“De mens blijft altijd de zwakste schakel”

Hans van de Looy over hacken en de uitdagingen van de menselijke kant van beveiliging.

hans van de looy

Hans richtte in 2000 samen met twee vrienden het bedrijf Madison Gurkha op. Zeventien jaar lang stond dit bedrijf aan de top van de Nederlandse IT-wereld. In 2017 besloot Hans de aandelen te verkopen. Na een half jaar sabbatical is hij nu weer aan het werk voor ITsec. Op zijn visitekaartje prijkt PGP-key information; alle informatie die je nodig hebt om versleuteld met Hans te communiceren. Zo wordt ervoor gezorgd dat alleen hij, als eigenaar van de geheime sleutel, het bericht kan lezen. Hans snapt zelf eigenlijk niet waarom bijvoorbeeld accountants of de belastingdienst niet altijd werken met versleutelde communicatie. We spraken hem over hacken, zijn huidige baan en de menselijke kant van beveiliging.

Wat is jouw huidige rol bij ITsec?

Ik heb een hele vrije rol maar wel twee duidelijke speerpunten. De eerste is onderwijs, zowel intern als extern. Ik ontwikkel op dit moment een interne OSCP-training en leer zo nieuwe talenten de onderliggende werking van verschillende tools in een lab omgeving, zodat ze zich initieel kunnen voorbereiden op het uiteindelijke (zware) examen. Ook mag ik het management ongevraagd advies geven waar ze vaak ook nog eens naar luisteren.

Het tweede ding waar ik me op dit moment mee bezighoudt, is het vinden van nieuwe talentvolle mensen, en dat is nog best wel lastig, want er is een enorme schaarste op dit moment.

Wat heeft een talentvolle hacker nodig volgens jou?

Wat je zoekt is iemand die echt de technische kant van het hacken begrijpt. Je moet de juiste mindset hebben, nieuwsgierig zijn, en doorzettingsvermogen hebben. Een goede hacker die vindt ergens een klein lek en gaat net zo lang door totdat hij/zij het systeem is binnen gekomen. Helaas moet ik concluderen dat de vijver waaruit we in Nederland kunnen vissen, op dit moment bijzonder klein is. Ik hoop dan ook dat we in de toekomst in Nederland eindelijk eens een keer voldoende aandacht gaan geven aan het belang van informatiebeveiliging. Mensen die nu van IT-opleidingen afkomen, moet ik nog steeds opleiden. Er zijn wel uitzonderingen, maar dat zijn de mensen die écht geïnteresseerd zijn, en zichzelf al veel aangeleerd hebben. De business-gerelateerde IT-opleidingen hebben security vaak helemaal niet in het curriculum, terwijl ze er sowieso mee te maken krijgen in hun werkveld.

Welke onderwerpen binnen de informatiebeveiliging vind jij onderbelicht?

Het besef dat informatiebeveiliging valt of staat met personen lijkt er nog steeds niet helemaal te zijn. Ik lees veel artikelen, en hoor veel mensen, over producten die je kunt kopen om veiliger te worden. Maar ik geloof niet dat techniek ooit iets écht veilig kan maken. Met techniek zorg je er alleen maar voor dat je fouten, hopelijk, sneller detecteert, of dat het resultaat minder grote impact heeft. Daarnaast kun je door techniek misbruik lastiger maken. Helemaal voorkomen is onmogelijk, want het blijft mensenwerk. De mens blijft altijd de zwakste schakel. Of dat nu is in het veilig houden van data, of bij het creëren van Artificial Intelligence, want ook daar zijn we in de IT-wereld natuurlijk al volop mee bezig.

Het menselijke aspect blijft gewoon heel erg belangrijk.

Maar bedrijven doen op dit moment toch al veel aan awareness om de menselijke fouten te minimaliseren?

Dat klopt, met de awareness-dagen zit het wel goed. Ieder bedrijf wil ervoor zorgen dat mensen binnen de organisatie zich heel erg bewust zijn van beveiliging. Bedrijven overspoelen hun werknemers met security awareness sessies waarin ze aangeven hoe eenvoudig het kan zijn om een systeem te hacken. Ze sturen voorbeelden van fishing mails rond, zodat werknemers daar niet in trappen. Maar daarmee kom je er niet.

Je zorgt er zo alleen maar voor dat de werknemers tijdelijk meer bewust zijn, en beseffen dat informatiebeveiliging belangrijk is. Maar na een paar maanden zakt die awareness weer in, want dan is iedereen weer bezig met de dagelijkse werkzaamheden.

Heb jij hiervoor de oplossing?

Mensen zijn gewoontedieren, en het is ook logisch dat de aandacht dus weer verminderd. We moeten erover nadenken hoe we mensen kunnen verleiden om voor een veel langere periode bezig te zijn met informatiebeveiliging. Hoe zorgen we ervoor dat databeveiliging een gewoonte wordt? Ik denk dat het bijvoorbeeld goed zou zijn om eens aan een psycholoog te vragen hoe je dit voor elkaar zou kunnen krijgen. Vanuit de security hebben we de trainingen en voorbeelden inmiddels wel ontwikkeld. Maar dit gaat om menselijk gedrag, daar weten security mensen niks vanaf. De uitdaging ligt volgens mij dus in de meer menselijke aspecten van beveiliging.

Denk jij dat daar nog een aantal grote schandalen voor nodig zijn, om dit duidelijk te maken?

Ik weet niet of ze ervoor nodig zijn. Maar ik weet zeker dat we ze niet zullen voorkomen. Ook niet met de nieuwe wetgeving die eraan komt. Het wordt daardoor wel allemaal een stuk openbaarder en transparanter. Je kunt een hack of een lek ook niet meer verbergen, want als het dan aan het licht komt, is de impact juist alleen maar groter. Bedrijven hebben databeveiliging eindelijk op de wekelijkse of maandelijkse agenda staan, en dat had natuurlijk veel eerder moeten gebeuren; maar blijkbaar is daar wetgeving voor nodig. Mensen in de top van het bedrijfsleven kunnen nu ook persoonlijk verantwoordelijk worden gesteld, en ze beseffen daardoor des te meer dat databescherming belangrijk is.

Maar ondanks dergelijke wetgeving voorspel ik toch dat persoonsgegevens van mensen nog steeds op straat komen te liggen door lekken van bijvoorbeeld ziekenhuizen of andere organisaties.

De hackers rusten niet?

Hackers zullen altijd op zoek blijven naar menselijke en technische fouten. Ik vind het jammer dat dit altijd zo negatief in het nieuws komt, want door die zoektochten kan er ook veel ellende voorkomen worden. En kwaad heb je op elk gebied. Messen zijn gemaakt om bijvoorbeeld voedsel te snijden, maar sommige mensen gebruiken ze om anderen te vermoorden. Zo is het ook met hacken. Veel hackers doen goede dingen, maar er zullen altijd mensen blijven die slechte bedoelingen hebben.

Dit artikel is geschreven door Diane Kwakman & Britt Willemsen 

Author: Diane Kwakman

Diane Kwakman is team manager bij Tergos; een specialistische recruitment organisatie uitsluitend gericht op IT Infrastructure & Cyber Security. Zij interviewt op regelmatige basis prominente CISO’s en Security Managers over hun visie op security. dkwakman@tergos.nl

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *