dat altijd eerst aan de fabrikant en geven we die voldoende tijd om het probleem op te lossen. Dat is wel zo netjes,” zegt Daan. Vervolgens brengt Computest haar klanten proactief op de hoogte: “We kunnen hen zelfs helpen met een scan om te controleren of zij kwetsbaar zijn voordat het lek publiekelijk wordt.”

Maar als een fabrikant laks reageert of updates niet zelf automatisch installeren, gaat Computest een stap verder: “In sommige gevallen werken we samen met de DIVD (Dutch Institute for Vulnerability Disclosure) om kwetsbare systemen online op te sporen. En we zoeken altijd naar de juiste belangengroepen om de boodschap verder te verspreiden, zodat er structurele verbeteringen plaatsvinden.”

Van kwetsbaarheid naar publiek bewustzijn

Een voorbeeld is het onderzoek naar KNX-domoticasystemen, veel toegepast in kantoorpanden en luxe woningen. “We meldden de bevindingen eerst aan de KNX-organisatie, maar kregen onvoldoende respons én er bleken al veel kwetsbare installaties in omloop. Toen besloten we de resultaten breed te publiceren, onder meer in samenwerking met de NOS.” Daarmee bereikten ze niet alleen fabrikanten, maar ook installateurs. “Uiteindelijk gingen we in gesprek met de brancheorganisatie van installatiebedrijven, zodat toekomstige installateurs in hun opleiding beter leren hoe ze een veilige installatie kunnen neerzetten.”

Trends in cyberdreigingen volgens Daan

“Als je vooruitkijkt naar waar criminelen hun pijlen op richten, zie je een paar duidelijke ontwikkelingen,” vertelt Daan. Hij benoemt drie belangrijke trends:

1. Vervlechting van de randapparatuur: “Criminelen bewegen stapsgewijs weg van endpoints zoals laptops en richten zich meer op alles wat aan de rand van het netwerk zit: firewall- en VPN-oplossingen. Die randapparatuur is vaak verouderd en minder goed gemonitord. We hebben recent onderzoek gepubliceerd naar kwetsbaarheden in SSL VPN’s. Zodra criminelen via één gecompromitteerd account op een VPN komen, kunnen ze tegen relatief weinig weerstand data binnenhalen.”
2. Van ransomware naar datalek-afpersing: “Traditionele ransomware is nog steeds wijdverspreid, maar we zien dat criminelen langzaamaan focussen op het exfiltreren van data zonder die eerst te versleutelen. Ze doorzoeken de gestolen data om de werkelijke waarde te bepalen: welke klantgegevens, financiële details of intellectueel eigendom levert het meeste op? Sommige aanvallers doen zelfs alsof ze toezichthouders zijn en dreigen met boetes binnen 72 uur als een bedrijf niet betaalt.” Volgens Daan wordt deze trend alleen maar sterker: “Met beperkte toegang tot één account kun je soms al genoeg waardevolle data buitmaken om organisaties zwaar onder druk te zetten.”
3. Aanvallen via de toeleveringsketen: “Steeds vaker richten aanvallen zich niet op een organisatie zelf, maar op één van haar leveranciers of partners,” aldus Daan. “Als een toeleverancier gehackt wordt, kunnen criminelen via die weg vervolgens de échte eindklant aanvallen. Veel bedrijven hebben al moeite om hun eigen netwerk veilig te houden, laat staan wanneer ze ook nog de hele keten op orde moeten hebben.”

Adviezen voor CISO’s en CEO’s

Op de vraag wat Daan CISO’s en CEO’s zou adviseren om deze dreigingen het hoofd te bieden, reageert hij resoluut:

• Dataminimalisatie: “Vraag jezelf af: welke data heb ik écht nodig, en moet ik die bewaren? Hoe minder data je hebt, hoe minder er te stelen valt. Veel organisaties slagen er nog niet in om old data op te schonen, terwijl te veel mensen intern te brede toegang hebben.”
• Volwassen monitoring en automatisering: “De meeste bedrijven hebben nog onvoldoende monitoringsoplossingen. Als aanvallers met gestolen VPN-credentials binnenkomen, halen ze geautomatiseerd zoveel mogelijk data binnen. Het enige tegenmiddel is real-time monitoring dat in enkele minuten verdachte activiteiten detecteert en automatisch kan reageren, bijvoorbeeld door een account te isoleren of een laptop in quarantaine te plaatsen. Als je wacht tot de volgende werkdag, ben je te laat.”
• Toeleveringsketenrisico’s in kaart brengen: “Breng systematisch in beeld welke partners toegang hebben tot welke systemen en data. Alleen als je die risico’s kent, kun je gerichte maatregelen nemen, zoals strengere authenticatie of gesegmenteerde netwerken.”
• Crisissimulaties voor cyberincidenten: “Net zoals we brandveiligheidsoefeningen houden, zou elk bedrijf periodiek moeten oefenen met een cybercrisis. Wie gaat welke stappen ondernemen? Welke informatie is nodig om beslissingen te nemen? Tijdens zo’n oefening merk je waar de gaten zitten: informatie die niet tijdig beschikbaar blijkt, processen die vastlopen of onduidelijkheden in rollen en verantwoordelijkheden. Dat soort oefening betaalt zich dubbel en dwars terug als het écht misgaat.”

Wet- en regelgeving: een balans tussen grip én transparantie

Europa streeft ernaar de digitale markt onaantrekkelijk te maken voor criminelen door regels zoals NIS2, DORA en CERA. “Klanten vragen ons vaak: óf vallen we onder deze wet, óf onze klant. Het effect druipt door in de keten. Maar de keerzijde is dat bedrijven dan gaan voor vinkjes halen in plaats van echt te begrijpen waar de risico’s zitten. De transparantie verdwijnt; incidenten worden afgeschermd uit angst voor reputatieschade. En dat is jammer, want open communicatie na een incident kan heel leerzaam zijn voor de hele sector.”

Over Bram

Ondernemer in de security industrie, kritisch, analytisch en hands-on. Directeur Beyond Products B.V.

Bram begon zijn carrière in de bescherming van vitale infrastructuur voor de Ministeries van BZK, V&J en EZ. Na zijn tijd bij de overheid, werkte Bram bij Securitas met een focus op technologie en innovatie. Sinds 2015 is hij zelfstandig ondernemer, gespecialiseerd in het ontwikkelen en vermarkten van nieuwe innovaties. Hij vervulde interim functies bij Fox-IT, Imbema, en Quinyx AB. Bram is opgeleid aan de Nyenrode Business Universiteit en JADS University.

Bram is sinds 2020 oprichter en directeur van Beyond Products B.V., een strategisch marketingbureau op het gebied van Security en IT. Ook heeft hij het boek Security Innovation Stories geschreven, waaruit dit platform is ontstaan.

Bram zet zich voornamelijk in voor innovatie in cybersecurity, omdat daar volgens hem nog veel te halen valt. In zijn columns beschrijft hij cybersecurity principes en de brug naar innovatie.