Laat je hacken of betaal hoge boetes

Door Bouko de Groot.

Met honderden hackers test Edwin van Andel, ethische hacker en CEO van Zerocopter, voor bedrijven de beveiliging van hun online data. Eigenlijk voor een habbekrats, want de schade en boetes door een hacklek zijn duizenden malen hoger. Hij legt uit wat ethisch hacken is en waarom finance professionals er bovenop moeten zitten.

Hacken, dat roept negatieve gevoelens op. Leg eens uit wat 'ethisch hacken' nu eigenlijk is?

“Echt goede hackers zijn gewoon heel nieuwsgierig. Als ze een apparaat zien, dan willen ze weten wat het doet en weten hoe het werkt. En ze willen dan zeker weten wat het nog meer kan dan dat het eigenlijk zou moeten. In de afgelopen zes, zeven jaar hebben we gemerkt dat hackers vanuit het negatieve beeld langzaam wat positiever benaderd wordt. Heel veel bedrijven hebben ook wel door dat als je veiliger wil worden, je gewoon een hacker moet vragen om te kijken hoe veilig je bent. Veel jongeren vinden dat toch wel interessant, want er hangt nog steeds wel iets spannends om het beroep hacken heen. En het is makkelijk toegankelijk: je hoeft alleen maar een computer te hebben en je kunt al gaan hacken.

Merk je ook dat er meer mensen zijn die vragen naar deze hulp?

“Ja, we zijn met Zerocopter begonnen in 2016. We zetten twee of drie hackers op wat een bedrijf getest wil hebben. Die hackers gaan een week lang bijvoorbeeld proberen in te breken. Aan het eind van die week maken ze een rapport. Dat noemen we een penetratietest. Maar dat is eigenlijk alleen een soort fotomoment. We hebben klanten die elke dag nieuwe software releasen. Als je dan een keer per jaar zo’n penetratietest doet, dan heb je wel een gigantisch gat. Want je weet niet of je de rest van het jaar veilig bent. Dus vandaar dat wij een model hebben waar je hackers eigenlijk niet betaalt voor het aantal uren die ze besteden, maar je betaalt ze voor de bug die ze vinden. Dus wij hebben gewoon klanten. Die zetten een budget bij ons neer. En wij nodigen de beste hackers voor die klus uit. Zij gaan gewoon hacken.”

Gaan hackers de ethische kant op?

“Absoluut. Heel veel hackers vinden en zoeken dingen. Op het moment dat jij een manier hebt zodat ze dat veilig kunnen melden, zullen ze dat eerder doen. Op het moment dat wij kunnen aantonen dat als je een hack vindt, dat je daar een geldbedrag voor kan krijgen, dan zullen ze veel eerder geneigd zijn om gewoon dat op zo’n manier te doen.”

Je hoort regelmatig over lekken. Wat houdt zo’n lek nou precies in?

“Over het algemeen is dat een lek in je een mooie website hebt, waar je ook klanten zeg maar in hebt zitten. Dat is natuurlijk keurig afgeschermd met naam en wachtwoord. Alleen in dat veld van je naam of je wachtwoord of je zoekveld of welk veld je dan ook op je website hebt, heb je gewoon niet goed gekeken naar wat men daar mag invullen?  Neem het naamveld. Wat wij als hackers doen is daar niet een naam invullen, maar een code, een database query bijvoorbeeld. Als jij dat niet goed hebt afgeschermd, dan wordt die code dus door je website opgepakt. Dan zeggen wij bijvoorbeeld: “Geef alle namen terug waarvan de naam eindigt op een spatie.” En voor je het weet, krijg je op zo’n manier alle informatie uit die database. Dat soort fouten zitten er heel vaak nog in websites: een veel voorkomend lek.”

Dus testen!

“Ja! We hebben een keer zo'n test gedaan bij een bedrijf, dat iets deed met Bitcoins. Die hadden een superchique website gebouwd. En die was superveilig. Mensen moesten daar inloggen met tokens en naam en wachtwoord. Er zat geen enkele fout in de veldjes. Allemaal perfect geregeld. Maar ze waren op diezelfde server wel vergeten om de poort waar de database op draaide uit te zetten. Die hadden ze niet afgeschermd. Dus we konden gewoon die database uitlezen door via een ander poortje naar binnen te gaan.”

