Voorspellingen voor risicobeheer en naleving voor 2025

Patrick Spencer (00:01.794)
Hallo allemaal. Welkom terug bij een nieuwe aflevering van Kitecast voor de podcast van vandaag. We praten over 2025, specifiek onze 12 voorspellingen voor het komende jaar. Om inzichten en aanbevelingen van branche-experts te krijgen, heb ik twee van mijn vrienden benaderd: Alexandre Blanc en Evgeniy Kharam. Ze zijn erbij. Bedankt, heren. Ik kijk uit naar het gesprek.

Alexandre Blanc (00:24.87)
Hallo, dank dat we er weer bij mogen zijn! Erg leuk om weer aan te schuiven!

Evgeniy Kharam (00:28.343)
Hetzelfde hier, altijd leuk om in de uitzending te zijn.

Patrick Spencer (00:28.748)
Nou, alle goede dingen in drieën, denk ik. Dit is de derde keer dat we ons forecast-rapport maken en de andere twee zijn goed ontvangen in de markt en krijgen aan het einde van het jaar veel backlinks uit diverse posts en artikelen die erover worden geschreven. Sommige media nemen zelfs contact met ons op. Hopelijk is dat dit jaar weer zo. We hebben interessante punten in de forecast. Eugeniy, hij is een… Ik laat jullie jezelf introduceren, maar ik geef alvast een korte intro.

cybersecurity architect, podcaster, auteur, consultant, noem maar op, hij heeft het gedaan. Zijn boek, Architecting Success, is een paar maanden geleden gepubliceerd. We hebben er zelfs samen een podcast over opgenomen, dus check dat gesprek zeker op het QICAST-kanaal. Alexandre, komt ook uit het noorden. Dit is een volledig Canadese podcast, behalve ikzelf. Dus vergeef me mijn accent uit de lower 48…

maar Alexandre heeft een adviserende en consulterende rol gehad bij diverse security-validaties. Hij adviseert diverse organisaties op het gebied van security en compliance, runt zijn eigen bedrijf. Dus ik houd nu mijn mond. Willen jullie nog iets toevoegen voordat we in de 12 voorspellingen duiken? We kunnen ze uiteraard niet allemaal behandelen. We pakken de meest relevante eruit.

Alexandre Blanc (01:53.03)
Ik denk dat het zo goed is. Er is veel waarde om te delen, dus laten we ons focussen op het onderwerp. Evgeniy, voor jou ook goed?

Evgeniy Kharam (02:00.289)
Zeker, laten we er meteen induiken.

Patrick Spencer (02:02.606)
Super. De eerste die ik heb opgeschreven: software supply chain. Die stond vorig jaar op de lijst en waarschijnlijk het jaar daarvoor ook. We hadden grote datalekken het vorige jaar met Move It en Go Anywhere, en Go Anywhere is opnieuw gehackt. De Move It-kwestie loopt zelfs door in 2024 en we horen er nog steeds over. Ik las een rapport van

een publicatie die voorspelt dat er in het komende jaar meer dan 60 miljard dollar wordt gelekt als gevolg van de software supply chain. Alexandre, hoe vaak komt software supply chain aan bod als je met klanten werkt? Moet je ze erop wijzen dat ze niet alle software in hun omgeving goed beoordelen? Heb je een checklist of waar staan organisaties meestal?

Alexandre Blanc (02:57.614)
Dat valt onder third party risk assessment. Het is een uitdaging omdat men vaak blind is voor de diversiteit aan bronnen in het proces, of het nu softwareleveranciers zijn of distributeurs. Ze zien het als een aansprakelijkheidskwestie, maar beseffen niet hoe ver het kan gaan. We moeten ze herinneren aan grote incidenten uit het verleden.

Maar ook aan wat we regelmatig online zien: hoeveel open source libraries zijn besmet geraakt met bijvoorbeeld nep-namen, wat tot incidenten leidt. Ze moeten die bekende SBOM doen, software bill of materials, weten wat ze in huis hebben. Het draait altijd weer om de basis van cybersecurity: weten wat je hebt. En dat denken ze vaak niet; ze denken aan laptops of software, maar niet aan de details van de software, libraries en dergelijke. Als je daar dieper op ingaat, wordt het zo gedetailleerd dat het een grote uitdaging wordt. Met digitale transformatie wordt het elke dag lastiger. Dus zeker iets om scherp op te zijn en aan te werken.

