CorporatieGids Magazine

NOVEMBER 2025 I 61 60 I CORPORATIEGIDS MAGAZINE Edwin van Andel (Zerocopter): Corporaties blijven vaak te reactief als het gaat om security De cyberrisico’s voor woningcorporaties stapelen zich de laatste jaren op. Veel corporaties hebben daarom stappen gezet, maar échte weerbaarheid vraagt om continu inzicht, testen en oefenen. CorporatieGids Magazine sprak met Edwin van Andel, CTO bij Zerocopter, over het neerzetten van pragmatische cybersecurity: “Criminelen proberen alles te hacken. Doe dus niet alleen aan papierveiligheid, maar test, leer en wees voorbereid.” Wat zien jullie als de grootste uitdagingen in de corporatiesector als het gaat om cybersecurity? Naast de ‘bekende’ risico’s als het hergebruik van wachtwoorden door medewerkers zowel privé als werk, zijn er nog wel een paar die bij mij opkomen. Denk aan verouderde en niet gepatchte systemen of legacy-systemen binnen een corporatie waarvan eigenlijk niemand meer weet hoe ze werken of wie ze beheert. Daarnaast zien we ook regelmatig dat er geen overzicht is van welke systemen publiek bereikbaar zijn, met alle risico’s van dien. Een ander aandachtspunt is dat er veel derde partijen zijn die diensten en oplossingen leveren. Denk aan beheer, onderhoud of IoT-leveranciers met uiteenlopende securitykennis. We zien soms dat beheerderswachtwoorden van corporaties circuleren tussen zulke partijen. Is de sector inmiddels voldoende bewust van de gevaren die ze lopen? Sommige organisaties zijn wakker geworden. Deze voeren bijvoorbeeld segmentatie van systemen en netwerken, back-up checks en multifactor autorisatie (MFA) in. Maar veel corporaties blijven reactief: fixes na incidenten, tests van herstelprocedures ontbreken en er is geen structureel programma voor het testen van externe en interne beveiliging. Kortom: er is sprake van verbetering, maar geen brede, consistente volwassenheid. Je stelt dat vaak gedacht wordt aan kwaadaardige spelers zoals Rusland en China als het gaat om cybersecuritygevaar, maar dat in de praktijk organisaties niet voldoende doorhebben waar ze geraakt kunnen worden. Waar ligt volgens jou dat gevaar dan wel? De grootste praktische gevaren zijn aanvallen waarvoor weinig kennis nodig is, zoals gestolen of hergebruikte wachtwoorden, onbeschermde Remote Desktop Protocol-toegang, miscon- figuraties in cloudopslag of webapplicaties, phishing en lekken via leveranciers of gestolen laptops. Zulke risico’s en aanvallen komen veel vaker voor dan aanvallen van statelijke actoren, maar zijn helaas net zo verwoestend. De dreigingen zijn heel dynamisch en ontwikkelen continu. Hoe ga je daar als corporatie mee om? Je moet allereerst in kaart krijgen wat je allemaal hebt aan systemen, zowel intern als gekoppeld aan het internet. Laat eventueel een externe recon uitvoeren om te zien wat een aanvaller ziet. En als je dat inzichtelijk hebt, is het tijd voor een scan om te zien of er gaten in de systemen zitten. Patch deze en probeer daar regelmaat in te krijgen. Zorg daarnaast dat geen enkel administratief account kan inloggen zonder MFA, en log en monitor toegang tot systemen. Segmenteer je netwerk, scheid kritische systemen zoveel mogelijk van gebruikers en leveranciersnetwerken. Doe regelmatig een back-up- en recoverytest, zodat je weet dat je redelijk snel weer in de lucht kan zijn als er wat mis gaat. En laat in elk geval je systemen die aan het internet hangen regelmatig testen. Voer vulnerability scans en pentesten uit en zet waar mogelijk een bug bounty in. Daarnaast is het een goed idee om een Coordinated Vulnerability Disclosure- programma (CVD) te starten, zodat mensen die een security- probleem zien daarvan melding kunnen maken. Wat vraagt die dynamiek daarnaast van medewerkers? Het vraagt van medewerkers dat ze vooral logisch nadenken. Als je een e-mail van PostNL krijgt met de vraag om een nieuwe afspraak te maken voor aflevering, vraag je dan af hoe PostNL aan je zakelijke e-mailadres komt, en klik niet zomaar omdat het er vertrouwd uitziet. Probeer te denken als een aanvaller en verdachte zaken te melden. Corporaties werken daarnaast veel samen met partners. Hoe houd je je organisatie veilig als je veel over je eigen muren heen werkt? Dat blijft altijd lastig. Maar zoals besproken, probeer sowieso de toegang te beveiligen met MFA en deze daarnaast te beperken tot wat echt nodig is. En als de toegang niet meer nodig is, verwijder of deactiveer dat account. Daarnaast is het uiteraard altijd goed om een partij te kiezen die beveiligings- bewust is en bijvoorbeeld aantoonbaar NIS2-conform is. En zorg voor een duidelijk incidentenplan zodat – mocht er iets misgaan – je weet waar je dit moet melden en welke stappen genomen moeten worden. Hoe kan Zerocopter woningcorporaties hierbij helpen? Zerocopter biedt corporaties toegang tot een brede pool van ethische hackers en tools voor realtime, praktijkgerichte ontdekking van kwetsbaarheden. Door middel van een bug bounty-programma kijken hackers continu naar de systemen en proberen ze binnen te komen. Is dit succesvol, dan melden ze dat – met uitleg over hoe het op te lossen is – en krijgen ze een geldbedrag gebaseerd op de impact van de gevonden kwetsbaarheid. Hierdoor vind je reële kwetsbaarheden. Niet alleen in software, maar ook in de business logic. Daarnaast kan Zerocopter een recon uitvoeren en je CVD- programma beheren, zodat rapporten van buitenstaanders eerst gevalideerd worden voordat ze doorgezet worden naar het interne team binnen de corporatie. Hoe zie je de cybersecuritydreigingen de komende jaren veranderen voor woningcorporaties? We zijn met zijn allen nog steeds bezig om ‘naar de cloud’ te gaan, en ik denk dat we daardoor in de toekomst meer misconfiguraties en API-kwetsbaarheden zullen gaan zien. Daarnaast zal het aantal IoT- en smart building-aanvallen toenemen, via bijvoorbeeld slimme meters, toegangscontroles en gebouwbeheersystemen. Ook blijft een ransomware-aanval uiteraard een enorm risico. Wacht daarom niet op het volgende incident maar maak vandaag al stappen, en wees geen reactieve maar een proactieve corporatie. Foto: Paoline Kruijssen