Al ruim twintig jaar is Mike Terhaar actief als ethisch hacker. Met zijn eigen bedrijf test hij de veiligheid van andere organisaties. Niet zelden ontdekt hij een groot datalek. We vroegen hem naar het ontstaan van zijn passie voor beveiliging en naar hoe hij denkt dat bedrijven er over tien jaar voor staan.
Als je aan een kind vraagt wat het later wil worden, krijg je meestal politie- of brandweerman als antwoord. Van ethisch hacker hebben de meesten waarschijnlijk nog niet eens gehoord. Hoe ben jij in dit vak gerold?
“Toen ik een kind was, hadden we nog geen internet zoals we dat nu kennen. De opkomst ervan heb ik daarom heel bewust meegemaakt. Van begin af aan heb ik interesse in alles wat daarmee te maken heeft. Mijn eerste klus als freelancer was op de Universiteit van Amsterdam. Daar beheerde ik met een paar anderen het hele netwerk van de universiteit. Zo ben ik vanaf de opkomst van het internet betrokken geweest bij de techniek die erachter zit.
Mijns inziens een groot voordeel ten opzichte van de huidige generatie die hetzelfde werk doet als ik. Ik snap de betekenis in het gehele internet landschap. Jonge mensen zijn die vaak kwijt. In de tijd dat het internet op kwam was er nog geen sprake van hackers, maar ook dat veranderde. Bij de UvA ben ik steeds meer de kant van de beveiliging opgegaan. Uiteindelijk ben ik gevraagd om systemen van andere bedrijven te beveiligen. Maar het liefst wilde ik juist aan de andere kant werken: hoe test je of iets veilig is? Zo ben ik het werk dat ik nu doe ingerold.”
Wat doe je nu precies?
“Met mijn bedrijf voeren we verschillende opdrachten voor bedrijven uit. Kort gezegd testen we hoe het ervoor staat met de beveiliging. Dit doen we bijvoorbeeld door middel van een penetratietest of DigiD-audit. We zien dat veel bedrijven zo’n test laten uitvoeren voor duizenden euro’s en dat vervolgens het certificaat daarvan verdwijnt in een la. Doodzonde, als je het mij vraagt.
Wij vinden dat beveiliging een dynamisch iets is wat je moet onderhouden. Daarom hebben we voor onze klanten een portaal ingericht zodat ze precies zien welke bevindingen er zijn gedaan en welke processen ze moeten blijven doorlopen. Beveiliging gaat altijd door, stilstaan kun je je niet permitteren.”
Kan je een concreet voorbeeld geven van een lek in de beveiliging bij een organisatie?
“Je zult je verbazen als ik vertel hoeveel grote bedrijven de beveiliging van hun systemen niet goed op orde hebben. De afgelopen jaren ben ik heel wat datalekken tegengekomen. Zo was het bij een bank bijvoorbeeld mogelijk om met bepaalde software geldautomaten biljetten te laten uitspugen. Ook lukte het me bij een ander bedrijf heel makkelijk om gesprekken om te nemen via laptops.
Dat is natuurlijk enorm schadelijk als vertrouwelijke informatie op zo’n manier uitlekt. Ander voorbeeld: bij een voetbalvereniging kon ik het volledige ledenbestand uit de database trekken. Qua beveiliging valt er voor veel bedrijven nog een enorme winst te behalen.”
“Qua beveiliging valt er voor veel bedrijven nog een enorme winst te behalen.”
Hoe reageren bedrijven als je zo’n groot lek ontdekt?
“Heel wisselend. Je zou verwachten dat ze blij zijn dat het datalek ontdekt is, nog voordat de verkeerde personen ermee aan de haal zijn gegaan. Maar gek genoeg is de reactie regelmatig vrij koeltjes. Het lijkt wel alsof ze niet altijd beseffen hoe groot de negatieve gevolgen kunnen zijn.”
Hoe ziet volgens jou de toekomst eruit op het gebied van databeveiliging?
“Ik denk – vrees – dat de status nog hetzelfde blijft als die van tien jaar geleden. Mensen en bedrijven worden zich denk ik wel meer bewust van de risico’s die een slechte beveiliging met zich meebrengt. De meeste bedrijven nemen maatregelen zodat een bepaald lek in het systeem niet meer naar voren komt. Punt is echter dat je daarmee de problemen niet wegneemt die er vaak nog zijn.
Er wordt met name geïnvesteerd in middelen om te beveiligen aan de voorkant, maar niet om het daadwerkelijke probleem op te lossen. Voor een deel heeft dat te maken met schaarste. Ontwikkelaars zijn heel erg gewild. Ook heeft het te maken met tijdsdruk, iets moet meestal zo snel mogelijk af. Ten koste van een goede beveiliging.”
Meer weten?
Wil je meer goede databeveiliging? Neem dan vrijblijvend contact met ons op. Eén van onze specialisten neemt binnen één werkdag contact met je op. Of plan direct zelf een gratis adviesgesprek in op een dag en tijd die jou het best uitkomt.