In de afgelopen maanden hebben we onze community van hackers gesproken, en in onze blogserie “Meet the 1337!” elke maand een van de geniale geesten uit ons netwerk uitgelicht.

Tijdens die interviews vroegen we ook naar de uitdagingen die deze industrie volgens hen kent. Wat we ontdekten, is dat de problemen veel breder zijn dan je zou denken; het gaat niet alleen om het beschermen van systemen tegen criminelen. Deze uitdagingen gaan vaak verder dan technische hindernissen en raken sociale en emotionele aspecten die buiten de community zelden worden besproken. Iedereen loopt tegen iets anders aan, van mentale druk tot de manier waarop mensen op hen reageren als ze proberen te helpen.

Een van de meest voorkomende frustraties is hoe lastig het soms is om een kwetsbaarheid bij een organisatie te melden. Zelfs wanneer ze iets vinden dat een serieus risico vormt, kan het moeilijk zijn om de juiste contactpersoon te bereiken. Soms besteden hackers veel tijd aan het zoeken naar het juiste adres, om vervolgens onverschilligheid of zelfs vijandigheid tegen te komen.

Kasper: “Zo’n twintig jaar geleden werd poging tot responsible disclosure niet altijd gewaardeerd. In het beste geval kreeg je een informeel bedankje van een sysadmin, maar defensieve of zelfs vijandige reacties kwamen vaak voor.”

Hun werk is het vinden van kwetsbaarheden en die onder de aandacht brengen zodat ze verholpen kunnen worden. Helaas ziet niet iedereen dat zo, en worden ze soms gezien als onruststokers. Dat misverstand vormt een grote barrière in de cybersecuritywereld, waar samenwerking en vertrouwen cruciaal zijn. Daarom pleiten veel hackers in de community voor betere educatie en meer bewustwording, zowel binnen organisaties als in de maatschappij.

Alwin: “Wat lastig blijft, is contact krijgen met een organisatie om een kwetsbaarheid te melden. Een responsible disclosure en security.txt op de website zou ons enorm helpen.”

Om dit proces eenvoudiger te maken, pleiten veel hackers voor bredere adoptie van Coordinated Vulnerability Disclosure of het gebruik van een security.txt-bestand. Zo’n simpel bestand op een website geeft duidelijke contactgegevens en instructies voor het melden van beveiligingsproblemen. Dit zou hackers veel tijd en frustratie schelen, waardoor zij zich kunnen richten op waar ze goed in zijn: systemen veiliger maken.

Een andere uitdaging die vaak over het hoofd wordt gezien, is de impact op mentale gezondheid. Sommige hackers hebben een fulltime baan en doen CVD of Bug Bounty in hun vrije tijd. Zoals Hidde het zei:

“Mensen werken 8 uur per dag en lezen dan over gasten die Bug Bounties doen, dus denk je: dat ga ik ook doen. Voor je het weet zit je elk weekend te bountyhunten, maar zonder dat je doorhebt bouw je veel stress op omdat je niet ontspant. Als je merkt dat je gefrustreerd raakt of slecht slaapt, neem dan een stap terug. Ik heb dat ook gehad in mijn vorige baan, zoveel securitywerk. Het is echt overweldigend. Hackers hebben geen werktijden en gaan maar door.”

Andere hackers doen CVD of Bug Bounty fulltime, maar ook dan kost het vinden van kwetsbaarheden tijd en bestaat er geen 9-tot-5 ritme.

Het is belangrijk te onthouden dat securitywerk allesomvattend kan zijn, maar dat het net zo belangrijk is om buiten dat werk te leven. Een goede balans tussen werk en vrije tijd is essentieel om mentaal gezond te blijven in zo’n veeleisend vak.

Kortom, hackers krijgen te maken met uiteenlopende uitdagingen die veel verder gaan dan de techniek. Het aanpakken van deze problemen vraagt om gezamenlijke inzet: organisaties moeten beter samenwerken met de hackercommunity en een cultuur stimuleren waarin hun bijdrage wordt gewaardeerd. Zo kunnen hackers blijven doen waar ze het beste in zijn – en versterken we uiteindelijk de veiligheid van onze digitale wereld.