foto Wouter Doderer

Security is een continu kat-en-muis-spel

Meet the Expert

Cybersecurity is voor veel bedrijven een randvoorwaarde geworden in deze tijd van digitale transformatie. Maar hoe pak je dat aan en wat is de toegevoegde waarde van cybersecurity? Een interview met Wouter Doderer, consultant cybersecurity/ethical hacker.

Wat is cybersecurity?

“Cybersecurity is een heel breed begrip, maar wat we in feite als Ordina doen is onze klanten weerbaar maken tegen aanvallen op hun IT-infrastructuur. Dus voorkomen dat aanvallers kunnen binnenkomen. En als een aanval daadwerkelijk plaatsvindt dat de klant ook weet hoe hij moet reageren, zodat de schade beperkt blijft en de systemen weer snel up-and-running zijn. Daarbij hanteren we een integrale aanpak, waarin techniek, organisatorische vraagstukken en menselijke aspecten zijn meegenomen. Als je een van die drie niet meeneemt in je aanpak, heeft het eigenlijk geen zin. Je kan technisch alles op orde hebben, maar als medewerkers op iedere phishingmail blijven klikken, ben je terug bij af. Je moet dus investeren in alle drie de aspecten om je security op orde te krijgen.”

Wat doet een consultant cybersecurity/ethical hacker?

“Ik hou me vooral bezig met de techniek achter cybersecurity. Van het scripten van tools tot het configureren en testen van de beveiliging van netwerken en servers. We worden vaak gevraagd door klanten om hun IT-omgevingen te testen om aan te tonen of deze veilig zijn. Dat doen we met behulp van zogeheten pentesten met als doel om zo ver mogelijk binnen te dringen. Zijn we binnen, dan brengen we de kwetsbaarheden en risico’s in kaart. Vervolgens geven we advies hoe de klant kan voorkomen dat aanvallers binnenkomen. Nee, niet alles is tegen te houden. Honderd procent veiligheid bestaat niet. Maar het scheelt al heel veel als de klant zijn omgeving op orde heeft en kan zien dat iemand inbreekt in zijn systeem en de aanvaller kan stoppen.”

Hoe is het met de veiligheid gesteld bij organisaties?

“Dat varieert heel erg. Sommige bedrijven hebben het goed op orde en dan is het een uitdaging om binnen te komen. Je hebt ook bedrijven waarvan we in eerste instantie denken dat we een week nodig hebben om binnen te komen en dan blijkt we dat we binnen een dag het netwerk in handen hebben. Ja, voor bedrijven is dat schrikken, helemaal als op papier alles goed is geregeld. Je laat namelijk in de praktijk zien wat er kan gebeuren als het echt alleen op papier goed geregeld is en wat de gevolgen daarvan zijn. Het is onze taak om de klant vervolgens te adviseren wat er als eerste verholpen of gedicht moet worden en wat daarna de overige stappen kunnen zijn.”

“Bedrijven onderkennen ondertussen wel de urgentie van security en privacy, maar het is lastig om er goed grip op te krijgen. De business en het IT-landschap veranderen voortdurend. Nieuwe IT- systemen en applicaties brengen nieuwe aanvalsmogelijkheden met zich mee en dat gaat de laatste tijd in zo ’n rap tempo dat het een illusie is om te denken dat je alles onder controle hebt. Het is een continu kat-en-muis-spel tussen de fabrikant, beheerders en ontwikkelaars enerzijds en de (ethical) hacker anderzijds om een gaatje te vinden. Wat nu veilig is, kan over een maand alweer verouderd zijn. We doen pentesten, maar we drukken de klant op het hart dat hij ook detectiemogelijkheden moet hebben om aanvallers op te sporen en tijdig te stoppen. We kunnen nu eenmaal niet alles testen.”

Je zit met het dilemma dat de klant zich voor 100% moet verdedigen en dat de aanvaller maar een keer hoeft raak te schieten. Aanvallen komen uit de hele wereld. Nederland heeft een hele goede infrastructuur, waardoor deze door het buitenland wordt gebruikt om vanuit hier een aanval te doen. Ook de complexiteit per aanval verschilt heel erg. We richten ons op klanten met een hoger dreigingsprofiel die last hebben van georganiseerde misdaad en staatshackers. Deze partijen hebben een lange adem. Als het vandaag niet lukt, dan komen ze over een maand terug, net zolang tot het wel lukt.”

Hoe helpt Ordina de klant met cybersecurity?

“Binnen onze businesspropositie Security & privacy hebben we vijf kerncompetenties die ieder een heel specifiek doel hebben. Als eerste is dat Security Strategy. Daarmee helpen we klanten een soort roadmap uit te rollen op basis van een nulmeting op strategisch niveau. Hoe kom ik waar ik zijn wil en wat moet er op het gebied van security & privacy gebeuren om dat niveau te bereiken?

