Pharrowtech stippelt cyberveiligheid traject uit dat drie jaar diep kijkt

Pharrowtech, een hightech startup die in 2019 uit imec ontstond, ontwerpt radiochips en antennes voor extreem snelle draadloze communicatie. Cruciaal is ‘time to market’. Met de steun van VLAIO schrijft het bedrijf nu een gefaseerde roadmap uit.

Trefwoorden: #cyber, #Pharrowtech, #veiligheid, #VLAIO

Lees verder

Partner Info

( Foto: Pharrowtech )

ENGINEERINGNET.BE - "Onze IT-infrastructuur was nog geen jaar oud, we hadden nog geen tweefactor-identificatie, toen we onder druk van Covid remote moesten gaan werken. Via een mailbox van een medewerker kregen we valse klantenfacturen binnen en telefoons om ze te betalen. Als startend bedrijf passeerde echter alles nog via mij”, vertelt CEO Wim Van Thillo.

Een aanmaningstelefoon met een mannenstem die zich ‘Jessica’ noemde, bond de kat de bel aan. “We resetten de mailbox en timmerden alles dicht”, zegt Van Thillo. Het incident werd aan de raad van bestuur gerapporteerd. “We waren toen met zijn tienen. Vandaag met 25. Volgend jaar moeten dat er meer dan 40 worden. We hadden deze keer geluk maar het was duidelijk dat er meer moest gebeuren. We wilden een onafhankelijke partij om ons bestaande systeem te auditeren.” De CISO (Chief Information Security Officer) van imec verwees hen naar NVISO. Het bedrijf ontdekte toen ook het cybersecurity-pakket van VLAIO.

Geen eenmalige oefening 
“Onze beslissing om onze cybersecurity door te lichten en te verbeteren kwam er vóór we van de subsidiemogelijkheden hadden gehoord”, zegt Van Thillo. “Oorspronkelijk mikten we op een extern assessment van onze beveiliging en op een penetratie- of pentest die kwetsbaarheden in onze systemen zou identificeren. Dankzij de steun van VLAIO konden we grondiger te werk gaan, en ook een roadmap opstellen die ons drie jaar verder kon brengen.” Het is duidelijk dat het hier geen éénmalige oefening betreft.

“We zullen ISO-certificatie nodig hebben en zullen dat proces klaren nog vóór de eerste klant er naar vraagt”, zegt Van Thillo stellig. ISO 27002 brengt alle domeinen van cybersecurity in kaart, van de IT-veiligheidsstrategie, het kiezen voor weerbare componenten, tot het beheer van gebruikers en hun gegevens en eventuele recovery. “Deze gestructureerde aanpak wil niets aan het toeval overlaten. We kiezen ook bewust voor bepaalde prioriteiten.”

Veertien domeinen afgetoetst 
De ISO-standaard is gemaakt voor bedrijven van allerlei slag. “Wij schreven specifiek voor Pharrowtech de nodige stappen uit”, aldus Niels Torisaen, cyber strategy consultant bij NVISO. Daarmee wordt het pad naar een certificatie geëffend, ook al werden bepaalde zones nog niet ingevuld. “Veertien domeinen werden afgetoetst. Op grond daarvan schreven we een gefaseerd meerjarenplan uit.”

Bij Pharrowtech is met vijf mensen gedurende een paar maanden structureel over cyberveiligheid nagedacht. “In onze consultancywereld is een besteding van twee mandagen per week niet uitzonderlijk”, vult Torisaen aan. De investering in cybersecurity is fors, maar wel noodzakelijk.

Meerwaarde dankzij een goede ‘pingpong’ 
Cybersecurity is een overheadkost, maar daarzonder zouden we ons doel niet kunnen realiseren”, aldus Van Thillo. Als alles goed gaat zou je het net als vele andere ondersteunende processen gewoon niet moeten zien. De meerwaarde van externe expertise ligt in die andere, onbevangen kijk op bedrijfsprocessen. “Soms kan het botsen, maar het kan ook een goede ‘pingpong’ met de klanten opleveren die zaken bijbrengt. We tackelen dan ook de externe bedreiging. Hoe langer je meedenkt, des te beter ken je het verhaal van het bedrijf”, stelt Torisaen.

