Jouw software. Andermans code. Jouw risico.
Een startup brengt het onzichtbare web van softwareafhankelijkheden in kaart dat Nederlandse bedrijven dagelijks blootstelt aan risico’s.
Published on May 7, 2026
© TraceGuard
Mauro verruilde Sardinië voor Eindhoven en volgt als GREEN+ expert de energietransitie. Hij vertelt data-gedreven verhalen en maakt series over duurzaamheid.
Basic-Fit, Odido en Chipsoft zijn slechts enkele recente voorbeelden van Nederlandse organisaties die zijn getroffen door cyberaanvallen – met alle gevolgen van dien voor bedrijven én hun klanten. Nu de schaal en complexiteit van digitale dreigingen blijven groeien, kijkt een Eindhovense startup naar het probleem vanuit een ander perspectief: dat van de softwaretoeleveringsketen.
TraceGuard werkt aan een platform dat het verborgen netwerk van softwarecomponenten in kaart brengt en bewaakt, en dat ten grondslag ligt aan vrijwel elk digitaal systeem dat vandaag de dag draait. Hun boodschap is helder: de software waarop bedrijven vertrouwen, is zelden volledig zelf geschreven. En kwetsbaarheden stapelen zich ongemerkt op.
Elke moderne softwareapplicatie – of die nu is ontwikkeld door een multinational, een start-up of een overheidsorganisatie – bestaat uit duizenden onderdelen van derden. Die componenten leunen op hun beurt weer op andere software, waardoor een complexe keten ontstaat die niemand volledig overziet. “We kwamen steeds terug bij dezelfde fundamentele vraag,” zegt Anirudh Ekambaranathan, medeoprichter en CEO van TraceGuard. “Hoe beheer je risico’s in een softwaretoeleveringsketen waar je eigenlijk geen grip op hebt?”
Een volledig overzicht van de software-toeleveringsketen
Het platform van TraceGuard scant de codebase van een klant – de verzameling software, tools en documentatie achter elke applicatie – om alle componenten te identificeren waarvan die software afhankelijk is. Zo ontstaat een volledig beeld van de afhankelijkheidsstructuur, inclusief de lagen daaronder: de componenten waarop die componenten zelf weer steunen.
Die softwaretoeleveringsketen wordt vervolgens 24 uur per dag gemonitord. Het systeem speurt continu naar nieuw ontdekte kwetsbaarheden en waarschuwt klanten zodra ergens in hun keten een risico ontstaat.
Cruciaal voor de oprichters was dat ze niet opnieuw een compliance-tool of een overzichtelijk dashboard wilden bouwen. “De meeste tools laten je zien wat er is,” zegt medeoprichter Evgeni Kharitonov. “Wij richten ons op wat je ermee doet: wie het risico draagt, hoe zwaar dat weegt en welke beslissing er genomen moet worden. Waar mogelijk kunnen die acties worden geautomatiseerd of direct vanuit het platform worden uitgevoerd.”
Maatregelen nemen tegen kwetsbaarheden
Wanneer een kwetsbaarheid wordt gedetecteerd, zet het platform automatisch een proces in gang om de risico’s te beperken en begeleidt het klanten richting een oplossing. Dat kan variëren van een firmware-update tot een gepatchte afhankelijkheid of het markeren van een risicovolle leverancier. Het idee is dat, na verloop van tijd, terwijl de software gewoon blijft draaien, het aantal kwetsbaarheden in de omgeving van een klant aantoonbaar afneemt.
Een voorbeeld van een vroege klant laat zien wat er op het spel staat. Een bedrijf dat kritieke hardware-infrastructuur beheert – waarvan de naam om privacyredenen niet wordt genoemd – liet eerder zijn systemen handmatig controleren door een gespecialiseerd cybersecuritybedrijf. Dat leverde geen noemenswaardige bevindingen op. De software van TraceGuard ontdekte echter al binnen enkele ogenblikken na ingebruikname een kritieke kwetsbaarheid, die in meerdere firmwareversies bleek te zitten. De oplossing was relatief eenvoudig en voorkwam potentiële schade. Maar, zoals Ekambaranathan het verwoordt: “Als je het niet weet, heb je ook geen reden om er iets aan te doen.”
