Omdat oktober Cybersecurity Awareness Month is, hebben we een speciale editie van Hoodies behind Zerocopter, met in de spotlight: Edwin van Andel, onze CTO!

Vertel ons iets over jezelf, wie is Edwin van Andel?

Een oude, chagrijnige hacker uit Nederland. Ik begon ergens rond 1984 met hacken en ben nooit meer gestopt. Ik woon in een afgelegen deel van Nederland om het hectische congresleven een beetje te compenseren.

Hoe zou je je functietitel in een paar woorden beschrijven?

Vooral leuk! Ik probeer het hackernetwerk te verbinden en gewaardeerd te laten worden door de mensen die hen nodig hebben, maar zich dat nog niet realiseren of nog steeds bang zijn voor het woord ‘hacker’. Terwijl dat voor ons juist een badge of honour is, en een geweldige community heeft voortgebracht.

Hoe ben je bij Zerocopter terechtgekomen? Wat was je rol en positie in het begin?

Ik werd gevraagd om bij Zerocopter te komen omdat ik veel op podia stond om uit te leggen dat hackers kunnen helpen, en dat Responsible Disclosure en Coordinated Vulnerability Disclosure (CVD) fantastische manieren zijn om je bedrijf veiliger te maken. In de eerste jaren bij Zerocopter deed ik dat vooral: spreken op conferenties én tools en workflows bouwen om klanten te helpen bij het opzetten van CVD-beleid, zo pijnloos mogelijk, voor bedrijven én voor hackers. Dat bleef ik doen toen ik werd gepromoveerd tot CEO, maar ik had minder tijd voor de leuke dingen. Later vonden we een briljante CEO en ging ik terug naar de technische kant, én ben ik het hackernetwerk nog actiever gaan promoten.

Welke bronnen zou je aanbevelen aan iemand (nieuw) in deze industrie?

Dat is lastig, want er zijn zóveel richtingen waarin je een uitstekende hacker kunt worden. Ik zou beginnen met een paar Python-boeken, zodat je leert hoe je je eigen tools bouwt. Luister naar Darknet Diaries voor toffe hackingverhalen, bezoek events in je regio om andere hackers te ontmoeten en ga naar kringloopwinkels om oude hardware te kopen en te leren hacken zonder veel geld uit te geven. Jilles Groenendijk heeft geweldige video’s over wat je nodig hebt en hoe je voor minder dan $20 aan de slag kunt.

Voor wie het niet weet: jij was actief betrokken bij het opstellen van de Nederlandse “Responsible Disclosure”-richtlijn. Kun je vertellen hoe dat is ontstaan?

Het probleem was dat je in de early days, als je iets vond bij een leverancier en dat wilde melden, het risico liep dat je werd beschuldigd van criminele activiteiten. Soms moest je verder gaan dan je wilde om te laten zien dat het echt mis zat. Er was dus geen bescherming voor mensen die probeerden de wereld beter te maken, vaak ging het immers om ónze eigen data.
Gelukkig zag de Nederlandse overheid dat ook, en samen met het NCSC ontwikkelden ze in 2013 de eerste Responsible Disclosure Guideline. Als een hacker een kwetsbaarheid meldde, niet naar de pers ging, niet te veel data downloadde, enzovoort. Kortom: zich hield aan een aantal ethische regels — dan kon diegene niet vervolgd worden. Een enorme winst.
In 2018 werd de richtlijn vernieuwd naar de  huidige CVD richtlijn en ja, mijn hoofd staat in het document.

Wat zou je zeggen is de grootste uitdaging binnen het domein van beveiliging tegenwoordig?

Laten we zeggen dat software steeds veiliger wordt dankzij Bug Bounties, pentests en CVD. Dan worden configuraties en interacties het volgende probleem. Want hoe veilig software ook is, het moet gekoppeld worden aan andere software — en die koppelingen gaan vaak mis en creëren nieuwe risico’s.
Daarnaast vormt de supply chain een groot probleem: de zwakste schakel bepaalt jouw veiligheid. En dan hebben we het nog niet eens over mensen..

Wat is jouw favoriete stereotype over de hackingindustrie en waarom?

Bedoel je de hoodie? Die in elk hackerplaatje? Het mooiste van het hackernetwerk is juist dat er geen stereotypes zijn. Niemand geeft om hoe je eruitziet, wat je draagt, welke kleur je huid heeft of wat je achtergrond is. Het gaat om je brein. Om je fascinatie voor puzzels. Je vermogen om afwijkende patronen te zien of te willen aantonen dat iets flawed is, welk apparaat of software dan ook. Of zelfs eten.

Wat is, vanuit jouw perspectief, de toekomst van cybersecurity?

Hackers gaan de wereld regeren. Dat staat vast. Laten we hopen dat de goede de leiding nemen.

Als je één advies zou kunnen geven over beveiliging, wat zou dat dan zijn?

Denk. Redeneer. Gebruik logica. En als je kinderen hebt: probeer ze niet af te schermen of tegen te houden. Leer ze ethisch denken. Wat ze dan ook gaan doen: ze doen het op de juiste manier.

We hopen dat je genoten hebt van deze speciale editie van onze blogserie en dat je Edwin weer een beetje beter hebt leren kennen!