Een hacker in elke organisatie

Wie hackers ook maar enigszins partij wil geven, moet denken als een hacker. Dat ?is lastig want ontwikkelaars in organisaties zijn wel gewend te bouwen, maar niet om te kijken hoe iets stuk kan. Dat levert spanning op, zegt ‘white hacker’ Barry ?van Kampen. “Hoe mooi zou het zijn als we synergie vinden.”

Barry van Kampen is een ‘white hacker’, een nobele hacker. Hij is CEO bij The S-Unit, de ex-securitypoot van ITQ. Hacken doet hij al vanaf de basisschool. Zijn kennis en ervaring én manier van denken gebruikt hij om de beveiliging van organisaties door te lichten en te verbeteren.

Offensief beveiligen, zoals Van Kampen het noemt, vergt een ander denkpatroon dan de klassieke IT-beveiliging. “Het is aanvallen in het voordeel van de klant”, omschrijft Van Kampen deze methode. “Je moet nadenken over hoe je een organisatie kunt raken en dat vanuit een praktisch perspectief.”

Het werkt aldus. Een klant bepaalt wat zo belangrijk is voor de organisatie dat het beschermd moet worden en wat nodig is om als organisatie het werk te blijven doen. Is de e-mail van belang voor de klant, dan laat de white hacker zien waar de mailserver eventueel kwetsbaar is en hoe die kwetsbaarheid kan worden misbruikt. Daarna volgt een advies over hoe die organisatie zijn zaakjes op orde kan krijgen, en de suggestie dat ze ook moet nadenken over een tweede communicatiefaciliteit – zoals een telefonische hotline – voor als de mail plat gaat.

 

Betere beveiliging

Van Kampen is ervan overtuigd dat de hackersblik van groot belang is voor een betere beveiliging. “Wie al jaren dagelijks in een organisatie de bedrijfsvoering doet, kijkt daar op een heel andere manier naar dan een hacker. De hacker kijkt uit een creatieve focus naar de organisatie en detecteert afwijkingen. Ontwikkelaars zijn gewend iets te maken, te bouwen. Die kijken niet naar hoe het stuk kan. Terwijl de ‘breakers’ – de hackers – bijna queesten voeren om iets te breken en het echt mooi vinden om dat te doen. Het zijn de ‘breakers versus the builders’.

Het is een mentaliteitsverschil. Vaak staan we tegenover elkaar. Wij willen iets stuk maken en zij willen functionaliteit voor hun baas bouwen. Dat levert spanning op. Toch is er voor deze twee groepen wel degelijk een gedeelde factor. Laat je zien dat iets stuk kan en dat dat niet kan als je het anders bouwt, dan komt dat besef wel. Hoe mooi zou het zijn als we synergie vinden. Juist daarom zou elke organisatie zo’n hacker in huis moeten halen.”

Dat in huis halen is echter niet eenvoudig. Niet alleen omdat kundige white hackers schaars zijn, ook omdat ze anders zijn als mens dan wat de gemiddelde organisatie gewend is. “Een hacker is een ander type mens. Die passen niet in een reguliere organisatie. Het zijn creatievelingen die out of the box denken. Ze kleden zich vaak anders, hebben andere werktijden, zijn anders in de sociale omgang. Je moet hen anders behandelen om optimaal te laten werken: dat eigenaardige is juist hun kracht. Profiteer daar van.”

Het gaat al mis zodra ze solliciteren. “Bedrijven zoeken tegenwoordig alleskunners die niet lastig zijn. Maar je hebt juist specialisten nodig die lastig zijn. En misschien is die geniale hacker wel een autist, of heeft hij ADHD. Accepteer dat en gebruik juist die sterke kant van hen. Bij ons bedrijf solliciteer je door te laten weten dat je een lek in onze producten hebt gevonden. Dan mag je direct bij ons komen werken, hoor. Daarbij moet wel duidelijk zijn dat hun ethiek voor ons van zeer groot belang is.”

 

Boodschap

“Security is a way of life”, zegt Van Kampen. “Ik verdien mijn brood en mijn hypotheek met mijn werk bij The S-Unit. Dat geeft mij dan weer de ruimte om heel veel vrijwilligerswerk daarnaast te doen.” Hij is zeer actief in de organisatie van Hack in the Box. Hij leidt Randomdata en Hackerspace. “Daar verdienen we niets aan, maar zulke bijeenkomsten en projecten maken ons sterker en we kunnen er van anderen leren. Het vakgebied is niet meer in je eentje bij te houden. En die creatievelingen bij elkaar inspireren ook nog eens enorm. ”