Evgeniy Kharam (04:07.873)
Ik sluit me aan bij Alexandre: third party management is erg belangrijk. Er zijn een paar dingen gebeurd. Ten eerste, de afgelopen vijf tot acht jaar is SaaS de hoofdrol gaan spelen ten opzichte van on-premise. Dat betekent dat bedrijven hun data vaak in andermans mandje moeten leggen. En met SaaS zeggen we: we updaten de software elke dag of week. Maak je geen zorgen, je krijgt het nieuwste materiaal én de nieuwste bugs en kwetsbaarheden zo snel mogelijk. Dus ja, third party management moet volwassener worden, maar we moeten ook nadenken over hoe we software veilig ontwikkelen, by design. Als je het vergelijkt met het dagelijks leven: letten we op wat er in een product zit? Pas de laatste 15 jaar. Dus hetzelfde geldt voor software: we letten nu pas op veilige ontwikkeling. En als je nu tegen een gemiddelde developer zegt: security, niet mijn probleem, dat is van iemand anders.

Patrick Spencer (05:40.652)
Klopt helemaal. Zie je bij grotere organisaties dat er mensen zijn die zich specifiek bezighouden met het beoordelen van al die oplossingen die de marketing-, sales- of financiële afdelingen willen binnenhalen?

Evgeniy Kharam (06:00.575)
In veel grote bedrijven zijn er aparte afdelingen en processen. Het kan niet door één persoon gedaan worden, maar er moet een programma zijn. Ik ken veel mensen in de branche die zeggen: dit is het proces, dit is de ernst. Blijft de data bij ons? Gaat de data naar een ander? Controleren we XYZ? Wat vragen we ze? Ik zie zeker volwassenheid en processen. Helaas zijn de vragen soms alleen voor het proces: ik heb dit nodig, dat nodig. Maar lezen ze echt wat ik aanlever? Ik kan van twee zinnen vijftien beleidsregels maken en die naar de klant sturen, en de klant gebruikt ChatGPT om die vijftien regels weer terug te brengen naar twee zinnen.

Dus ja, we hebben een beleid, maar letten we echt op? Lezen we wat er staat? Valideren we het? Als er staat dat we een aparte ontwikkel- en productieomgeving moeten hebben, controleren we dat dan? Begrijpen we het? Het is moeilijk, begrijp me niet verkeerd. Zeker als een open source library binnen twee maanden verandert, moet je ze dan weer controleren of heb je software bill of materials management software nodig die continu analyseert? Het is een lange weg te gaan.

Alexandre Blanc (07:51.524)
Je noemt twee punten. Ten eerste: top-down support binnen de organisatie is cruciaal. Anders heeft het, net als veel regelgeving, geen tanden. Ten tweede: change management. Vaak wordt er een strategisch besluit genomen, maar het moet gevolgd en onderhouden worden. Dat gebeurt niet altijd. Het programma is afgestemd op de bedrijfsstrategie, maar na verloop van tijd ontstaat er een kloof tussen het programma en de dagelijkse praktijk. Zonder stakeholders en top-down support wordt het steeds minder effectief en uiteindelijk zelfs irrelevant.

Patrick Spencer (08:30.434)
Denk je dat regelgeving, zoals SOC 2 of ISO, organisaties helpt om risico’s in de software supply chain te verkleinen? Worden organisaties zonder deze certificeringen automatisch uitgesloten? Wat is jullie visie?

Alexandre Blanc (09:00.624)
Het helpt zeker, maar het is niet allesbepalend. In de community wordt het vaak gezien als checkbox security, wat niet goed is. Je vult een formulier in: heb je een back-up? Ja, we hebben het. Maar de vraag is: wordt het goed gedaan, zoals de regelgeving en de geest ervan bedoeld is? Dat kun je niet altijd meten. In het ISO-raamwerk is het heel duidelijk dat het gedocumenteerd, onderhouden en herzien moet worden. Dus als het goed wordt gedaan, helpt het organisaties om de juiste beveiligingsstatus te behouden. Maar je moet niet blind zijn voor zaken buiten scope of dingen die je weet dat in de organisatie gebeuren.