NVISO telt zo’n honderd medewerkers. “Wie met ons in zee gaat, koopt zich tegelijk in die pool van kennis in. Het meenemen van eigen mensen is cruciaal om de kennis te borgen en het veiligheidsbewustzijn acuut te houden”, gaat Torisaen verder. “De medewerkers zijn een essentieel onderdeel in het bedrijf, en dus ook in cybersecurity. Zonder je mensen mee te nemen, lukt het niet.” Op dit ogenblik is de deelname van medewerkers bij Pharrowtech aan het proces nog beperkt. “Elke maand hebben we een all-hands meeting voor het gehele team. Die eindigen we steevast met een aantal terugkerende herinneringen. ‘Blijf alert’ is er een van”, zegt Van Thillo.

Gezond verstand 
“Je moet ervan uitgaan dat de onveiligheid van overal kan komen”, meent Van Thillo. Bovendien evolueren zowel het bedreigingslandschap als het bedrijf zelf. NVISO houdt met zijn pool van experten de vinger aan de pols en kan vlot reageren op incidenten. Het simuleerde incidenten die de uitgetekende roadmap testten. “Zodra het plan opgemaakt is, bekijk je elk jaar opnieuw de bedreigingen. Die prioriteer je. Welke elementen kunnen leiden tot een compleet ondergaan?”, stelt Torisaen. Een volgende stap kan liggen in CISO-services die opvolgen of de prioriteiten nog steeds correct zijn en welke impact nieuwe bedreigingen hebben op het plan en het huidige niveau van cybersecurity.

“Het aangeboden pakket zit goed, van welke kant je het ook bekijkt. Er is enerzijds de bottom-up benadering die technische controles uitvoert. Hoe makkelijk kom je op het net van Pharrowtech? We vroegen onder andere een standaardlaptop van Pharrowtech op om te verifiëren hoe diep we daarmee in het netwerk konden doordringen. En anderzijds ook de top-down ‘ISO’ benadering waarbij we confirmatie kregen via de bottom-up oefening of het verhaal en het plan wel klopt. Bijvoorbeeld: wordt het patch management stipt opgevolgd?”, schetst Torisaen. “We houden het heel sterk ‘common sense’: gebruik je gezond verstand”, besluit Van Thillo.
www.vlaio.be

Wie is Pharrowtech? 
Pharrowtech ontwikkelt radiochips voor robuuste, draadloze internetconnecties tegen hoge snelheden (Gigabit/sec). Zijn draadloze technologie zal o.a. snellere internet-toegang, immersieve VR en AR mogelijk maken maar ook IoT en smart city technologie. Het bedrijf, dat ondertussen 25 medewerkers telt, zal in 2022 zijn eerste producten op de markt brengen waarmee het apparatenbouwers zal aanspreken. Het hanteert een ‘fabless’ model dat typisch is voor de halfgeleiderwereld: het ontwerpt en commercialiseert de chips zelf om vervolgens de productie uit te besteden aan fabrikanten in Taiwan, Korea en China.

Krijg financiële steun van VLAIO om te investeren in de cybersecurity van jouw bedrijf 
Krijg je graag meer vat op de kwetsbaarheden van je bedrijf? Heb je nog geen strategie om de cyberveiligheid van je onderneming te verhogen? Dan is een cybersecurity verbetertraject iets voor jou! De negen door VLAIO geselecteerde dienstverleners ondersteunen kmo’s bij het duurzaam versterken van hun cyberveiligheid. Check www.vlaio.be/cs-verbetertrajecten.

Start ook jouw verbetertraject via de subsidie 'cybersecurity verbetertrajecten' ondersteunt Agentschap Innoveren & Ondernemen (VLAIO) kmo’s om hun cyberveiligheid naar een hoger niveau te tillen.

  • Voor kmo’s in Vlaanderen
  • Individuele begeleiding door een cybersecurity expert
  • Subsidie komt tussen voor 45% van de kostprijs