Wie security pas achteraf inbouwt, betaalt tot vijftien keer de originele kostprijs. Daarom zijn een strikte ‘Security by Design’-aanpak en een hechte wisselwerking tussen blue en red teaming cruciaal. Ook dient er een scherp oog voor de risico’s van open-sourcecomponenten te zijn. Deze keuzes hoeven geen belemmering te zijn voor innovatie en zijn simpelweg de enige rationele keuzes. We spraken erover met Klarrio, dat als platform engineeringpartij complete teams heeft om Security by Design naar de praktijk te vertalen.
Security is een kostenpost die bedrijven maar al te vaak liever uitstellen, totdat uitstel opeens geen optie meer is. Klarrio, dat foundational dataplatformen bouwt op basis van open-sourcetechnologie, ziet dit patroon met grote regelmaat terug in de markt. En de rekening van dat uitstel is elke keer fors. Wie beveiliging direct in het ontwerp van een nieuw systeem meeneemt via de principes van Security by Design, betaalt ruwweg tien procent extra op de initiële productontwikkeling. Wie die stap overslaat en systemen later moet retrofitten met securitymaatregelen, betaalt tien tot vijftien keer zoveel. Hoewel dit geen exacte wiskunde is, benadrukt R&D Director Werner Vermeylen dat de orde van grootte zonder twijfel klopt. Brede sectoronderzoeken tonen zelfs aan dat herstelkosten na een incident of bij complexe aanpassingen in extremere gevallen tot honderd keer hoger kunnen uitvallen.
Daar stopt de schade voor organisaties overigens niet. Naast de gigantische directe herstelkosten dreigen er zware boetes voor het niet naleven van regelgeving als de GDPR en de nieuwe NIS2-richtlijn. Bovenop de financiële klap komt de reputatieschade die klanten onvermijdelijk wegjaagt. Tegelijkertijd raken interne ontwikkelteams langzaam maar zeker uitgeput, omdat ze continu bezig zijn met het dichten van onverwachte gaten in plaats van met het bouwen van innovatieve, nieuwe functionaliteiten. Information Security Officer Roel Van Nyen noemt dit fenomeen ‘securityvermoeidheid’. Het is een kritieke toestand waarbij de wendbaarheid en de innovatiekracht van een complete organisatie volledig vastlopen. Om dit doemscenario te voorkomen, heeft Klarrio een robuust framework ontwikkeld dat beveiliging verweeft in het DNA van elke ontwikkelfase.
Blauw bouwen, rood denken
De fundamenten van de succesvolle aanpak van Klarrio rusten op de dynamiek tussen drie abstracte rollen: het blue team, het red team en het purple team. Deze rollen zorgen ervoor dat security van een platform vanuit elke mogelijke invalshoek wordt benaderd en uitgedaagd. Het proactieve werk begint bij het blue team, direct op het moment dat een platform of een nieuwe feature voor het allereerst op de tekentafel ligt. Staff Security Architect Joris Gorinsek legt uit dat je pas echt kunt beveiligen als je diepgaand begrijpt wat je precies aan het bouwen bent. Dat proces start steevast met threat modeling. Hierbij verplaatst het team zich in de schoenen van een hacker: wat zijn de meest interessante doelwitten en waar bevinden zich de zwakke plekken om in te grijpen? Vanuit deze analyse worden de verdedigingsmechanismen gedefinieerd en onmiddellijk in het basisontwerp verwerkt. Security is daardoor geen sluitpost, maar onlosmakelijk aanwezig vanaf de allereerste schets.
Toch denkt een ontwerper of programmeur van nature niet als een kwaadwillende hacker. Een ontwikkelaar focust zich logischerwijs op de manier waarop het systeem onder ideale omstandigheden hoort te werken. Een aanvaller zoekt daarentegen doelbewust naar alle afwijkende paden en onverwachte openingen in de code. Om deze kritische denkwijze intern te borgen, zet Klarrio actief een red team in. Deze experts krijgen de expliciete opdracht om te denken en te handelen als hackers, maar zij bezitten tegelijkertijd diepgaande interne kennis van de architectuur van het platform. Deze white box-benadering stelt hen in staat om veel gerichter en efficiënter naar kwetsbaarheden te zoeken dan een externe partij die zonder die specifieke achtergrondkennis moet opereren.
