Rik van Duijn: “Het mkb krijgt meestal enterprise-tools, maar dan uitgekleed”

DoorMichelle Wols
Rik van Duijn: “Het mkb krijgt meestal enterprise-tools, maar dan uitgekleed” cover

​“Ik miste voldoening. Ik zag heel veel tijd en moeite verdwijnen zonder dat het echt iets opleverde.

Na jaren als pentester bij grote organisaties besloot Rik van Duijn, hacker en co-founder van Attic, het roer om te gooien. Hij wilde namelijk een grotere impact maken. En waar is die investering / opbrengst vaak het hoogst? Bij het mkb, een doelgroep die volgens hem structureel wordt vergeten of verkeerd bediend.

In onze podcast vertelt Rik waarom innovatie in security volgens hem begint bij eenvoud, waarom enterprise-denken het mkb vaak in de weg zit, en hoe Attic probeert degelijke beveiliging bereikbaar te maken voor organisaties zonder groot budget of securityteam.

​Van gelijk krijgen naar verschil maken

Rik begon zijn carrière in de offensieve hoek. Pentesten, kwetsbaarheden vinden, aantonen dat iets niet klopt. “Pentester zijn is een soort negatieve wijsneus zijn,” zegt hij zelf. “Je zit daar om te zeggen: dit klopt niet, laat maar zien hoe je dat hebt opgelost.” Dat hoort bij het vak. Maar na verloop van tijd wilde hij meer.

Bij grote organisaties merkte hij hoe langzaam veranderingen tot stand komen. “Ik ben snel afgeleid en altijd op zoek naar quick wins, maar bij grote bedrijven zijn quick wins vrij zeldzaam.” Ideeën waren er genoeg, maar voor ze in de praktijk iets deden, was je maanden verder.

Die frustratie werd sterker toen hij meer inzicht kreeg in de verdedigende kant. “Vroeger dacht ik altijd: waarom zijn systeembeheerders zo langzaam? Nu snap ik dat beter. Dingen aanpassen is gewoon lastig, zeker met een hele berg gebruikers die ook iets vinden.”

Waarom juist het mkb

Met die ervaring in zijn achterhoofd ontstond het idee voor Attic Security. Als team wilden ze zich richten op organisaties die wél risico lopen, maar niet de mensen, tijd of middelen hebben om goed security vorm te geven. Daarbij zagen ze dat “de meeste securityproducten worden ontwikkeld voor enterprises. En als ze verder willen groeien, maken ze er iets makkelijkers van en verkopen ze het aan het mkb.”

Volgens Rik werkt dat niet. “Dan krijg je enterprise-tools, maar dan uitgekleed. En daar schiet niemand iets mee op.” Het mkb heeft geen behoefte aan dashboards waar iemand fulltime naar moet kijken. Geen zin in handwerk of losse oplossingen. “Wij wilden niet dat mensen 24/7 naar een schermpje hoeven turen.”

Wat het mkb wél nodig heeft, is iets dat aansluit bij hoe ze werken. Veel bedrijven draaien vrijwel volledig op Microsoft 365. “Wij hadden Exact voor de boekhouding en Microsoft 365 voor de rest. Dat was het hele bedrijf.” Daar zag Attic een kans.

Hoe simpeler het is, hoe groter de kans dat het ook echt gebruikt wordt.

Die focus op eenvoud bleek lastiger dan gedacht. In het begin dachten Rik en zijn medeoprichters dat het vanzelf zou lopen. “We dachten: drie maanden bouwen, negen maanden later breakeven en daarna regent het geld.” De techniek werkte, zij vonden het zelf geweldig. Maar de markt reageerde anders.

“Alleen mensen met een technische achtergrond zagen meteen hoe vet het was.” De directeur van een mkb-bedrijf bleek alleen helemaal niet bezig met security tooling. “Je bereikt die directeur gewoon niet. Die denkt niet: hoe kan ik mijn bedrijf beveiligen.” Vaak komt actie pas na een incident.

Daarom veranderde Attic van koers. In plaats van direct verkopen aan mkb’ers, werken ze nu vooral via MSP’s. “Die hebben die behoefte wel. Ze weten dat er veel mis kan gaan in Microsoft-omgevingen, maar het is lastig om dat op schaal en betaalbaar te doen.” Attic levert de tooling, de MSP de relatie.

Waarom zouden we dingen die altijd hetzelfde zijn niet automatiseren?

Een belangrijk verschil met veel andere aanbieders zit volgens Rik in hun kijk op MDR. “Er zijn heel weinig MDR-diensten die het echt goed doen. De rest is vooral een doorgeefluik van alarmen.” Dat is niet per se fout, maar wel iets wat niet past bij het mkb.

Attic kiest bewust voor automatisering. “Waarom zouden we dingen die altijd hetzelfde zijn niet gewoon automatiseren?” Als een account verdacht gedrag vertoont, kan het systeem direct ingrijpen. “Dan isoleren we een pc of zetten we een account op non-actief. Dat gebeurt gewoon vanuit onze backend.”

Niet voor elke omgeving is dat geschikt. “Bij een ziekenhuis zou ik dat niet zomaar doen. Daar ligt dat anders.” Maar voor veel mkb-organisaties is het volgens Rik prima. “Er staan geen mensenlevens op het spel. Het gaat om het afsluiten van een computer.”

​“We bouwen liever iets dat past, dan iets dat perfect klinkt.

​Wat het verhaal van Rik laat zien, is hoe groot de afstand nog altijd is tussen hoe security vaak wordt ontwikkeld en hoe organisaties daadwerkelijk werken. Zijn overstap van pentester naar bouwer maakt duidelijk dat technische gelijk hebben iets anders is dan verschil maken in de praktijk. Zeker in het mkb, waar security zelden een dagelijks onderwerp is, werken oplossingen alleen als ze aansluiten bij bestaande systemen, beperkte capaciteit en een lage fouttolerantie.

Attic Security laat zien dat innovatie niet per se zit in nieuwe lagen of complexere modellen, maar in het weghalen van frictie. Door bewust te kiezen voor Microsoft als fundament, door MDR te automatiseren waar dat kan en door samen te werken met MSP’s in plaats van eindgebruikers direct te benaderen, ontstaat een vorm van cyberweerbaarheid die past bij de realiteit van kleinere organisaties. Niet perfect, niet allesomvattend, maar wel uitvoerbaar.

Vergelijkbare berichten