Leren denken als een hacker

'Hacker stal miljoen rekeningnummers'. 'Zeeuwse gemalen makkelijk te hacken'. Het zijn zomaar een paar krantenkoppen die aangeven dat er nog weinig bewustzijn is over het gevaar van hacken.

"Als je weet hoe het moet, is hacken relatief eenvoudig", zegt Martijn Knuiman, Manager Security & Privacy bij Deloitte. "Bedrijven realiseren zich vaak niet hoe makkelijk het eigenlijk is om in een systeem in te breken, doordat ze weinig inzicht hebben in de mogelijkheden die hackers hebben."

Hacken is het doorbreken van de beveiliging van een applicatie of infrastructuur en vormt een groot risico voor bedrijven. Denk alleen al aan de reputatieschade die een bedrijf direct oploopt als gegevens op straat komen te liggen.

Om dit te voorkomen, is het zaak de IT-omgeving optimaal te beveiligen. Daarvoor is niet alleen kennis nodig van de IT-infrastructuren en informatiebeveiliging, maar ook een primair bewustzijn van de gevaren van hacken.

Ethical hacking

Knuiman zelf weet zijn weg te vinden in de op het oog ondoorgrondelijk wegen van de hacker, aangezien hij een ethical hacker is. Ethical hacking is een manier van hacken die wordt gebruikt om de kwaliteit van beveiligingsmaatregelen bij een organisatie te testen in opdracht van de organisatie zelf.

De manager Security & Privacy is ook een van de mannen achter het HackLAB, een vijfdaagse cursus in de praktijk van het hacken, waarbij cursisten meer inzicht krijgen in de manier waarop hackers opereren en welke tools ze daarbij inzetten. Cursisten leren, kortom, hun vijand kennen.

Speeltuin

Een belangrijk onderdeel van deze cursus is de praktijkles, waarbij de deelnemer zelf leert hacken in een demo-omgeving. Volgens Knuiman is dit de enige manier om het hacken echt te doorgronden. "Je moet het zien als een soort speeltuin, waarin de cursisten zelf ervaren hoe creatief hackers eigenlijk zijn."

Natuurlijk, benadrukt de ethical hacker, word je in vijf dagen niet zelf een hacker: "Maar dat is ook niet het doel. We willen cursisten leren om in te schatten hoe veilig hun eigen systemen zijn."

Topje van de ijsberg

Databeveiliging heeft volgens Knuiman bij de meeste bedrijven nog te weinig prioriteit. De berichten die we in de media over hacken lezen, zijn nog maar het topje van de ijsberg. "Sterker: doordat er te weinig kennis is over hacken, wordt een hack pas laat opgemerkt. En soms liggen de gegevens dan al op straat".

Daarnaast zijn bedrijven niet altijd even transparant, zegt Knuiman. "Als ze een lek vinden, lossen ze dat op zonder er verder met de buitenwereld over te communiceren."

Bewustwording

HackLAB is eigenlijk begonnen als een interne training bij Deloitte, maar de behoefte van klanten om meer kennis te vergaren over hacken wordt steeds groter en dat ervaart Knuiman als iets positiefs: "Het incident bij DigiNotar en Lektober van Webwereld heeft het bewustwordingsproces versneld in Nederland. De Nederlandse bedrijven willen niet het volgende doelwit zijn."

Dit geldt volgens Knuiman overigens niet alleen voor grote organisaties: "MKB-bedrijven zullen snel denken dat de informatie die zij in huis hebben niet belangrijk genoeg is voor derden. Maar dat hoeft helemaal niet het geval te zijn. Je moet altijd kijken naar je eigen risicoprofiel. Het is een misvatting om te denken mij slaan ze wel over. "

Informatie over Martijn Knuiman vind je op LinkedIn.