Hierbinnen is ook paars als derde kleur te vermelden. Het purple team is binnen deze methodiek geen aparte, fysieke afdeling op de kantoorvloer, maar het directe resultaat van het samenspel van rood en blauw. Aanvallers en verdedigers werken continu hand in hand om een veiliger eindproduct te smeden. Volgens Vermeylen is deze manier van werken bij Klarrio een absolute vanzelfsprekendheid. Omdat het blue en red team intern al zo nauw samenwerken, vormt purple eigenlijk de natuurlijke, automatische zone waarin het dagelijks opereert. Dit interne proces maakt onafhankelijke externe pentests zeker niet overbodig. Integendeel, Klarrio beschouwt de eigen red team-exercities als een uiterst strenge check vooraf. Klanten schakelen vervolgens nog steeds externe partijen in voor een objectieve en onafhankelijke audit om het uiteindelijke platform te certificeren.
Open-source is transparant en een groeiend doelwit
Klarrio bouwt zijn platforms grotendeels op zorgvuldig geselecteerde open-sourcecomponenten. Dit vanwege een vendor-agnostische filosofie en de bredere wens om Europese cloudsoevereiniteit te stimuleren. Door te werken met volwaardige Europese alternatieven als Exoscale en OVH, voorkomt het bedrijf een sterke afhankelijkheid van propriëtaire software van Amerikaanse hyperscalers. Toch brengt het gebruik van open-source specifieke risico’s met zich mee, voornamelijk op het complexe gebied van supply chain security. Hackers richten hun pijlen namelijk steeds vaker op de populaire, onderliggende open-sourceprojecten die diep in de supply chain van duizenden bedrijven geworteld zitten. Een bekend voorbeeld hiervan is de xz-backdoor, een incident waarbij een geduldige aanvaller jarenlang als een legitieme bijdrager opereerde om uiteindelijk, stilletjes, kwaadaardige code te implementeren. Omdat zeventig tot negentig procent van de moderne bedrijfscode inmiddels uit open-sourcecomponenten bestaat, kan de uiteindelijke impact van slechts één gecompromitteerd project werkelijk desastreus zijn.
Om dit sluipende risico effectief in te dammen, hanteert Klarrio een strenge reeks screeningscriteria voordat een open-sourcecomponent überhaupt in overweging wordt genomen voor een project. Er wordt kritisch gekeken naar wie het project exact beheert en via welke procedures nieuwe bijdragers en hun code worden geverifieerd. Tot slot weegt Klarrio mee of het project actief en gezond wordt onderhouden, zodat de garantie bestaat dat nieuw ontdekte kwetsbaarheden ook in de verre toekomst nog tijdig gepatcht zullen worden.
Om het overzicht te behouden, wordt er standaard gewerkt met een Software Bill of Materials (SBOM). Dit is in feite een uiterst gedetailleerde digitale inventarislijst van alle componenten en dependencies die zich binnen een specifiek product bevinden. Doordat deze SBOM continu gekoppeld is aan actuele wereldwijde databases met bekende kwetsbaarheden, genereert het systeem direct een waarschuwing zodra er ergens een veiligheidsprobleem opduikt. Gorinsek geeft aan dat als er morgen een nieuwe kritieke fout van het kaliber Log4Shell ontdekt wordt, dan weet het team dankzij de SBOM binnen enkele seconden exact waar in het platform de kwetsbare versie van de software zich bevindt, zodat er direct ingegrepen kan worden.
Tip: “Blinde AI-inzet leidt tot kennisverlies en software-infarcten”
De menselijke schakel en de opmars van AI-code
Hoe geavanceerd en waterdicht de technologie op papier ook is, de menselijke factor blijft steevast de zwakste schakel. Het is zelden de briljante, technisch complexe exploit die de oorzaak is van een datalek. Vaak staat de simpele misconfiguratie, de verkeerd begrepen interne aanvraag of de ontwikkelaar die ondoordacht en vluchtig admin-rechten toekent bovenaan de lijst van incidentoorzaken. Zero-day-kwetsbaarheden worden in het huidige klimaat bovendien al binnen enkele minuten na ontdekking actief uitgebuit, waardoor de dagelijkse tijdsdruk op securityteams immens is.