Dat klinkt niet eens zo ingewikkeld?

“Dan is het vrij makkelijk ja. Waar bedrijven tegenwoordig veel last van hebben  ransomware. Daar doen wij eigenlijk niet zoveel voor, want dat is puur de mens die dan het lek is: je krijgt gewoon een mailtje. Daar staat bijvoorbeeld in: “we hebben geprobeerd een pakketje bij je te bezorgen, maar je was er niet: klik hier voor een nieuwe afspraak.” En mensen denken dan niet na dat het gek is dat de post in een keer jouw e-mailadres op je werk heeft gevonden. Terwijl ze dat eigenlijk helemaal niet weten. Dus mensen klikken daarop. En voor je het weet downloaden ze dan een of ander bestandje, dat een virus installeert op de computer waar je dan op zit.”

Heb je nog meer tips voor finance professionals?

“Wij werken met heel veel grote bedrijven. Onze inkooptrajecten zijn echt een drama. Een CISO, dat is iemand die verantwoordelijk is voor security, die wil wel. Maar dan is er of geen budget, of inkoop wil niks, en dan uiteindelijk ligt het bij legal, het contract. Die leest 'hackers' en gooit gelijk het contract weg. Dat hebben we helaas nog steeds.  
Wat ik zie bij klanten waar het goed gaat: daar zit security niet bij IT. Dat is denk ik wel een heel goede tip. IT die ook nog security op hun bordje hebben, daar is dat over het algemeen een ondergeschoven kind. Misschien willen ze het wel, maar hebben ze gewoon geen tijd en budget, want er moeten 300 nieuwe Windowslicenties komen enzo.
Security is eigenlijk gewoon een bedrijfsrisico, dus hoort het helemaal niet onder IT. IT-security hoort onder de CFO te hangen: het is een bedrijfsrisico. Op het moment dat je gehackt wordt heb je vreselijke boetes tegenwoordig. Je hebt ontzettende imagoschade.”

Boetes en imagoschade, loopt dat zo erg op?

“We hadden een keer een klant, die had een bug bounty bij ons. Een van de hackers vond daar de volledige klantendatabase. Dus dat bedrijf heeft hem netjes hem zijn 1500 euro betaald, de beloning die daarvoor stond. Die klant vroeg zich toen af wat er gebeurd was als dit op straat had gelegen? Daar kwam een hele waslijst: public relations, een forensisch team, alle beveiligingen moest opnieuw, media en pers te woord gestaan, investeerders waarschuwen, alle klanten waarschuwen. En dan nog de boetes die ze eventueel hadden kunnen krijgen. Ze kwamen op een totaal van meer dan vier miljoen euro! Toen hebben ze die hacker een bonus gegeven van 25.000 euro.”

Word lid van FinanceHub en beluister de hele podcast.

• Lees ook: 27.000 gemelde hacklekken

De podcasts in deze serie:

• Grip op data
  “Streven naar een optimale samenwerking tussen mens en machine.” Q&A met Marco de Jong, founder Experience Data.
• Laat je hacken of betaal hoge boetes
  “IT-security hoort onder de CFO te hangen: het is een bedrijfsrisico.” Q&A met Edwin van Andel, ethische hacker en CEO van Zerocopter.
• Digital transformation? Stel de mens centraal
  “Hoe kunnen we nu het verhaal vertellen van finance.” Q&A met Raymond Steenvoorde, account director van BlackLine.
• Blockchain: geen hype, wel realiteit
  “Blockchain is het tegenovergestelde van wat je tot nu toe geleerd en gedaan hebt.” Q&A met Paul Bessems, blockchain expert.
• Naar een betere beleving
  “Groei moet geen doel op zich zijn.” Q&A met Joost Peeperkorn, CFO Eden Hotels.
• Risicomanagement werkt, ook nu
  “De belangrijkste uitdaging: hoe faciliteer je de communicatie.” Urjan Claassen, CEO C-Profile