De ontwikkeling van het platform nam ongeveer zes maanden in beslag, en het draait inmiddels vrijwel vanaf de lancering bij klanten in productieomgevingen. De onboarding is bewust laagdrempelig gehouden: een installatie met één klik die aansluit op bestaande ontwikkelprocessen.
TraceGuard begon overigens niet als productbedrijf. De oprichters startten als consultants en werkten bij organisaties in uiteenlopende sectoren om het probleem van binnenuit te begrijpen. Die vroege gesprekken hebben de basis gevormd voor alles wat daarna kwam. Ekambaranathan promoveerde in cyberbeveiliging aan de Universiteit van Oxford. Kharitonov heeft een achtergrond in bedrijfseconomie aan de Fontys Hogeschool, aangevuld met ervaring in bedrijfsvoering en projectmanagement. Wat hen verbindt, is de wens om al langer samen iets op te bouwen. Het platform dat er nu ligt, is daar het resultaat van: een oplossing die inspeelt op een zeer concrete behoefte in de markt.
De medeoprichters van TraceGuard: Evgeni Kharitonov en Anirudh Ekambaranathan - © IO+
Regelgeving als steun in de rug
Het huidige regelgevingsklimaat vraagt om oplossingen zoals die van TraceGuard. Europese regelgeving, zoals de NIS2-richtlijn en de Cyber Resilience Act (CRA), verplicht organisaties om hun cyberbeveiligingscapaciteiten te versterken. Cruciaal is dat het aantonen van continue monitoring van hun digitale infrastructuur een van de verplichtingen is – met name voor banken, energiebedrijven en overheidsinstanties – iets wat de start-up kan bieden.
Op basis van ervaring met gemeenten, waaronder Eindhoven, ziet TraceGuard een terugkerende paradox: overheidsinstanties behoren tot de organisaties die het meest worden blootgesteld aan risico’s in de softwaretoeleveringsketen, maar zijn tegelijk het minst toegerust om die risico’s tijdig te herkennen. Ambtenaren moeten tal van prioriteiten tegelijk managen; cybersecurity komt daarbij zelden bovenaan te staan – totdat het misgaat.
“De overheid ziet in dat de cyberbeveiliging moet worden opgevoerd. En met de CRA geldt die 24/7-monitoring straks voor iedereen. Want stel je voor dat er iets gebeurt: dan wil je weten waar het gebeurde, wanneer het gebeurde en waar het vandaan kwam,” zegt Kharitonov.
Een gezamenlijke aanpak van cyberbeveiliging
Het opzetten van een robuust cybersecuritysysteem is onmogelijk zonder een gezamenlijke aanpak. Volgens Ekambaranathan is cyberbeveiliging in Nederland op dit moment sterk versnipperd: gemeenten, overheidsinstanties en private bedrijven pakken elk hun eigen stukje van het probleem aan, vaak zonder zicht op wat de anderen doen.
“Als je al die verschillende organisaties en producten samenbrengt op één platform,” zegt hij, “kunnen we toewerken naar een meer samenhangend en geïntegreerd beeld van cyberbeveiliging.”
Het uiteindelijke doel is dan ook niet alleen het leveren van software, maar het stimuleren van een meer gecoördineerde nationale aanpak van digitale weerbaarheid – een aanpak waarin de losse schakels met elkaar verbonden zijn en geen enkele kritieke kwetsbaarheid ongemerkt kan verdwijnen in de schaduw van andermans codebase.
Over vijf jaar willen Ekambaranathan en Kharitonov dat TraceGuard uitgroeit tot het platform dat de volledige Nederlandse digitale infrastructuur beveiligt: elke overheidsinstantie, elke kritieke organisatie, continu gemonitord en beschermd via één systeem.
Het is een ambitieuze doelstelling, zeker voor een tweemansbedrijf, maar een waarover de oprichters eerder nuchter dan grootsprakerig spreken. “We willen echt iets bouwen dat maatschappelijke impact heeft,” zegt Ekambaranathan. “Dat is vanaf het begin belangrijk voor ons geweest.”
In het digitale tijdperk zit de zwakke plek niet alleen in de software zelf, maar ook in alles wat eraan voorafgaat. En precies daar probeert TraceGuard grip op te krijgen.