Felix Kan, Oprichter en CEO van Cyberbay – Interviewreeks

Felix Kan is de oprichter en CEO van Cyberbay, met meer dan 15 jaar ervaring in cybersecurity. Voordat hij Cyberbay oprichtte, was hij partner bij PwC, waar hij verschillende opvallende initiatieven co- oprichtte, waaronder Darklab, Hackaday en Hackbot. Zijn expertise omvat IT-governance, technologie-architectuur en beveiligingsbeheer.

Cyberbay is een cybersecuritybedrijf dat AI-gestuurde beveiligingsdiensten en ethische hackoplossingen biedt via een wereldwijd netwerk van gescreende professionals. Het platform biedt continue kwetsbaarheidsscanning, real-time dreigingsanalyses en vaste beloningsmissies, waardoor organisaties risico’s efficiënt kunnen detecteren en verhelpen. Cyberbay biedt ook professionele training en beveiligingsbeoordelingen om de bedrijfsweerbaarheid te versterken.

U hebt meer dan tien jaar bij PwC gewerkt, waar u ondernemingen zoals DarkLab en Hackbot heeft opgericht. Wat heeft u ertoe gebracht om weg te gaan en Cyberbay van de grond af op te bouwen?

Na 15 jaar in de branche, waaronder mijn tijd als partner bij PwC Hong Kong en oprichter van initiatieven zoals DarkLab en Hackbot, kwam ik tot een realisatie: cybersecurity had een mentaliteitsverandering nodig. De branche had geen gebrek aan tools, maar het ontbrak aan duidelijkheid en vertrouwen. Beveiliging was reactief en productgedreven geworden, in plaats van proactief en strategisch. Ik heb Cyberbay opgericht om dat te veranderen, niet alleen om een ander dashboard te bouwen, maar om een echte partner voor organisaties te zijn. Onze missie is om hen te helpen hun digitale omgevingen te repareren, te versterken en toekomstbestendig te maken. In een wereld vol lawaai wil Cyberbay het signaal zijn.

Het was ook duidelijk dat het traditionele adviesmodel, waarbij klanten betalen voor inspanning en niet voor resultaten, fundamenteel kapot was. Organisaties zouden niet moeten betalen voor de tijd die besteed wordt; ze zouden moeten betalen voor resultaten. Daarom is Cyberbay gebouwd rond een incentivemodel dat impact beloont, niet activiteit.

Tegelijkertijd veranderde AI de manier waarop expertise wordt gecreëerd, gedeeld en geschaald. Cybersecurity is altijd een expertise-intensieve branche geweest, afhankelijk van een klein aantal specialisten. Maar met de juiste tools kunnen we die expertise democratiseren, transformeren in een gedeelde, toegankelijke en gevalideerde kennispool. Ik zag een kans om real-time inzicht te crowdsourcen van een wereldwijd en divers groep van ethische hackers. Criminele netwerken werken al met inclusiviteit en snelheid. Wij geloven dat verdedigers hetzelfde moeten doen.

Hoe heeft uw hands-on cybersecurity-achtergrond uw visie voor Cyberbay gevormd?

Ik begon mijn reis als PwC’s eerste ethische hacker, waar ik kwetsbaarheden in grote ondernemingsomgevingen ontdekte en hielp ze te verhelpen. Die hands-on ervaring leerde me dat echte beveiliging niet alleen gaat over het bouwen van muren; het gaat over zichtbaarheid, governance en diepe integratie van beveiliging in de bedrijfsvoering. Die filosofie is ingebakken in Cyberbay’s DNA: beveiliging die werkt met de snelheid van het bedrijf, anticiperen op verandering en orde brengen in chaos.

Geen enkele expert ziet het hele plaatje. De sleutel tot effectieve beoordelingen is diversiteit van kennis, achtergrond en aanpak. Daarom benadrukken wij het opbouwen van een brede, wereldwijde netwerk van beveiligingsprofessionals. Wanneer expertise collectief is, zijn de resultaten consistent sterker.

Met een succesvolle beveiligingsbeoordeling is het doel om bugs te vinden, maar het echte recept ligt in de kennis en expertise van de beoordelaar. Om stabiele en betekenisvolle output te genereren, hebben wij een grote en diverse pool van experts nodig. Elke beoordelaar brengt zijn unieke competentiepool met zich mee, en die diversiteit creëert kracht. Verschillende beoordelaars benaderen problemen op verschillende manieren, en die variatie leidt tot rijkere inzichten en meer robuuste verdedigingen. Bij Cyberbay geloven wij dat diversiteit van denken niet alleen een waarde is, maar ook een beveiligingsvoordeel.

Op welke manieren maakt AI van Cyberbay’s dreigingsdetectie predictief in plaats van reactief, en hoe verandert dat de manier waarop bedrijven risico’s benaderen?

Bij Cyberbay nemen wij een proactieve aanpak van cybersecurity. Onze AI-gestuurde tools, zoals CyberScan, waarschuwen u niet alleen voor bestaande problemen; ze simuleren potentiële aanvallen, analyseren gedrag en passen zich aan aan evoluerende risico’s in real-time. Dit stelt organisaties in staat om kwetsbaarheden te identificeren voordat ze worden uitgebuit.

In tegenstelling tot andere bugbounty-platforms die alleen focussen op het jagen op bugs, hebben wij onze monitoringstool, CyberScan, gebouwd, die continu scant en problemen detecteert in de hele onderneming. Beveiligingsbeoordelingen zijn als huishoudelijke diensten die buiten het interne IT-team opereren. Terwijl IT-teams zich richten op bekende controlelijsten en interne systemen, onthullen onze beoordelingen blind spots die vaak onopgemerkt blijven, vooral die welke verband houden met “shadow IT”-systemen of activa die zijn gelanceerd door bedrijfseenheden zonder IT-toezicht.

