Klarrio heeft een whitepaper uitgebracht over zijn aanpak van security by design in cloud-native softwareontwikkeling. Het bedrijf stelt dat regelgevingscompliance het gevolg moet zijn van sterke securitypraktijken, niet de primaire reden daarvoor. De aanpak draait om risicogebaseerde security in elke fase van het ontwerp- en ontwikkelproces.
Cybercriminaliteit kost de wereldeconomie steeds meer geld. Volgens schattingen overschrijden de wereldwijde jaarlijkse kosten van cybercriminaliteit eind 2025 de grens van 1,2 biljoen dollar. Tegelijkertijd verlaagt de opkomst van AI-aangedreven aanvalstools de drempel voor kwaadwillenden. Deepfakes voor phishing en geautomatiseerde hacktools zijn inmiddels breed beschikbaar.
Het bedrijf heeft een whitepaper uitgebracht over security in cloud-native softwareontwikkeling. Daarin legt Klarrio uit hoe het security verwerkt in elke fase van het ontwerp- en ontwikkelproces.
Compliance is geen einddoel
Klarrio betoogt dat bedrijven momenteel worstelen met de stapel nieuwe Europese regelgeving. De NIS2-richtlijn en de Cyber Resilience Act van de EU verplichten organisaties proactieve securitymaatregelen te nemen, maar de hoeveelheid regels leidt bij veel bedrijven tot verwarring. Bovendien, zo stelt Klarrio in de whitepaper, creëert het puur afvinken van compliancevereisten een vals gevoel van veiligheid. Daardoor blijven kritieke risico’s mogelijk onopgelost. Klarrio stelt dat compliance het resultaat moet zijn van solide securitypraktijken, niet de primaire drijfveer.
De aanpak van het bedrijf draait om risico-gebaseerde security, waarbij prioriteiten worden bepaald door de dreigingen die het meest relevant zijn voor de specifieke activiteiten van een organisatie. Wie security direct meeneemt in het ontwerp, betaalt volgens Klarrio ongeveer tien procent meer bij de ontwikkeling. Achteraf aanpassen kan tien tot vijftien keer zo duur uitvallen.
Open source en aanvalsvlak
Moderne platforms zijn voor zeventig tot negentig procent opgebouwd uit open-sourcecomponenten, van Kubernetes tot het CNCF-ecosysteem. Dat biedt transparantie en snelheid, maar vergroot ook het aanvalsvlak. Klarrio hanteert strikte selectiecriteria voordat een component in aanmerking komt voor gebruik in zijn platforms.
Het Klarrio Security Framework werkt met drie teamrollen: een blue team dat defensieve maatregelen ontwerpt en implementeert, een red team dat actief kwetsbaarheden opspoort en een purple team dat zorgt voor de kennisuitwisseling tussen beide. Aanvullend is het bedrijf begin 2025 een Security Champions-programma gestart om security structureel in de ontwikkelcultuur te verankeren.