Snel naar content

Ethisch hacker Mike Terhaar: “Verbazingwekkend hoeveel bedrijven beveiliging niet op orde hebben”

Al ruim twintig jaar is Mike Terhaar actief als ethisch hacker. Met zijn eigen bedrijf test hij de veiligheid van andere organisaties. Niet zelden ontdekt hij een groot datalek. We vroegen hem naar het ontstaan van zijn passie voor beveiliging en naar hoe hij denkt dat bedrijven er over tien jaar voor staan.

Als je aan een kind vraagt wat het later wil worden, krijg je meestal politie- of brandweerman als antwoord. Van ethisch hacker hebben de meesten waarschijnlijk nog niet eens gehoord. Hoe ben jij in dit vak gerold?

“Toen ik een kind was, hadden we nog geen internet zoals we dat nu kennen. De opkomst ervan heb ik daarom heel bewust meegemaakt. Van begin af aan heb ik interesse in alles wat daarmee te maken heeft. Mijn eerste klus als freelancer was op de Universiteit van Amsterdam. Daar beheerde ik met een paar anderen het hele netwerk van de universiteit. Zo ben ik vanaf de opkomst van het internet betrokken geweest bij de techniek die erachter zit. Mijns inziens een groot voordeel ten opzichte van de huidige generatie die hetzelfde werk doet als ik. Ik snap de betekenis in het gehele internet landschap. Jonge mensen zijn die vaak kwijt. In de tijd dat het internet op kwam was er nog geen sprake van hackers, maar ook dat veranderde. Bij de UvA ben ik steeds meer de kant van de beveiliging opgegaan. Uiteindelijk ben ik gevraagd om systemen van andere bedrijven te beveiligen. Maar het liefst wilde ik juist aan de andere kant werken: hoe test je of iets veilig is? Zo ben ik het werk dat ik nu doe ingerold.”

Wat doe je nu precies?

“Met mijn bedrijf voeren we verschillende opdrachten voor bedrijven uit. Kort gezegd testen we hoe het ervoor staat met de beveiliging. Dit doen we bijvoorbeeld door middel van een penetratietest of DigiD-audit. We zien dat veel bedrijven zo’n test laten uitvoeren voor duizenden euro’s en dat vervolgens het certificaat daarvan verdwijnt in een la. Doodzonde, als je het mij vraagt. Wij vinden dat beveiliging een dynamisch iets is wat je moet onderhouden. Daarom hebben we voor onze klanten een portaal ingericht zodat ze precies zien welke bevindingen er zijn gedaan en welke processen ze moeten blijven doorlopen. Beveiliging gaat altijd door, stilstaan kun je je niet permitteren.”

Kan je een concreet voorbeeld geven van een lek in de beveiliging bij een organisatie?

“Je zult je verbazen als ik vertel hoeveel grote bedrijven de beveiliging van hun systemen niet goed op orde hebben. De afgelopen jaren ben ik heel wat datalekken tegengekomen. Zo was het bij een bank bijvoorbeeld mogelijk om met bepaalde software geldautomaten biljetten te laten uitspugen. Ook lukte het me bij een ander bedrijf heel makkelijk om gesprekken om te nemen via laptops. Dat is natuurlijk enorm schadelijk als vertrouwelijke informatie op zo’n manier uitlekt. Ander voorbeeld: bij een voetbalvereniging kon ik het volledige ledenbestand uit de database trekken. Qua beveiliging valt er voor veel bedrijven nog een enorme winst te behalen.”

“Qua beveiliging valt er voor veel bedrijven nog een enorme winst te behalen.”

Hoe reageren bedrijven als je zo’n groot lek ontdekt?   

“Heel wisselend. Je zou verwachten dat ze blij zijn dat het datalek ontdekt is, nog voordat de verkeerde personen ermee aan de haal zijn gegaan. Maar gek genoeg is de reactie regelmatig vrij koeltjes. Het lijkt wel alsof ze niet altijd beseffen hoe groot de negatieve gevolgen kunnen zijn.”

Hoe ziet volgens jou de toekomst eruit op het gebied van databeveiliging?

“Ik denk – vrees – dat de status nog hetzelfde blijft als die van tien jaar geleden. Mensen en bedrijven worden zich denk ik wel meer bewust van de risico’s die een slechte beveiliging met zich meebrengt. De meeste bedrijven nemen maatregelen zodat een bepaald lek in het systeem niet meer naar voren komt. Punt is echter dat je daarmee de problemen niet wegneemt die er vaak nog zijn. Er wordt met name geïnvesteerd in middelen om te beveiligen aan de voorkant, maar niet om het daadwerkelijke probleem op te lossen. Voor een deel heeft dat te maken met schaarste. Ontwikkelaars zijn heel erg gewild. Ook heeft het te maken met tijdsdruk, iets moet meestal zo snel mogelijk af. Ten koste van een goede beveiliging.”

Blijf op de hoogte

De auteur

Inergy
Inergy

Wij eten, drinken en ademen data – en wat je ermee kan doen. Dat delen we graag met jou. Meer weten over Inergy? Neem contact met ons op via 0348 45 76 66 of info@inergy.nl.

Meer berichten

Alle berichten

Even kennismaken met onze nieuwste IT-Auditor Sem te Velde

Even kennismaken met onze nieuwste IT-Auditor Sem te Velde

Sinds 1 juli werkt Sem te Velde als junior IT-Auditor bij Inergy. Hoe heeft hij zijn eerste maanden in deze rol beleefd? We vroegen het hem en hij legde ook gelijk uit wat het werk van een IT-Auditor nu eigenlijk precies inhoudt.

Lees verder

Petra Molenaars en Evelien Okken over hun passie voor privacy

Petra Molenaars en Evelien Okken over hun passie voor privacy

Privacy Consultants Petra Molenaars en Evelien Okken ondersteunen onze klanten bij informatiebeveiliging en privacy. Met hun kennis staan ze klaar om overheidsorganisaties te helpen bij implementatie en naleving van informatiebeveiliging. We vroegen waar hun passie voor privacy vandaan komt en wat mensen eigenlijk te verbergen hebben op het gebied van privacy.

Lees verder

5 redenen waardoor meerdere versies van de waarheid ontstaan

5 redenen waardoor meerdere versies van de waarheid ontstaan

Iedereen kent het wel: verschillende collega's hebben verschillende cijfers voor dezelfde KPI. We noemen dit ook wel "meerdere versies van de waarheid". In dit artikel bespreken we 5 oorzaken van meerdere versies van de waarheid en ontdek je hoe je in je organisatie tot één versie van de waarheid komt.

Lees verder