Van Hollands hoop tot buitenlandse handen: lessen uit de Zivver-casus

DoorFleur van Leusden
Van Hollands hoop tot buitenlandse handen: lessen uit de Zivver-casus cover

Recent is Zivver, een platform om beveiligd te e-mailen en bestanden uit te wisselen, verkocht van Nederlandse handen aan het Amerikaanse bedrijf Kiteworks. Zivver is in gebruik bij delen van de overheid en gezondheidssector. Denk daarbij aan de rechtspraak en ziekenhuizen. Gevoelige informatie dus. Welke goed moet worden beveiligd.

Over de overname schreef Follow the Money een nieuwsartikel.[1] Er is kritiek op de verkoop. Kiteworks heeft voormalig Israëlische spionage-dienst medewerkers in de top. De infrastructuur van Zivver was (overigens voor de overname al) gebaseerd op AWS. Daarnaast zou Zivver toegang hebben tot de inhoud van de data op het platform, omdat deze pas na een scan op malware en optionele andere AI-toepassingen wordt versleuteld.

Ik heb zelf ook een post op LinkedIn gemaakt naar aanleiding van het nieuwsbericht. Ik vond het niet chic dat Zivver destijds concurrent Cryptshare op de website neerzette als minder veilig. Daarnaast maakte ik de afweging on premise een (voor mijn organisatie) veiligere oplossing te vinden als in SaaS. Dit heb ik als commentaar bij het artikel geplaatst.

De oprichter van Zivver, Rick Goud, plaatste een eigen post op LinkedIn met een reactie op het FTM artikel. Mede naar aanleiding hiervan nodigde hij mij uit voor een gesprek. Welke recent heeft plaatsgevonden.

Alle formaliteiten en gezelligheden daar gelaten; ik denk alles in overweging nemende dat Zivver op het gunstigst gezegd wat onhandig is in de keuzes die zijn gemaakt en de communicatie over hun eigen product. Als je kwade opzet wil vermoeden dan is dat natuurlijk ook een optie. Ik draai inmiddels een aardige tijd mee in deze wereld. En mij valt op dat partijen nogal eens een vrolijke draai geven aan de situatie die op z’n minst iets té rooskleurig uitvalt ten opzichte van de realiteit als het gaat om security.

Wat kunnen we leren van de Zivver casus?

Allereerst moeten we beseffen dat een partij die nu in Nederlandse handen is, dat wellicht niet altijd zal blijven. Hoe afhankelijk willen wij onszelf (als overheid) überhaupt maken van leveranciers, Nederlands of anders? Moeten we sommige dingen (als overheid) niet zelf doen, als ze zo cruciaal voor ons zijn? Of anders een heel strak afgedicht plan hebben om bij een overname van een buitenlandse partij snel te kunnen overstappen naar een alternatief. Zoals meerdere mensen online terecht al zeiden; hebben we nu niks geleerd van de eerdere overname van Fox-IT?

Ik realiseer mij dat ik daar zelf als CISO ook nog wel eens te makkelijk over denk. Nederlandse partij = zal wel goed zitten rondom buitenlandse invloed. Dat moeten we als security experts beter doen in mijn ogen.

Maar we kunnen meer leren denk ik. Want hoeveel van de klanten van Zivver hebben doorgevraagd toen zij het prachtige verkoopverhaal kregen over “voorkom datalekken” en “wij hebben nooit toegang tot de data, maar we kunnen wel scannen op malware en suggesties doen voor classificatie”? En hoeveel van de klanten hebben vóór twee jaar geleden gevraagd om een on premise variant?

Misschien meer in het algemeen; hoeveel gesprekken met jouw belangrijkste leveranciers heb jij als security expert überhaupt gevoerd om kritische vragen te stellen over de beveiliging? Hoeveel pentestrapporten heb je opgevraagd? Hoeveel leveranciers zaten er in de workshops van jouw risico analyses?

Ik wil niet goedpraten dat Zivver zaken anders heeft voorgesteld dan de feitelijke situatie. Je kunt het hebben over hoe je dingen interpreteert en dat dingen soms wat minder genuanceerd zijn gezegd in verband met sales/beperkte ruimte op sociale media. Als bedrijf dat zich doet voorkomen als betrouwbare partner en veiligheid, zijn de kleine lettertjes uiteindelijk wel belangrijk. Transparantie is essentieel voor dit soort oplossingen. Waarbij ik niet denk dat Zivver dingen heeft verzwegen. Maar als de klant er niet specifiek om vroeg, leek men ook geen reden te zien bepaalde kanttekeningen te benoemen.

Ik denk dat organisaties zich ook wel te makkelijk laten verleiden en ompraten om allerhande oplossingen aan te schaffen. We hebben onze mond vol over de “functionele vraag” van de business, maar in de praktijk zegt de business gewoon “wij willen Zivver” en niet “wij willen een beveiligde email oplossing en dit zijn de requirements”. Dat is niet hoe de praktijk werkt. Als organisatie moet je zorgen dat informatiebeveiliging tijdig is aangehaakt bij aanschaf van dit soort producten. Het is ook niet alleen aan ons, security experts, aan te rekenen dat we oplossingen kopen zonder vragen te stellen. In hoeveel gevallen was de deal al gesloten en de inkt op de contracten al droog toen we onze security experts vroegen om input?

Wat kunnen we leren?

  1. Ooit Nederlands is niet voor altijd Nederlands. En zo oer-Hollands was Zivver sowieso al niet. In verband met de AWS infrastructuur waar het op draaide.
  2. Betrek security expertise aan de voorkant van inkoop. Geef hen de gelegenheid met technische mensen te praten (niet sales!) en luister naar hun zorgen.
  3. Blijf ook na aankoop in gesprek met je (belangrijkste) leveranciers. En vraag om bewijzen. Laat eens een pentestrapport zien. Hoe monitoren jullie eigenlijk? Mag ik eens een alert uit jullie MDR zien?

De zorgen rondom de verkoop van Zivver komen in mijn ogen ook deels uit het huiswerk dat wij eerder hadden moeten doen, maar nooit hebben kunnen doen/gedaan. Laten we daaruit lessen trekken en het beter gaan doen.

Over Fleur

Fleur is een ervaren professional met meer dan 10 jaar ervaring in informatiebeveiliging. Ze is CISO bij de overheid en produceert een podcast voor CISOs, genaamd ‘CISO praat’. Haar passie ligt bij het vinden van oplossingen en het adviseren over strategische vraagstukken binnen informatiebeveiliging.

Met een focus op de technische en strategische aspecten, duikt Fleur graag de diepte in en onderzoekt oplossingen, zoals het veilig gebruik van openbare wifi-netwerken en effectieve bescherming tegen phishing. Ze is vooral geïnteresseerd in de balans tussen gebruiksgemak en beveiliging én de uitdagingen van specialistische kennis in een digitaliserende wereld.

In haar columns behandelt Fleur fundamentele uitdagingen voor informatiebeveiligers, zoals de effectiviteit van beveiligingsmaatregelen en het groeiende aanbod van beveiligingsdiensten. Ze hoopt haar lezers te inspireren tot nieuwe inzichten en innovatieve ideeën.

Vergelijkbare berichten