Met digitale enablement makkelijker dan ooit, is het steeds vaker voorkomend dat activa buiten het IT-departement worden beheerd. Deze verborgen systemen vormen grote risico’s als ze niet worden gezien of beheerd. Wij benaderen cybersecurity als een oefening in het kennen van het onbekende en organisaties de tijd en duidelijkheid geven die ze nodig hebben om zich voor te bereiden. Daarmee helpen wij cybersecurity te verschuiven van een reactieve kostenpost naar een strategische, predictieve functie.

Hoe zorgt u ervoor dat de AI-modellen die u gebruikt geen valse vertrouwen wekken of lage-kans maar hoge-impactdreigingen over het hoofd zien?

Een van de veelvoorkomende valkuilen in cybersecurity is het te veel vertrouwen op automatisering. Bij Cyberbay combineren wij AI met expert-menselijke toezicht. Elke gemarkeerde kwetsbaarheid gaat door een triageproces waarin wij de exploitatie en de reële impact valideren. AI helpt ons meer te zien, maar onze experts zorgen ervoor dat wij duidelijk zien. Deze balans tussen mens en machine houdt onze klanten gefocust op wat echt belangrijk is.

Kunt u uitleggen hoe CyberScan werkt achter de schermen? Wat maakt uw continue monitoring uniek ten opzichte van legacy SIEM of kwetsbaarheidsscanners?

Traditionele scanners zijn vaak lawaaierig, intrusief en draaien op vaste schema’s, wat hun effectiviteit beperkt. CyberScan is anders. Het is niet-intrusief, altijd aan en continu bijgewerkt met tweedehandsinlichtingen uit de donkere web en hackerforums. Als cybercriminelen al uw systemen scannen en resultaten online plaatsen, pikt CyberScan dat op.

In plaats van redundant te scannen, prioriteren wij herstel. Wij correleren ook gelekte referenties, soms zelfs beheerdersreferenties, zodat bedrijven kunnen handelen voordat er schade ontstaat. Denk aan CyberScan als een digitaal immuunsysteem: constant evoluerend, diep geïntegreerd en ontworpen om te beschermen voordat er een inbraak plaatsvindt.

Waarom gelooft u dat ethische hackers de eerste verdedigingslinie in cybersecurity worden?

Omdat onethische hackers de eerste aanvalslinie zijn. Ethische hackers denken als tegenstanders, ontdekken blind spots en evolueren met het dreigingslandschap. Zij draaien geen scripts; zij simuleren echte aanvallen met nuances en creativiteit. In het huidige cybersecurity-omgeving zijn zij niet optioneel. Zij zijn essentieel.

Wat zijn enkele van de grootste misverstanden die bedrijven nog steeds hebben over ethische hacking, en hoe helpt u hen om die angsten te overwinnen?

Een groot misverstand is dat cybersecurity-beoordelingen eenmalig zijn. Alleen omdat een bedrijf vorig jaar een test heeft doorstaan, betekent dat niet dat ze nu veilig zijn. Dreigingen evolueren. Zo doen infrastructuur en bedrijfsprocessen dat ook. Een andere angst is dat ethische hacking mogelijk bedrijfsoperaties verstoort. In de praktijk is onze handmatige testontwerp veilig, gericht en minimaal invasief.

Hoe hebt u UX en humane factoren geïntegreerd in een ruimte die traditioneel wordt gedomineerd door technische complexiteit en jargon?

Wij geloven dat cybersecurity een bedrijfsprobleem is, en niet alleen een technisch probleem. De meeste inbraken ontstaan door governance-problemen, niet alleen door bugs in code. Daarom hebben wij Cyberbay ontworpen, niet alleen voor CISO’s, maar ook voor marketing-, financiële en operationele leiders die digitale risico’s moeten begrijpen.

Met intuïtieve dashboards, duidelijke communicatie en onze virtuele CISO-service, demystificeren wij beveiliging. Onze aanpak helpt organisaties om te verschuiven van reactieve bug-fixing naar proactieve governance, waar gedrag, cultuur en proces de eerste verdedigingslinie vormen.

Wat is uw 5-jarige visie voor Cyberbay? Hoe zal het platform evolueren naarmate dreigingen geavanceerder worden en AI meer autonomie krijgt?

Wij bouwen voor wat komt. In de komende vijf jaar zal Cyberbay Labs uitbreiden naar AI-red teaming, Web3-beveiliging en spraakinterfacebescherming. Wij ontwikkelen ook autonome dreigingsdetectie- en herstelmodellen. Ons doel is dat elk bedrijf, vooral die zonder een CISO vandaag, Cyberbay gebruikt als hun virtuele CISO morgen, gesteund door een wereldwijd netwerk van onderzoekers.

Ziet u een toekomst waarin AI zelf de aanvaller wordt? En zo ja, hoe zullen verdedigingsplatforms zoals Cyberbay zich aanpassen?

Die toekomst is al aan het ontvouwen. AI kan code genereren, stemmen imiteren en phishing-campagnes op een schaal deployen die mensen nooit konden. Maar AI is neutraal. Het kan een wapen of een schild zijn. Bij Cyberbay Labs gebruiken wij AI om te simuleren, omgekeerd te engineeren en een stap voor te blijven op opkomende dreigingen. Wij passen ons aan aan het tempo van innovatie, want dat is wat nodig is om veilig te blijven.

Bedankt voor het geweldige interview, lezers die meer willen leren, kunnen Cyberbay bezoeken.