Daarnaast heb je de wat technischer teams, zoals het Blue Team en het Red Team waarin ik zit. We testen de weerbaarheid van de klant en proberen binnen te komen in hun IT-systemen. Ook geven we de klant advies hoe ze dat kunnen voorkomen.

Het Blue Team richt zich op de verdediging en monitoring. Zij zorgen ervoor dat de klant kan zien dat hij wordt aangevallen en op tijd kan ingrijpen als dat het geval. Dit is de wereld van security operation centers en incident response.

Een vierde kerncompetentie waarin we actief zijn is agile software security. We proberen op het snijvlak van developers en organisatie de processen goed in te richten en borging te geven aan het feit dat security requirements worden meegenomen en als er iets naar productie wordt gebracht dat dat ook veilig is.

Privacy en dataprotection richt zich ten slotte op de privacy. Hoe ga je als bedrijf om met privégegevens en hoe borg je dat in het kader van GDPR/AVG?

Je ziet vaak dat een klant ons benadert voor een van deze onderwerpen. Uiteraard zoeken we voor de klant naar een oplossing, maar we adviseren de klant ook om naar het totaalplaatje te kijken. Bij security hangt het een vaak samen met het ander. Vandaar dat we de klant vanuit een multidiciplinair team ondersteunen waarin alle expertises zijn opgenomen.”

Wat is de toegevoegde waarde van cybersecurity voor de klant?

“Security is tegenwoordig een randvoorwaarde om je bedrijfsvoering goed te kunnen doen. Als klant wil je je richten op je core business, het laatste wat je kan gebruiken is negatieve publiciteit in de vorm van een hack, een datalek of persoongegevens die op straat komen liggen. Wij ontzorgen de klant en nemen het security-aspect voor onze rekening. We hebben daarin een vrij unieke, pragmatische aanpak. De klant bepaalt het risk appetite (welke risico’s accepteer ik, en aan welke wil ik wat doen). Wij helpen hem daarin op basis van gestandaardiseerde bouwblokken om een bepaald maturity level te bereiken, waarbij de klant het tempo bepaalt. We draaien geen standaardprogramma, maar bieden een aanpak op maat die leidt tot een veiliger IT-omgeving en een betere weerbaarheid.

Kun je een praktijkvoorbeeld van je werk noemen?

“Naast pentesten houden we ons onder meer bezig met het simuleren van real life aanvallen. Zo hebben we een klant in de industriesector, waarbij we de opdracht krijgen om binnen te dringen in de IT-omgeving. Aan ons de uitdaging om onopvallend binnen te komen, belangrijke systemen over te nemen en data mee naar buiten te nemen. Dit heet in vaktermen een echte Red Team-simulatie en dat betekent dat we een klantnetwerk mogen aanvallen zonder dat er een beperkte scope is of dat er dingen zijn die we niet mogen doen. Onwijs leuk om te doen en ja, we zijn binnengekomen.“

Wat voor typen klanten kom je tegen?

“Dat is heel divers en dat maakt ons werk ook zo aantrekkelijk. We werken voor de overheid, financiële instellingen, de industriesector en de zorg. Het is nooit eentonig. We richten ons met name op klanten met een hoger dreigingsniveau die dagelijks worden aangevallen. Niet door de hacker om de hoek, maar de georganiseerde misdaad en staatshackers uit bijvoorbeeld Rusland. Je hebt klanten op Oracle-systemen, maar ook Linux en Windows, waarbij je binnen Windows een enorme differentiatie hebt hoe ze systemen uitrollen en inrichten. Aan ons de taak om iedere keer een gaatje te vinden in het systeem. Maar het is ook onze plicht om de klant uit te leggen dat we IT-systemen tegenkomen die anders en beter zijn ingericht en dat de klant zich bewust moet zijn van de risico’s die hij loopt, omdat hij kiest voor een bepaalde inrichting van zijn IT-systeem.”

Wat maakt je werk zo leuk?

“Dat is de afwisseling in opdrachten bij uiteenlopende klanten en de vrijheid die je hebt. Maar ook het gebruik van de nieuwste technologieën en de vele research om meer te weten te komen over kwetsbaarheden en aanvalstechnieken. Je ziet veel verschillende omgevingen. Dat maakt de inhoudelijke uitdaging groot, juist vanwege de variëteit aan netwerken, applicaties en klantomgevingen. En natuurlijk het team. Ik werk in een hecht team dat ook buiten werktijd met elkaar optrekt. Laatst waren op een vrijdagmiddag een applicatie aan het onderzoeken. We waren zo druk bezig dat we ‘s avonds telefoontjes kregen van het thuisfront. Of we wisten dat het weekend was begonnen en wanneer we van plan waren om naar huis te komen.”