Van Kampen is niet helemaal een roepende in de woestijn. Hij krijgt steeds meer gehoor voor zijn boodschap. “Legacybedrijven hebben er nog wel veel moeite mee. Neem de pinpas, die is twintig jaar geleden al gekraakt. Blijkbaar redeneren banken dat ze in staat zijn misbruik ervan te detecteren en dat ze dat dus wel in de hand hebben. En dus kan dat systeem nog wel in gebruik blijven en melken ze de investeringen uit. Dat die pinpas al twintig jaar te klonen is, dat de chip erop al in 2011 is gekraakt en dat daar nu het draadloos betalen aan is toegevoegd terwijl dat in feite diezelfde chip is maar nu met een antenne, doet er voor hen blijkbaar weinig toe. Wij zeggen: gebruik gerust technologieën maar zorg wel dat je snel kunt ingrijpen en ze kunt vervangen als het stuk blijkt te zijn. Het lijkt er heel sterk op dat ze niet nadenken. Als het elektronische betalingsverkeer op de een of andere manier kapot is, kunnen we echt niet meer terug naar de acceptgiro’s. De apparaten die giro’s moeten scannen en verwerken zijn niet meegegroeid en of onderhouden. Ik schat dat ze hoogstens 10 procent van het huidige betalingsverkeer aan kunnen.”

 

Hiërarchische obstakels

Van Kampen wijt het ook aan de nog altijd zeer hiërarchische werkwijze van legacybedrijven. “De boodschap komt niet terecht bij degene die het echt aangaat. Vertel ik een CIO dat ik zijn site zo plat kan leggen, dan wordt hij heel snel wakker en handelt dan ook. Als ik dat aan het middenmanagement vertel, geven ze dat gewoon niet door naar boven. Ze zijn bang voor hun positie. Daar komt nog bij dat maar weinig mensen in staat zijn die boodschappen over te brengen. Dat vereist een vorm van creativiteit die in zulke organisaties ontbreekt. Ik vind dat in zulke organisaties er in elk geval iemand met dat skill-level moet zijn op managementniveau. In jongere organisaties zie je dat wel. Daar zijn juist die creatievelingen de managers omdat zij het bedrijf zijn gestart.” Ook in legacybedrijven zitten creatievelingen, maar zijn ze ingekapseld. “Er zijn mensen binnen je IT-organisatie waarin de hacker wakker gemaakt zouden kunnen worden. Ik weet zeker dat twintig procent van de IT’ers dit ook kan, alleen ze realiseren het zich nog niet. Wij zijn opgevoed om in vaste kaders te denken. Toonde je op school te veel creativiteit en stelde je vragen die niet werden begrepen, dan mocht je in de hoek staan.”

Van Kampen staat ook bekend als spreker op bijeenkomsten en congressen. Dat dient vooral een hoger doel. “Ik ben een hacker die de kameleonrol kan spelen: ik kan in een net pak naar klanten toe, maar ik voel me ook erg thuis bij de echte hackers. Dat hebben niet veel hackers. Met zo’n presentatie kan ik het imago van de hackers wat positiever maken. Ik kan vertellen wat die hackers echt willen. De kijk op onze wereld moet veranderen – die moet positiever worden. Gebruik onze krachten! Dat willen hackers ook graag. Ons doel is de wereld te verbeteren. Daar moeten we wel de ruimte voor krijgen.”

Masterclass IT-Security

Barry van Kampen is één van de sprekers tijdens de Masterclass IT-Secu-rity, die AutomatiseringGids organiseert in samenwerking met Ngi-NGN en de Academy for Information & Management.

De tweedaagse masterclass op 12 & 13 februari a.s. gaat in op de meest dringende kwesties op het vlak van IT-security voor de informatieprofessional. Waar schuilen de gevaren? Hoe voorkom je incidenten en hoe ga je er mee om als het toch mis gaat? Hoe vind je het evenwicht tussen techniek, beheersbaarheid en organisatiecultuur? Deze vragen en meer worden beantwoord tijdens deze uitdagende masterclass met onder meer Rijks-CIO Dion Kotteman over beveiliging en risicomanagement, Arco Groothedde over de OV-chipkaart en hacker en IT-security consultant Barry Fish over denken als een hacker en hoogleraar Jop Groeneweg over weeffouten in de organisatie.

Meer informatie en een inschrijfformulier vindt u op de site van de Academy for Information and Managementwww.ienm.nlonder het kopje ‘ons aanbod’.

Tag

Onderwerp



Niet gevonden? Vraag het de redactie!

Heeft u het antwoord op uw vraag niet gevonden, of bent u op zoek naar specifieke informatie? Laat het ons weten! Dan zorgen we ervoor dat deze content zo snel mogelijk wordt toegevoegd, of persoonlijk aan u wordt geleverd!

Stel uw vraag