Om dit menselijke aspect structureel en positief aan te pakken, lanceerde Klarrio begin 2025 een formeel Security Champions-programma. Binnen dit initiatief krijgt elk ontwikkelteam minstens één ‘champion’ toegewezen. Deze collega fungeert op de werkvloer als het laagdrempelige, eerste aanspreekpunt voor alle securitygerelateerde vragen en slaat tegelijkertijd de noodzakelijke brug naar de gespecialiseerde security-architecten. Gorinsek stelt dat er drie harde voorwaarden zijn voor het slagen van een dergelijk concept. Ten eerste moet er vanuit het absolute topmanagement overduidelijk de energie en de boodschap komen dat security topprioriteit heeft. Ten tweede moeten alle medewerkers de context begrijpen en inzien wáárom deze focus zo cruciaal is voor het voortbestaan van de projecten. En tot slot moeten de teams de juiste tools en training krijgen om te weten hóé ze dit in de dagelijkse praktijk moeten toepassen.
Het management faciliteert deze cultuurverandering direct door tien procent van de werktijd expliciet vrij te maken voor securitygerelateerde activiteiten. De ontwikkelaars worden intensief getraind in onderwerpen zoals threat modeling, robuuste authenticatiestandaarden zoals OpenID Connect en het afweren van de dreigingen uit de bekende OWASP Top 10. Het uiteindelijke, overkoepelende doel is dat beveiliging niet langer voelt als een verplichte hindernis, maar als een integraal onderdeel van de standaard manier van werken.
Deze verhoogde waakzaamheid op de werkvloer is urgenter geworden door de razendsnelle opkomst en integratie van AI-gegenereerde code in softwareontwikkeling. Van Nyen waarschuwt dat het absoluut niet volstaat om oppervlakkig te weten welke AI-modellen er door ontwikkelaars gebruikt worden. Het is minstens zo belangrijk om de herkomst van de door AI-gegenereerde code kritisch te verifiëren en strak te reguleren hoe deze in de uiteindelijke productieomgeving wordt verwerkt. Dat dit geen abstract of theoretisch risico is, bewijzen recente publicaties over incidenten bij AWS. Daar leidde AI-gegenereerde code, die zonder voldoende controle door minder ervaren medewerkers was uitgerold, tot significante systeemstoringen. Als zelfs de grootste, schijnbaar meest robuuste organisaties ter wereld tegen dit probleem aanlopen, onderstreept dat de noodzaak van scherpe interne processen.
De impact van een aanval beperken
Naast het continu opleiden van het eigen personeel investeert Klarrio sterk in architectuurkeuzes die de impact van een geslaagde cyberaanval minimaliseren. Het Zero Trust-principe staat in deze visie centraal. Waar de klassieke netwerkbeveiliging in het verleden zwaar leunde op een sterke, statische perimeter, gaat Zero Trust uit van de harde realiteit dat geen enkel netwerk of individueel component per definitie veilig is. Binnen een Zero Trust-architectuur moet elke afzonderlijke component, of het nu een database of een microservice is, zichzelf continu bewijzen aan de andere componenten. Dit gebeurt bij elke interactie, ongeacht of het verzoek van binnen of buiten het netwerk afkomstig is. Als een aanvaller er onverhoopt toch in slaagt om via een list of kwetsbaarheid één specifiek onderdeel van het uitgestrekte dataplatform binnen te dringen, kan deze zich niet zomaar vrijuit lateraal verplaatsen naar de rest van het ecosysteem. De directe impactzone van het incident blijft hierdoor strikt beperkt tot dat ene gecompromitteerde onderdeel. Deze inperking voorkomt grootschalig dataverlies en vereenvoudigt en versnelt het latere herstelproces aanzienlijk.
Vermeylen wijst in dit kader ook nadrukkelijk op het belang van actieve logmonitoring binnen zo’n veerkrachtige architectuur. Geavanceerde systemen die alle logstromen in real-time analyseren en direct afwijkend gedrag detecteren, denk aan een gecompromitteerd gebruikersaccount dat midden in de nacht plotseling terabytes aan gevoelige klantinformatie naar een onbekende cloudservice probeert te exporteren, kunnen volautomatisch waarschuwingen genereren of verbindingen verbreken. Tegelijkertijd plaatst hij daar een belangrijke, technische kanttekening bij. Deze monitoringtools zelf moeten ook met de grootst mogelijke zorg en veiligheid worden geconfigureerd. Als dat niet gebeurt, transformeren deze systemen onbedoeld in een enorm veiligheidsrisico, omdat ze precies alle gevoelige data en inlogpatronen die een organisatie probeert te beschermen, uiterst handig op één gecentraliseerd presenteerblaadje bundelen voor gewiekste aanvallers.
