foto Wouter Doderer

“Ik kom het beste tot mijn recht in een informele organisatie”

Als ethical hacker is hij continu op zoek naar de mazen in netwerken en systemen en probeert hij cybercrime een halt toe te roepen. Maar wat doet een ethical hacker nu precies en hoe word je dat? Een gesprek met Wouter Doderer (26), consultant cybersecurity/ethical hacker bij Ordina.

Wat is cybersecurity?

“Cybersecurity is een heel breed begrip, maar wat we in feite als Ordina doen is onze klanten weerbaar maken tegen aanvallen op hun IT-infrastructuur. Dus voorkomen dat aanvallers kunnen binnenkomen. En als een aanval daadwerkelijk plaatsvindt dat de klant ook weet hoe hij moet reageren, zodat de schade beperkt blijft en de systemen weer snel up-and-running zijn. Daarbij hanteren we een integrale aanpak, waarin techniek, organisatorische vraagstukken en menselijke aspecten zijn meegenomen. Als je een van die drie niet meeneemt in je aanpak, heeft het eigenlijk geen zin. Je kan technisch alles op orde hebben, maar als medewerkers op iedere phishingmail blijven klikken, ben je terug bij af. Je moet dus investeren in alle drie de aspecten om je security op orde te krijgen.”

Wat doet een ethical hacker?

“Ik hou me vooral bezig met de techniek achter cybersecurity. Van het scripten van tools tot het configureren en testen van de beveiliging van netwerken en servers. We worden vaak gevraagd door klanten om hun IT-omgevingen te testen om aan te tonen of deze veilig zijn. Dat doen we met behulp van zogeheten pentesten met als doel om zo ver mogelijk binnen te dringen. Zijn we binnen, dan brengen we de kwetsbaarheden en risico’s in kaart. Vervolgens geven we advies hoe de klant kan voorkomen dat aanvallers binnenkomen. Nee, niet alles is tegen te houden. Honderd procent veiligheid bestaat niet. Maar het scheelt al heel veel als de klant zijn omgeving op orde heeft en kan zien dat iemand inbreekt in zijn systeem en de aanvaller kan stoppen.”

Hoe ben je ethical hacker geworden?

“Heel cliché, maar ik had van jongs af aan al interesse in IT. Het begon toen mijn vader een thuiscomputer kreeg. Vanachter een Tulip-pc’tje met inbelverbinding kon ik het internet op. Toen ik op middelbare school zat, kreeg je dingen als active boards en centrale cijfersystemen. Samen met anderen zocht ik uit hoe die dingen werkten en wat je ermee kon doen en vooral hoe je ze kon gebruiken op een manier waarvoor ze juist niet bedoeld waren. Dat heeft me in het begin flink wat strafwerk gekost, maar de school zag gelukkig ook het voordeel in van mijn activiteiten, zodat ik de opdracht kreeg om hun systemen veiliger te maken. Na de middelbare school heb ik een hbo-opleiding Information Security Management gevolgd, waarbij ik veel praktijkopdrachten moest doen. Daardoor kreeg ik bij uiteenlopende organisaties een kijkje in de keuken.”

Hoe lang werk je bij Ordina en hoe zie jij security binnen Ordina?

“Ik zit nu vijf jaar bij Ordina. Belangrijkste verandering is dat Security & privacy echt een businessvraagstuk is geworden. Voorheen waren we als security-unit een wat vreemde eend in de bijt. Nu zie je veel meer samenwerking over de business units heen en je merkt ook dat de klant Ordina serieus herkent als security-partij. Dat geeft ons de ruimte om naast detachering ook projecten te doen, waardoor we in onze dienstverlening naar de klant nog meer toegevoegde waarde kunnen leveren.”

Waarom heb je voor Ordina gekozen?

“Tijdens mijn afstudeeropdracht heb ik bij een groot accountantskantoor gewerkt en dat was wel een eye-opener voor me, met name qua cultuur en werkmentaliteit. Ik kom klaarblijkelijk het beste tot mijn recht in een informele, open organisatie die ook ruimte biedt voor ondernemerschap en dat is bij Ordina het geval. Dat zie ik ook terug bij Security & privacy. We zien dat de markt een bepaalde kant opgaat, dus om voorop te lopen moeten we meebewegen door bijvoorbeeld mee te werken aan open source-projecten en onderzoek te doen naar nieuwe kwetsbaarheden. Ook is er tijd en ruimte om jezelf te ontwikkelen.”

Kun je een paar praktijkvoorbeelden van je werk noemen?

“We doen redelijk wat pentesten op een scala aan systemen, dat gaat van webapplicaties, werkplekken tot hele netwerken. Dat doen we onder meer voor ministeries en bedrijven. Daarnaast houden we ons bezig met het simuleren van real life aanvallen. Zo hebben we een klant in de industriesector, waarbij we de opdracht krijgen om binnen te dringen in de IT-omgeving. Aan ons de uitdaging om onopvallend binnen te komen, belangrijke systemen over te nemen en data mee naar buiten te nemen. Dit heet in vaktermen een echte Red Team-simulatie en dat betekent dat we een klantnetwerk mogen aanvallen zonder dat er een beperkte scope is of dat er dingen zijn die we niet mogen doen. Onwijs leuk om te doen en ja, we zijn binnengekomen.“

“Een andere uitdagende opdracht was voor een financiële instelling. Zij wilden de niet-standaard IT-middelen laten testen. We kregen toegang tot een ruimte met een systeem waarin onder meer beveiligingscamera’s waren aangesloten, maar ook paslezers voor toegangsbeveiliging en hun slagbomen. We kregen de opdracht om tot de kern van het netwerk door te dringen. Dat is niet helemaal gelukt, maar kwamen toch verder dan de bedoeling was. Voor ons was dit een hele uitdaging, omdat je moet inbreken in non traditionele IT-systemen, waarbij je heel anders moet denken.”

Wat maakt je werk zo leuk?

“Dat is de afwisseling in opdrachten bij uiteenlopende klanten en de vrijheid die je hebt. Maar ook het gebruik van de nieuwste technologieën en de vele research om meer te weten te komen over kwetsbaarheden en aanvalstechnieken. Je ziet veel verschillende omgevingen. Dat maakt de inhoudelijke uitdaging groot, juist vanwege de variëteit aan netwerken, applicaties en klantomgevingen. En natuurlijk het team. Ik werk in een hecht team dat ook buiten werktijd met elkaar optrekt. Laatst waren op een vrijdagmiddag een applicatie aan het onderzoeken. We waren zo druk bezig dat we ‘s avonds telefoontjes kregen van het thuisfront. Of we wisten dat het weekend was begonnen en wanneer we van plan waren om naar huis te komen.”