Dé scheidslijn tussen beveiliger en hacker is flinterdun, weten we sinds de trilogie van Stieg Larsson. Zijn heldin Lisbeth Salander laveert voortdurend tussen goed en kwaad. Ze werkt voor eigen belang, maar ook bij een beveiligingsfirma, helpt om maatschappelijke misstanden aan de kaak te stellen, maar profiteert net zo gemakkelijk van die informatie om haar eigen bankrekening te spekken.
In het echt werkt het ook zo. Beveiligers en cybercriminelen houden elkaar bezig in een voortdurende ratrace. Daar doen ze ook niet moeilijk over. Als hacker kun je gewoon op de payroll van een bedrijf staan en het is gissen wat die keurige security consultant in zijn vrije tijd uitvoert. Ze ontmoeten elkaar ook gewoon in het openbaar. Salander had nog het uiterlijk en het gedrag van een echte nerd, maar ook daar kun je niet meer van op aan. Let maar eens op als je een ‘ambtenaar’ ontmoet die werkt bij het Nationaal Cyber Security Centre.
Big business
Ondertussen gaat er in de cybersecurity en – crime veel geld om. Jaarlijks leidt de Nederlandse economie voor 1,6 miljard euro schade in de vorm van verlies van productiviteit en omzetderving door fouten in de digitale beveiliging. Zwakke plekken zijn applicaties en software. Reputatieschade en kosten voor beveiliging zijn in die berekening nog niet eens meegenomen. Het gaat om een veelvoud.
De ratrace werkt eenvoudig. Hackers zijn erop uit applicaties iets te laten doen wat het systeem niet wil. Daardoor kan bijvoorbeeld de software crashen. Op die manier kunnen ze het eenvoudigst inbreken. De ‘andere kant’ wil dit uiteraard voorkomen en tuigt de beveiliging op met firewalls, wachtwoorden, antivirusprogramma’s en wat al niet meer.
'Dingen van het Internet of Things worden nog niet los beveiligd'
Een geslaagde aanval zorgt namelijk voor veel schade. Daar kunnen internationale financiële instellingen als HSBC, Credit Suisse en UBS over meepraten. Ze gingen onlangs voor miljoenen euro’s het schip in, omdat cybercriminelen in hun systemen konden komen. Cybercrime is big business. Bedrijven kunnen zich dit soort fouten niet permitteren, omdat steeds meer bedrijfswaarde in de software en de cloud zit.
Beste sollicitatie
Hoe kun je deze wetenschap nu als aankomend professional verzilveren? Je zou een ‘neus’ kunnen ontwikkelen voor onveilige software. Ik zeg bewust neus, want je kunt het verschil tussen veilig en onveilig niet zien. Het is best mogelijk dat je op dit moment al onveilige software gebruikt. Totdat het misgaat, is er niks aan de hand.
De beste sollicitatie is natuurlijk even ‘inbreken’ in het systeem van de werkgever die je op het oog hebt. Als je tenminste voor die kant kiest en niet voor het criminele pad.
Hackers weten een aantal zaken zeker, zo is mij gebleken uit gesprekken. Software is vaak in té grote haast gemaakt, de ontwikkelkosten worden laag gehouden, omdat budgeten niet overschreden mogen worden en lang niet alle programmeurs zijn goed opgeleid of gescreend. Bovendien is er niet altijd toezicht op de omgeving van gebruikers. Zie hier je pitch.
Vertrouwen en dromen
Wat heb je verder nog nodig? Vertrouwen en dromen. Volgens onderzoeksbureau Gartner is er voorlopig nog werk genoeg te doen, want door de opkomst van het Internet of Things komen er alleen maar meer data beschikbaar, die ook weer beveiligd moeten worden. De beveiliging van het totale netwerk is nog lang niet optimaal, omdat de ‘dingen’ van het Internet of Things gewone apparaten zijn die op dit moment nog niet los worden beveiligd.
Larsson’s geesteskind Lisbeth Salander werd uiteindelijk financieel onafhankelijk.