Compliance is het resultaat, niet het doel op zich
Bedrijven opereren uiteindelijk in een steeds complexer landschap dat in hoog tempo wordt gereguleerd door zwaarwegende Europese wetgeving. Richtlijnen als de NIS2, de Cyber Resilience Act en de uiterst impactvolle Europese Product Liability Directive bepalen in toenemende mate de spelregels. Deze laatste richtlijn gaat ongekend ver met consequenties, doordat fabrikanten van softwareproducten voortaan direct en hard aansprakelijk gesteld kunnen worden voor aanzienlijke schade die ontstaat als direct gevolg van onvoldoende of gebrekkige beveiliging van hun product. Hoewel Klarrio het volmondig eens is met de noodzaak van dergelijke strenge regelgeving om de digitale samenleving te beschermen, waarschuwen de experts sterk voor de valkuil van checkbox-compliance. Dit is de gevaarlijke praktijk waarbij bedrijven puur procesmatig lijstjes afvinken om op papier formeel compliant te lijken, zonder dat zij daarmee de daadwerkelijke technische veiligheid van hun systemen ook maar een fractie vergroten.
Gorinsek spreekt in dat opzicht de stellige verwachting uit dat er de komende jaren een hele opportunistische economie van kleine auditbedrijfjes zal opstaan. Bedrijfjes die organisaties tegen een vlotte betaling voorzien van het gewilde stempel ‘compliant’, wat uiteindelijk alleen maar zal leiden tot een vals gevoel van veiligheid in de bestuurskamers. Het uitgebreide Security by Design-framework van Klarrio hanteert daarom een ander en veel dieper geworteld uitgangspunt. Compliance moet altijd het logische resultaat zijn van zeer robuuste en doordachte beveiligingspraktijken en nooit de initiële reden om die praktijken in te voeren. Vermeylen vat deze filosofie samen door te stellen dat wanneer een organisatie vanaf de basis ‘secure by design’ werkt, het formeel compliant worden met nieuwe wetgeving eigenlijk nog maar een relatief kleine, administratieve stap is. Moet je diezelfde zware veiligheidseisen echter jaren later retrofitten op een fundamenteel onveilige, verouderde oplossing, dan verwordt het al snel tot een vrijwel onmogelijke, frustrerende en vooral peperdure opgave.
Uiteindelijk begint de harde praktijk natuurlijk niet bij elk project met een blanco vel papier, ook wel een greenfield-scenario genoemd. Zeer veel grote organisaties kloppen noodgedwongen bij Klarrio aan met massieve, verouderde systemen waaraan moderne security pas achteraf, met terugwerkende kracht, moet worden toegevoegd. Deze retrofit-situaties zijn in de uitvoering buitengewoon complex en risicovol. Eén enkele securityaanpassing die op het fundamentele platformniveau wordt doorgevoerd, kan onbedoeld een zwaar effect hebben op alle daarop aangesloten, verouderde applicaties, waardoor systemen plotseling uitvallen. Bij een nieuw greenfield-project is die aanzienlijke architecturale complexiteit er in de basis ook, maar dan is deze uitdaging vanaf de allereerste dag ingecalculeerd in zowel het tijdspad als het budget.
Voor Klarrio is security dan ook nooit een strak afgebakend project dat na een succesvolle oplevering definitief wordt afgesloten met een handdruk. Het is een doorlopend proces van continu meten via gestandaardiseerde modellen, proactief monitoren en direct bijsturen zodra de omgeving daarom vraagt. Alleen met die mindset, die door alle lagen van de gehele organisatie wordt gedragen en begrepen, kan een dataplatform de dreigingen van vandaag en de onvoorspelbare gevaren van morgen daadwerkelijk weerstaan.
Tip: Klarrio leunt op open source expertise voor bouwen foundational data platforms