Security by design voorkomt hogere rekeningen

In dit artikel:

Klarrio waarschuwt dat beveiliging die pas achteraf wordt toegevoegd organisaties duur komt te staan en innovatie blokkeert. Volgens R&D-directeur Werner Vermeylen kost het vanaf het begin inbouwen van security via Security by Design ongeveer 10% extra op de initiële productontwikkeling; wie beveiliging later retrofit betaalt doorgaans tien tot vijftien keer zoveel, en in sommige sectorstudies kunnen herstelkosten na incidenten tot wel honderd keer hoger uitvallen. Naast financiële herstelkosten spelen boetes (GDPR, NIS2) en reputatieschade een grote rol, terwijl ontwikkelteams door continu brandjes blussen in een toestand van ‘securityvermoeidheid’ terechtkomen, aldus Information Security Officer Roel Van Nyen.

Kern van Klarrio’s aanpak is het actief samenbrengen van blue, red en purple teaming vanaf het allereerste ontwerpstadium. Het blue team start met threat modeling: het systeem vanuit het perspectief van een aanvaller analyseren zodat verdedigingsmaatregelen meteen in het basisontwerp worden ingebouwd. Het red team opereert als een interne ‘white box’-aanvaller: experts met diepgaande architectuurkennis zoeken gericht naar kwetsbaarheden. Het purple team ontstaat organisch uit de continue interactie tussen aanval en verdediging en zorgt voor een constante terugkoppeling. Klarrio beschouwt deze interne exercities als een strenge interne check; externe pentests blijven noodzakelijk voor objectieve certificering.

Open-source vormt de technische ruggengraat van Klarrio’s foundational data platforms — met een vendor-agnostische en Europees-georiënteerde strategie (Exoscale, OVH) om afhankelijkheid van hyperscalers te beperken. Tegelijkertijd vergroot die transparantie de aandacht van aanvallers: veel bedrijfscode bestaat inmiddels voor 70–90% uit open-sourcecomponenten, waardoor één gecompromitteerd project enorme consequenties kan hebben (voorbeeld: de xz-backdoor). Om supply chain-risico’s te mitigeren hanteert Klarrio strikte selectiecriteria voor open-sourceprojecten, beoordeelt beheerstructuren en bijdrageprocedures en eist actief onderhoud. Een Software Bill of Materials (SBOM) houdt continu bij welke componenten in een product zitten en koppelt dat aan wereldwijde kwetsbaarhedendatabases, zodat kritieke lekken (denk aan Log4Shell-niveau) binnen seconden getraceerd en aangepakt kunnen worden.

Klarrio onderstreept dat technologie alleen niet volstaat: menselijke fouten — misconfiguraties, teveel permissies, onjuiste aannames — blijven de meest voorkomende oorzaak van incidenten. Als reactie startte Klarrio begin 2025 een Security Champions-programma: elk ontwikkelteam krijgt minstens één aanspreekpunt voor security dat de brug vormt naar gespecialiseerde security-architecten. Voor succes zijn drie voorwaarden essentieel: zichtbare steun vanuit topmanagement, begrip van het waarom door alle medewerkers en voldoende tools en opleiding om security praktisch toe te passen. Het management faciliteert dit onder meer door 10% van werktijd expliciet vrij te maken voor securityactiviteiten. Trainingen richten zich op threat modeling, robuuste authenticatiestandaarden (zoals OpenID Connect) en het afweren van OWASP Top 10-dreigingen.

De opmars van AI-gegenereerde code zorgt voor extra urgentie. Van Nyen waarschuwt dat het niet volstaat om alleen te weten welke AI-modellen gebruikt worden; de herkomst en de wijze van integratie van door AI gegenereerde code moeten strikt gecontroleerd worden. Incidenten zoals bij AWS, waar ongetoetste AI-code tot ernstige verstoringen leidde, illustreren dat ook grote spelers hiermee worstelen.

Architectuurbeslissingen om de impact van een geslaagde aanval te beperken zijn eveneens cruciaal. Klarrio omarmt Zero Trust: elke component moet voortdurend geïdentificeerd en geauthenticeerd worden, zodat een gecompromitteerd onderdeel zich niet vrij kan bewegen door het ecosysteem. Real-time logmonitoring en anomaly detection helpen snel in te grijpen, maar deze monitoringtools moeten zelf ook veilig en zorgvuldig geconfigureerd zijn om niet alsnog een aantrekkelijk doelwit te vormen.

Wet- en regelgeving — NIS2, de Cyber Resilience Act, de Europese Product Liability Directive — zet extra druk op softwareleveranciers. Klarrio waarschuwt tegen checkbox-compliance: audits en certificaten mogen geen doel op zich zijn. In plaats daarvan moet compliance het natuurlijke gevolg zijn van degelijke Security by Design-praktijken. Vermeylen verwacht bovendien dat er opportunistische auditdienstverleners opstaan die tegen betaling ‘compliance’ verkopen zonder echte veiligheid op te leveren.

Praktische realiteit is dat veel klanten niet met een blanco blad beginnen maar legacy-landschappen hebben waarin security met terugwerkende kracht moet worden geïntegreerd. Zulke retrofit-projecten zijn complex en riskant: één centrale wijziging kan onbedoelde uitval veroorzaken in gekoppelde, verouderde applicaties. Voor nieuwe greenfield-projecten kan de extra architecturale complexiteit vanaf de start worden begroot en gepland, wat het uiteindelijke risico en de kosten aanzienlijk reduceert.

Voor Klarrio is security geen afgerond traject maar een continu proces van meten, monitoren en bijsturen. Alleen door security vanaf het ontwerp te verankeren, menselijk handelen te versterken en technische keuzes te maken die impact minimaliseren, kan een dataplatform de huidige dreigingen en toekomstige onzekerheden effectief weerstaan.