Ondergewaardeerde cyber security helden

Edwin van Andel over waarom we hackers moeten omarmen.

Sinds mei 2017 is hij de nieuwe CEO van Zerocopter. Nieuwsgierigheid bracht hem op twaalfjarige leeftijd al naar de bibliotheek om boeken te lenen over programmeren. Een computerspelletje dat hij speelde op de PC van zijn vader liep soms vast. Hij leerde hoe hij kon sleutelen in het fabrieksmenu. Diezelfde nieuwsgierigheid blijkt later een onderscheidende karaktereigenschap te zijn geweest; cruciaal voor zijn succes binnen de hacking community. Helaas worden hackers vandaag de dag nog altijd vaak weggezet als criminelen. Jammer, vindt Edwin. In zijn woonplaats Dedemsvaart deelt hij zijn persoonlijke missie en legt hij uit waarom de opvattingen over hackers in veel gevallen onjuist zijn.

Hacking events

‘Ik was vrij jong toen ik de eerste hacking events bezocht in Nederland. Eigenlijk was ik van meet af aan gefascineerd door deze andere wereld. Al snel bezocht ik ook hacking events in het buitenland. Daar heb ik zo veel briljante mensen mogen ontmoeten. Vaak speelde ik met de gedachte dat de krachten van al die specialisten eigenlijk gebundeld zouden moeten worden. Zet die mensen samen in een kamer. Rij er vervolgens maar een auto, wasmachine of een website naar binnen. Je krijgt hem gegarandeerd stuk terug! Natuurlijk is de drijfveer altijd aantonen dat er iets mis is met de beveiliging. Om zo die producten veiliger te maken. Dat is wat ik wilde doen en –weliswaar jaren later– doe bij Zerocopter.’

Hoe ben je daar terecht gekomen?

Ik ben mijn carrière begonnen bij een grote IT distributeur. Vervolgens startte ik mijn eigen bedrijf samen met een partner. Wij boden security oplossingen aan in Noord Nederland. Van firewalls en anti-spam oplossingen tot penetratietesten. Dat ging goed, maar de ambitie om te groeien hadden we niet. Ik gaf wel eens presentaties over hacken en op een van die events ben ik Erik Rutkens tegen gekomen; de eigenaar van ITsec en Insite Security. Hij vertelde me dat hij met een aantal jongens bezig was een platform op te richten waarbij ethische hackers zijn aangesloten. Tegen betaling zouden ze bedrijven gaan helpen om hun sites en systemen te beveiligen. Ik was daar gelijk heel enthousiast over.’

Cyber security toegankelijk maken voor iedereen

‘Onze visie was om voor de hele wereld cyber security zo makkelijk mogelijk te maken, tegen lage tarieven. Opvallend genoeg bleken er alleen maar hele grote organisaties gebruik te willen maken van onze diensten. Eind vorig jaar hebben we daarom ons platform een beetje omgegooid, om onze bestaande klanten beter te kunnen bedienen’.

Wat doen jullie dan precies?

‘Wij testen de online weerbaarheid van bedrijven en slaan een brug tussen bestaande soorten van online beveiliging. Wereldwijd zijn we nu het merk aan het neerzetten. Security laagdrempeliger maken is ons doel. We zagen dat heel veel bedrijven wel 1 keer per jaar een penetration test doen, maar daarmee is je organisatie de rest van het jaar nog niet veilig. Vaak weet je als klant niet hoe goed een pentest gedaan is. Misschien werkt iemand wel een lijstje af terwijl diegene niet begrijpt wat hij of zij aan het doen is. Zelfs al laat je een hele goede pentestdoen, je mist toch veel ogen. En je mist de rest van het jaar security’.

Hackers hebben een hele andere kijk op de wereld

‘Het alternatief dat wij bieden is een bug bounty programma. Daarbij nodigen bedrijven een selecte groep van de bij ons aangesloten ethische hackers uit, om de beveiliging te testen. Hierbij dringt een hacker een systeem niet verder binnen dan noodzakelijk. Als een dergelijke hack slaagt, krijgt de hacker een vergoeding. Het is een no cure no pay oplossing. Onze klanten zetten een budget in en op het moment dat het budget op is, dan stopt het gewoon. Hackers die aan ons verbonden zijn, hebben een hele andere kijk op de wereld want hun incentive is simpel. Als ze geen kwetsbaarheden vinden, krijgen ze geen geld; de zogeheten bounty. Zo werkt het’.