Het doel moet niet zijn om regelgeving te ontwijken, maar om een algehele beveiliging te realiseren en dit als kans te zien om processen te verbeteren. Security en privacy by default en by design moeten het doel zijn. Als we bij elke stap in change management privacy- en securitychecks doen, behouden we een betere status en is compliance makkelijker te behalen.

Evgeniy Kharam (10:30.573)
Denk eraan: compliance is een leidraad. Zoals Alexandre zegt: compliant zijn betekent niet dat je veilig bent. Je kunt altijd je antwoord fabriceren. En eerlijk, als je iemand betaalt, willen ze dat je slaagt. Dus ontstaat er een spel: de compliancepartij wil je laten slagen om volgend jaar weer zaken te doen. Er zijn helaas verhalen over vreemde SOC 2-compliance door bedrijven die dat eigenlijk niet mogen doen. Maar het framework geeft je wel richting. Als engineer heb je geen tijd, waarom zou je productie en pre-productie scheiden? Het is sneller om alles in productie te doen, maar dat is niet de juiste manier. Het framework dwingt je tot het juiste. Maar als je geen securityprogramma hebt dat zich op het programma richt, maakt compliance niet uit. Je vindt altijd een manier om compliant te zijn, maar dat betekent niet dat je veilig bent.

Patrick Spencer (12:07.022)
Zijn er blinde vlekken bij het beoordelen van een oplossing vanuit SOC 2 of ISO? Waar moet je op letten om geen risico’s te missen?

Alexandre Blanc (12:22.042)
Ga je gang, Evgeniy.

Evgeniy Kharam (12:24.013)
Er zijn er zeker veel. Vergeet niet dat ISO meer over procedures gaat. SOC 2 gaat meer over waar je jezelf aan toetst. Een voorbeeld dat me stoort in SOC 2: niemand geeft om e-mailbeveiliging in SOC 2. Zelfs de security control vraagt of je een antivirus hebt, of je multi-factor authentication hebt, maar niets over e-mailbeveiliging. Er is iets over gegevensbescherming, maar dat is ook erg vaag. Dus ja, er zijn meer blinde vlekken. En eerlijk gezegd, als je kijkt naar security controls, doen NIST en CIS het beter qua controls voor bedrijven.

Alexandre Blanc (13:11.184)
Daar ben ik het mee eens. Maar het gaat ook om de reden waarom een organisatie een framework implementeert. Soms is het alleen omdat een partner het vereist voor een contract, dan worden er shortcuts genomen. Als het doel is om vertrouwen op te bouwen en beter te worden in security, dan wordt het werk beter gedaan.

Patrick Spencer (13:11.657)
Interessant.

Alexandre Blanc (13:40.23)
Dat is interessant, want vaak heeft wetgeving geen tanden. Als het doel is om aan de vereiste te voldoen, worden er shortcuts genomen. Als het doel is om een cultuur te ontwikkelen en vertrouwen te creëren, wordt het meestal beter gedaan en is het een kans om te verbeteren. Ik ben bang dat we veel problemen gaan zien voordat het besef doordringt dat het goed doen de juiste weg is.

Evgeniy Kharam (14:15.669)
Ik wil nog iets toevoegen. Als ik met mensen praat over cybersecurity voor bedrijven, verdeel ik het altijd: wat proberen we nu te beschermen? In de bedrijfsomgeving heb je corporate security: e-mail, endpoint, firewall, SASE, gegevensbescherming. Maar je hebt ook product security, wat naar de klant gaat. Dat zijn niet altijd dezelfde controls. Dus bij compliance is het belangrijk: wat wordt beschermd en valt onder compliance? Alleen het product of het hele bedrijf? Want als we geen zero trust volgen, kan iemand van marketing een infectie krijgen die uiteindelijk tot een kwetsbaarheid in het product leidt.

Patrick Spencer (15:21.781)
Goed punt. We moeten meer dan één voorspelling behandelen in deze podcast. We hadden het vooraf over CMMC en alle verwachtingen nu het definitief is. Er zijn nog 60 dagen, de klok tikt. Wat voor impact heeft dat specifiek voor de defensie-industrie? Er zijn meer dan 100.000 aannemers, van klein tot groot. Grote organisaties kunnen alle controls in 2.0 level two aan, maar voor de kleinere is het een uitdaging. Wat hoor je bij je klanten? Alexandre, misschien begin jij, dan Evgeniy.

Alexandre Blanc (16:13.156)
Ja, bij het kleinere segment in Canada zie ik dat sommige leveranciers zich moesten haasten om aan de vorige versie te voldoen met self-assessment, enzovoort. Soms werden er shortcuts genomen en nu is het tijd om het goed te doen. Voor wie echt de controls heeft geïmplementeerd, is het gat tussen de vereisten kleiner. Maar voor wie het alleen deed om te slagen, is het gat groter. Ik verwacht grote veranderingen bij deze organisaties, want ze hebben geen keus. Waar processen eerst werden gedoogd, is dat nu niet meer voldoende. Ze zullen hun manier van werken moeten herzien. Teams die werken aan CMMC-materiaal zullen waarschijnlijk overstappen op compliant platforms. Wat eerder een lapmiddel was, wordt uit de vergelijking gehaald. Dat is mijn visie. Evgeniy, jouw kijk?

Evgeniy Kharam (17:29.995)
Allereerst zullen er veel nieuwe bedrijven opstaan die je helpen om CMMC versie twee te halen. Dus als je luistert: wees voorzichtig met bedrijven die je dit “magisch” laten halen. Kijk naar hun third party compliance, hoelang ze bestaan, wat ze eerder deden. Vertrouw niet zomaar iemand die belooft het voor je te regelen. Ten tweede: reserveer budget om compliant te worden, want je weet nu nog niet hoeveel het kost. Zoals Alexandre zei, is er een self-assessment die je zeker moet doen. Kun je dat nu niet zelf, ga dan naar je lokale IT, MSSP, mensen die je helpen. Kunnen zij je niet helpen, zoek dan iemand die dat wel kan. Het ergste wat je kunt doen is het invullen zonder je omgeving te begrijpen. Gebruik het als kans om je omgeving te beoordelen. Je ontdekt misschien iets waarvan je niet wist dat het bestond: een printer, CNC-machine of firewall met managementpoort op internet. Er zijn veel veranderingen. Er is ook afstemming op NIST, en dat is goed, want nu gaan NIST en CMMC dezelfde kant op. Je kunt CIS op NIST mappen, soms zelfs SOC 2 op NIST, dus het pad naar CMMC wordt korter. Begin hier dus mee. Wacht niet tot het laatste moment. Er moeten beleidstukken worden opgesteld en aangepast. Begrijp wie toegang heeft tot wat. Het zijn goede ideeën voor zelfreflectie als bedrijf.

Patrick Spencer (19:43.982)
Ik weet dat jullie hetzelfde rapport hebben gezien: bij self-assessment denkt 80-90% van de organisaties dat ze slagen, maar in werkelijkheid slaagt slechts 15-20% als alle controls worden getoetst. Dus jouw advies, Evgeniy, om nu te beginnen is echt goed. Alexandre, nog aanvullingen?

Alexandre Blanc (20:15.194)
Zeker. Ze gaan zich realiseren hoeveel impact het heeft om het gat te overbruggen en wat dat betekent voor de bedrijfsprocessen. Om compliant te worden, moeten workflows, documentatie en operationele modus worden aangepast. Dus hoe eerder, hoe beter.

Patrick Spencer (20:39.286)
Helemaal mee eens. We kunnen het de hele dag over regelgeving en compliance hebben, dat zijn tien podcasts op zich. Maar hier nog een onderwerp dat tien podcasts waard is: AI. We kunnen AI bespreken als risico, waarbij cybercriminelen AI inzetten om aanvallen complexer en sneller te maken. Of hoe cybersecuritybedrijven AI gebruiken om hun producten veiliger te maken en aanvallen sneller te detecteren en risico’s te beperken. Ik wil ons gesprek richten op gevoelige data: organisaties springen massaal in het diepe en ontdekken dat medewerkers gevoelige data blootstellen in publieke LLM’s. Zie je dat als risico? Bespreken je klanten dat, of ontdekken ze het pas achteraf?

Alexandre Blanc (21:50.0)
Ik kan wel beginnen. Het is net als bring your own device. Vaak stappen medewerkers in op tools die niet zijn gevalideerd of beoordeeld in het third party risk assessment. In streng gereguleerde sectoren krijgen ze training en weten ze dat het niet mag, maar in de meeste organisaties is het zo makkelijk, bijvoorbeeld bij het schrijven van een brief, enzovoort.

