Pharrowtech stippelt een cyberveiligheid traject uit dat drie jaar diep kijkt

Radiochips voor internetconnecties

Pharrowtech, een hightech start-up die in 2019 uit imec ontstond, ontwikkelt radiochips voor robuuste, draadloze internetconnecties tegen hoge snelheden (Gigabit/sec). de draadloze technologie zal snellere internet-toegang en immersive VR en AR mogelijk maken, maar ook IoT en smart city technologie. Het bedrijf, dat ondertussen 25 medewerkers telt, zal in 2022 zijn eerste producten op de markt brengen waarmee het apparatenbouwers zal aanspreken. Het hanteert een ‘fabless model’ dat typisch is voor de halfgeleiderwereld: het ontwerpt en commercialiseert de chips zelf om vervolgens de productie uit te besteden aan fabrikanten in Taiwan, Korea en China.

Cyberincident

“Onze IT-infrastructuur was nog geen jaar oud - we hadden nog geen tweefactoridentificatie - toen we onder druk van covid remote moesten gaan werken. Via een mailbox van een medewerker kregen we valse klantenfacturen binnen en ook telefoons om ze te betalen. Als startend bedrijf passeerde alles nog via mij”, vertelt CEO Wim Van Thillo. Een aanmaningstelefoon met een mannenstem die zich ‘Jessica’ noemde, bond de kat de bel aan.

“We resetten de mailbox en timmerden alles dicht”, zegt Van Thillo. Het incident werd aan de raad van bestuur gerapporteerd. “We waren toen met zijn tienen. Vandaag met 25. Volgend jaar moeten dat er meer dan 40 worden. We hadden deze keer geluk maar het was duidelijk dat er meer moest gebeuren. We wilden een onafhankelijke partij om ons bestaande systeem te auditeren.” De Ciso (Chief Information Security Officer) van imec verwees hen naar NVISO. Het bedrijf ontdekte toen ook het cybersecuritypakket van VLAIO. 

Grondig inzetten op cyberveiligheid

“Onze beslissing om onze cybersecurity door te lichten en te verbeteren kwam er vóór we van de subsidiemogelijkheden hadden gehoord”, zegt Van Thillo. “Oorspronkelijk mikten we op een extern assessment van onze beveiliging en op een penetratie- of pentest die kwetsbaarheden in onze systemen zou identificeren. Dankzij de steun van VLAIO konden we grondiger te werk gaan, en ook een roadmap opstellen die ons drie jaar verder kon brengen.”

Geen éénmalige oefening

Het is duidelijk dat het hier geen éénmalige oefening betreft. “We zullen ISO-certificatie nodig hebben en zullen dat proces ook klaren nog vóór de eerste klant er naar vraagt”, zegt Van Thillo stellig. ISO 27002 brengt alle domeinen van cybersecurity in kaart, van de IT veiligheidsstrategie, het kiezen voor weerbare componenten, tot het beheer van gebruikers en hun gegevens en eventuele recovery. “Deze gestructureerde aanpak wil niets aan het toeval overlaten. We kiezen ook bewust voor bepaalde prioriteiten.”

De ISO-standaard is gemaakt voor bedrijven van allerlei slag. “Wij schreven specifiek voor Pharrowtech de nodige stappen uit”, aldus Niels Torisaen, cyber strategy consultant bij NVISO. Daarmee wordt het pad naar een certificatie geëffend, ook al werden bepaalde zones nog niet ingevuld. “Veertien domeinen werden afgetoetst. Op grond daarvan schreven we een gefaseerd meerjarenplan uit.”

Bij Pharrowtech is met vijf mensen gedurende een paar maanden structureel over cyberveiligheid nagedacht. “In onze consultancywereld is een besteding van twee mandagen per week niet uitzonderlijk”, vult Torisaen aan. De investering in cybersecurity is fors, maar wel noodzakelijk.

Meerwaarde verbetertraject

Cybersecurity is een overheadkost, maar daarzonder zouden we ons doel niet kunnen realiseren”, aldus Van Thillo. Als alles goed gaat zou je het net als vele andere ondersteunende processen gewoon niet moeten zien.

De meerwaarde van externe expertise ligt in die andere, onbevangen kijk op bedrijfsprocessen. “Hoe langer je meedenkt, des te beter ken je het verhaal van het bedrijf”, stelt Torisaen. NVISO telt bovendien zo’n honderd medewerkers. “Wie met ons in zee gaat, koopt zich tegelijk in die pool van kennis in.”

Train je medewerkers

Het verbetertraject focust ook op de medewerkers. ”Het meenemen van eigen mensen is cruciaal om de kennis te borgen en het veiligheidsbewustzijn acuut te houden”, stelt Torisaen. “De medewerkers zijn een essentieel onderdeel in het bedrijf, en dus ook in cybersecurity. Zonder je mensen mee te nemen, lukt het niet.”

Op dit ogenblik is de deelname van medewerkers bij Pharrowtech aan het proces nog beperkt. “Elke maand hebben we een all-hands meeting voor het gehele team. Die eindigen we steevast met een aantal terugkerende herinneringen. ‘Blijf alert’ is er één van”, zegt Van Thillo. Torisaen pikt daarop in met de suggestie om telkens een specifiek veiligheidsonderwerp verder uit te diepen en toe te lichten hoe dat een impact heeft op de bestaande processen. 

Gezond verstand

“Je moet ervan uitgaan dat de onveiligheid van overal kan komen. We moeten er gewoon voor zorgen dat alles dicht zit”, meent Van Thillo. Bovendien evolueren zowel het bedreigingslandschap als het bedrijf zelf. NVISO houdt met zijn pool van experten de vinger aan de pols en kan vlot reageren op incidenten. Het simuleerde incidenten die de uitgetekende roadmap testten. “Zodra het plan opgemaakt is, bekijk je elk jaar opnieuw de bedreigingen. Die prioriteer je. Welke elementen kunnen leiden tot een compleet ondergaan?” stelt Torisaen. Een volgende stap kan liggen in CISO-services die opvolgen of de prioriteiten nog steeds correct zijn en welke impact nieuwe bedreigingen hebben op het plan en het huidige niveau van cybersecurity.

“Het aangeboden pakket zit goed, van welke kant je het ook bekijkt. Er is enerzijds de bottom-up benadering die technische controles uitvoert. Hoe makkelijk kom je op het net van Pharrowtech? We vroegen o.a. een standaard laptop van Pharrowtech op om te verifiëren hoe diep we daarmee in het netwerk konden doordringen. En anderzijds ook de top-down ‘ISO’ benadering waarbij we confirmatie kregen via de bottom-up oefening of het verhaal en het plan wel klopt. Bijvoorbeeld: wordt het patch management stipt opgevolgd?”, schetst Torisaen. 

“We houden het heel sterk ‘common sense’: gebruik je gezond verstand”, besluit Van Thillo.