Zijn daar geen risico’s aan verbonden?

‘Niemand in Nederland deed hier iets mee, omdat bedrijven het in de regel toch eng blijken te vinden. Wij willen daarom die brug slaan en nemen klanten bij de hand om ze dit managed te kunnen laten doen. Elke bug die binnenkomt kijken we ook zelf nog eens na. We dragen wel oplossingen aan, maar we fixen zelf niets. Voor de hackers zelf hoeven organisaties echt niet bang te zijn. Ons platform is gesloten. Als hackers echt goed zijn, krijgen ze een uitnodiging van ons. Iedere hacker die bij ons aan de slag gaat, wordt eerst gescreend. Het is wat exclusiever en dat maakt het blijkbaar interessant. Op dit moment hebben we 3000 hackers op de wachtlijst staan, terwijl we er maar 200 actief hebben. Hackers willen graag bovenaan in de bounty rankings staan. Het is een sport aan het worden.’

Wij hebben nooit skimaskers op als we zitten te hacken

‘Wat zo jammer is, is dat het beeld van hackers nog steeds negatief is. In het nieuws lees je nooit dat hackers hebben geholpen om iets te fixen. Je leest alleen over organisaties die zijn gehackt met de bijbehorende ellende. Veel hackers zijn juist echte idealisten die alleen maar willen dat het internet veiliger wordt. Hackers willen helpen! Dat proberen wij continu voor het voetlicht te brengen. De algemene tendens is nog altijd drama. Google maar eens op hackers. Je krijgt alleen maar gasten met skimaskers op te zien. Geloof mij, die hebben wij nooit op. Met zo’n masker krijg je je pizza niet eens naar binnen.’

Wanneer wordt hacken onethisch?

‘Laten we vooropstellen dat er ook criminele hackers actief zijn. Wat ik vooral zorgelijk vind, is jongens en meisjes van een jaar of 14 die graag willen hacken, maar de gevolgen van hun handelen niet in kunnen schatten. Bovendien weten ze niet precies hoe ze moeten hacken.  Zij zijn zich niet bewust van hun grenzen en weten niet wanneer te stoppen. Als je ze hard straft krijgen ze een strafblad, waardoor ze niet meer bij de overheid kunnen werken. Met de juiste begeleiding zouden zij juist het internet veiliger kunnen maken, in plaats van dat ze misschien de criminele weg inslaan’.

Niet alle hackers zijn crimineel

‘Gelukkig zijn er ook hele positieve ontwikkelingen waar we over kunnen praten. Op het gebied van responsible disclosure loopt Nederland bijvoorbeeld heel erg voor. Dat is een systeem waarin een hacker een lek bij een bedrijf kan opsporen en melden, zonder dat de hacker hiervoor wordt aangeklaagd. Dat is nog uniek en dit proberen wij ook over te brengen in het buitenland. Zo zien mensen ook dat niet alle hackers crimineel zijn. Het beeld verandert gestaag, nu bedrijven en consumenten steeds meer waarde gaan hechten aan een veiliger internet.’

Time-to-market is killing voor security

‘De reputatie van hackers moet gezuiverd worden. Hackers zijn namelijk hard nodig om producten veiliger te krijgen. Door bijvoorbeeld de komst van IoT worden in rap tempo heel veel nieuwe technieken bedacht door academici. Zij denken helaas vaak in eerste instantie niet goed na over beveiliging. Als het product bijna goed is en getest is, wordt het gelanceerd. Want als je de eerste bent die een nieuw product lanceert, heb je concurrentievoordeel. Daar mist een stuk beveiliging. Hackers kunnen hierbij helpen. Wij geven ze de mogelijkheid om geld te verdienen op een legale manier, zonder dat ze over hun schouders hoeven te kijken. Ze hacken toch wel!

Dit artikel is geschreven door Diane Kwakman

Written by Zerocopter

March 30, 2018