Patrick Spencer (21:52.376)
Zeker.

Alexandre Blanc (22:16.73)
Ze gebruiken soms geclassificeerde of vertrouwelijke informatie en voeren die in op het platform zonder te beseffen dat het naar buiten gaat. Ze denken dat ze gewoon een applicatie gebruiken, maar het is niet hun eigen tool. Het komt dus neer op DLP, data leak prevention. Als er geen technische of administratieve controles of beleid zijn, verspreidt deze informatie zich. Big Tech is gretig om meer data te verzamelen en te leren. We hebben verhalen gezien over prompt injection, waarbij data van andere gebruikers wordt opgehaald. Het draait niet om het beveiligen van AI zelf, maar om weten wat je blootstelt. Gebruikers vergroten het aanvalsoppervlak en overtreden governance. Daarmee ondermijn je compliance en governance, want de informatie verdwijnt uit zicht en management of compliance kan niet meer achterhalen wat er is gebeurd, tenzij je het vooraf hebt afgedekt. Evgeniy?

Evgeniy Kharam (23:28.717)
Het is zeker een probleem, maar ik wil het breder trekken. Het gaat niet alleen om LLM’s. Dit probleem bestaat al lang, maar nu op grotere schaal. Mensen zetten dingen op Facebook, YouTube. We hebben geëxperimenteerd met DLP, URL-filtering, SSL-decryptie. Er zijn manieren om het te omzeilen. Er zijn verschillende niveaus: je moet bewustzijn creëren, mensen niet alleen controleren maar uitleggen waarom het fout is. Als ik ChatGPT blokkeer, kan Alexandre morgen een eigen LLM maken, of Patrick. Amazon heeft er nu ook een. Dus het gaat om bewustwording: leg uit waarom het een slecht idee is. Stel beleid op, laat mensen tekenen waarom het niet mag, zodat je bij fouten kunt uitleggen dat ze mogelijk hun baan verliezen. Herinner mensen er regelmatig aan. Vroeger kreeg je bij het openen van de browser een waarschuwing: “Wees voorzichtig met wat je doet.” Er zijn security browsers die veel kunnen. Dus blokkeren is goed, maar bewustwording is minstens zo belangrijk. Je kunt niet alle gaten dichten. Besteed tijd aan het informeren van mensen waarom het riskant is. Als ze een LLM nodig hebben, laat third party risk het beoordelen en geef ze een veilige LLM voor intern gebruik.

Evgeniy Kharam (25:53.153)
Ga naar het management, laat third party risk het beoordelen, zorg dat het goed zit en gebruik een veilige LLM binnen het bedrijf.

Alexandre Blanc (26:07.43)
Ik wil toevoegen dat sommige organisaties ervoor kiezen om LLM’s intern te implementeren met lokale workloads. Dat lost het third party risk van data naar externe partijen op, maar niet het governance-probleem binnen de organisatie. Als engineering- of onderzoeksdata bij marketing terechtkomt, wat niet mag, heb je hetzelfde probleem. Soms lost het dit niet op, ook al ben ik geen cloud-fan. Maar als je het intern uitrolt, moet het ook goed gebeuren. In de AI-wereld, of het nu generatief of LLM is, moet de datastroom helder zijn voordat je iets in productie brengt. Dat kan veel inspanning vergen, zeker omdat technische oplossingen nog niet altijd beschikbaar zijn.

Patrick Spencer (26:07.47)
Ja.

Alexandre Blanc (26:34.884)
Dus als je het intern uitrolt, moet het goed gebeuren. In de AI-wereld, of het nu generatief of LLM is, moet de datastroom helder zijn voordat je iets in productie brengt. Dat kan veel inspanning vergen, zeker omdat technische oplossingen nog niet altijd beschikbaar zijn.

Patrick Spencer (26:59.118)
Dat is een mooi bruggetje naar nog een voorspelling. Iedereen zal het rapport zelf moeten lezen voor de rest. Maar nog één punt: gegevensclassificatie. Je hebt overal ongestructureerde data en weet niet waar het staat of wat het is. Wat verwacht je dat organisaties in 2025 gaan doen om hiermee om te gaan?

Evgeniy Kharam (27:27.085)
Weet je, we klagen over AI, maar hier zou AI moeten uitblinken. En als dat niet zo is, mag het naar huis. AI is ervoor gemaakt om te begrijpen of iets een foto van mijn hond is of mijn T4 of belastingdocument. Ik wil geen tools van duizend dollar waarvoor ik moet uitleggen wat ze moeten zoeken. Ik wil een tool die slim data analyseert. Als ChatGPT een foto kan analyseren en vertellen waar je wel of niet mag parkeren, dan moeten deze tools data kunnen scannen over mijn cloud, apparaten, SharePoint, SaaS en een accuraat overzicht geven: “Evgeniy, deze data hoort niet in het bedrijf.” Dit is privédata, tag het en verwijder het. Ik hoef het niet eens te classificeren, het moet gewoon weg. En dan: classificeer de data. En dit is waar jullie, denk ik, uitblinken: niet alleen classificeren, maar ook versleutelen en beschermen. Want als ik een geweldige PowerPoint heb, moet die niet overal terechtkomen. Als iemand bij een grote MSSP werkt, is het frustrerend om een presentatie te maken en te zien dat sales die zomaar doorstuurt, en dat een concurrent maanden later dezelfde slides gebruikt.

Alexandre Blanc (29:21.838)
Dit laat ook een mooie evolutie van AI zien. Tot nu toe was het generiek, maar waar het echt uitblinkt is in gespecificeerde, goed afgebakende toepassingen. Gegevensclassificatie is daar één van. Omdat het model getraind en uitgerold kan worden, hoeft het niet veel externe data te verwerken. Nu zie je dat ChatGPT alles eet wat mensen invoeren om te leren. Maar met een afgebakende toepassing kun je veel voordeel halen zonder het risico te vergroten. Hetzelfde geldt voor het scannen van röntgenfoto’s op kanker: het doet dat uitstekend zonder alle data te hoeven minen. Dus in de toekomst zie ik dat AI in bedrijfsleven gericht wordt ingezet. Dat maakt governance en security makkelijker, want je weet wat het moet doen en kunt het beperken tot dat doel. Dat is de evolutie: dedicated AI-toepassingen die het leven van veel mensen en compliance/security makkelijker maken.

Patrick Spencer (30:41.462)
Helemaal mee eens. Classificeren, volgen, controleren, beveiligen. Dat is de opdracht van vandaag. Helaas zijn we door de tijd heen. Er zijn nog veel meer voorspellingen in het rapport. Ik raad iedereen aan een exemplaar te downloaden via kiteworks.com/forecast/report. Makkelijk te onthouden. Check het op onze website. Alexandre…

Alexandre Blanc (30:50.63)
Ja.

Patrick Spencer (31:09.996)
Voor wie contact met je wil opnemen, is LinkedIn een goed startpunt. Andere suggesties?

Alexandre Blanc (31:18.566)
LinkedIn is prima, neem gerust contact op. Ik denk graag mee over een breed spectrum aan technologie. Soms weet je niet waar je strategie heen gaat. Ik verkoop geen producten, ik bied analyses en kan je begeleiden. Dat is wat ik doe, advisering. Dus LinkedIn is de plek om me te bereiken.

Patrick Spencer (31:42.424)
Mooi. Evgeniy, mensen moeten je boek oppakken. Ze kunnen je vinden op LinkedIn, nog andere suggesties?

Evgeniy Kharam (31:52.653)
LinkedIn, softskillstack.ca is de website. Ik ben veel op LinkedIn. Altijd bereid om te helpen als je vragen hebt over cybersecurity. Kleine promotie: we hebben net een korte training gemaakt voor mensen die sollicitatiegesprekken willen oefenen: hoe je soft skills gebruikt, hoe je op camera bent, hoe je ontspannen een gesprek voert zonder stopwoorden. Ik geloof dat vooral de jongere generatie hier behoefte aan heeft. We willen mensen helpen aan een baan.

Patrick Spencer (32:26.114)
Mooi. En de snowboardconferentie is over een paar maanden.

Evgeniy Kharam (32:29.513)
Ja, 27 februari. Iedereen is welkom.

Patrick Spencer (32:35.677)
Bedankt voor jullie tijd en inzichten. Voor luisteraars: ga naar kiteworks.com/Kitecast voor andere afleveringen. Fijne feestdagen!

Alexandre Blanc (32:48.752)
Dank je, jij ook!

Evgeniy Kharam (32:50.103)
Dank je wel.