Snel naar content

Ethisch hacker Mike Terhaar: “Verbazingwekkend hoeveel bedrijven beveiliging niet op orde hebben”

Al ruim twintig jaar is Mike Terhaar actief als ethisch hacker. Met zijn eigen bedrijf test hij de veiligheid van andere organisaties. Niet zelden ontdekt hij een groot datalek. We vroegen hem naar het ontstaan van zijn passie voor beveiliging en naar hoe hij denkt dat bedrijven er over tien jaar voor staan.

Als je aan een kind vraagt wat het later wil worden, krijg je meestal politie- of brandweerman als antwoord. Van ethisch hacker hebben de meesten waarschijnlijk nog niet eens gehoord. Hoe ben jij in dit vak gerold?

“Toen ik een kind was, hadden we nog geen internet zoals we dat nu kennen. De opkomst ervan heb ik daarom heel bewust meegemaakt. Van begin af aan heb ik interesse in alles wat daarmee te maken heeft. Mijn eerste klus als freelancer was op de Universiteit van Amsterdam. Daar beheerde ik met een paar anderen het hele netwerk van de universiteit. Zo ben ik vanaf de opkomst van het internet betrokken geweest bij de techniek die erachter zit. Mijns inziens een groot voordeel ten opzichte van de huidige generatie die hetzelfde werk doet als ik. Ik snap de betekenis in het gehele internet landschap. Jonge mensen zijn die vaak kwijt. In de tijd dat het internet op kwam was er nog geen sprake van hackers, maar ook dat veranderde. Bij de UvA ben ik steeds meer de kant van de beveiliging opgegaan. Uiteindelijk ben ik gevraagd om systemen van andere bedrijven te beveiligen. Maar het liefst wilde ik juist aan de andere kant werken: hoe test je of iets veilig is? Zo ben ik het werk dat ik nu doe ingerold.”

Wat doe je nu precies?

“Met mijn bedrijf voeren we verschillende opdrachten voor bedrijven uit. Kort gezegd testen we hoe het ervoor staat met de beveiliging. Dit doen we bijvoorbeeld door middel van een penetratietest of DigiD-audit. We zien dat veel bedrijven zo’n test laten uitvoeren voor duizenden euro’s en dat vervolgens het certificaat daarvan verdwijnt in een la. Doodzonde, als je het mij vraagt. Wij vinden dat beveiliging een dynamisch iets is wat je moet onderhouden. Daarom hebben we voor onze klanten een portaal ingericht zodat ze precies zien welke bevindingen er zijn gedaan en welke processen ze moeten blijven doorlopen. Beveiliging gaat altijd door, stilstaan kun je je niet permitteren.”

Kan je een concreet voorbeeld geven van een lek in de beveiliging bij een organisatie?

“Je zult je verbazen als ik vertel hoeveel grote bedrijven de beveiliging van hun systemen niet goed op orde hebben. De afgelopen jaren ben ik heel wat datalekken tegengekomen. Zo was het bij een bank bijvoorbeeld mogelijk om met bepaalde software geldautomaten biljetten te laten uitspugen. Ook lukte het me bij een ander bedrijf heel makkelijk om gesprekken om te nemen via laptops. Dat is natuurlijk enorm schadelijk als vertrouwelijke informatie op zo’n manier uitlekt. Ander voorbeeld: bij een voetbalvereniging kon ik het volledige ledenbestand uit de database trekken. Qua beveiliging valt er voor veel bedrijven nog een enorme winst te behalen.”

“Qua beveiliging valt er voor veel bedrijven nog een enorme winst te behalen.”

Hoe reageren bedrijven als je zo’n groot lek ontdekt?   

“Heel wisselend. Je zou verwachten dat ze blij zijn dat het datalek ontdekt is, nog voordat de verkeerde personen ermee aan de haal zijn gegaan. Maar gek genoeg is de reactie regelmatig vrij koeltjes. Het lijkt wel alsof ze niet altijd beseffen hoe groot de negatieve gevolgen kunnen zijn.”

Hoe ziet volgens jou de toekomst eruit op het gebied van databeveiliging?

“Ik denk – vrees – dat de status nog hetzelfde blijft als die van tien jaar geleden. Mensen en bedrijven worden zich denk ik wel meer bewust van de risico’s die een slechte beveiliging met zich meebrengt. De meeste bedrijven nemen maatregelen zodat een bepaald lek in het systeem niet meer naar voren komt. Punt is echter dat je daarmee de problemen niet wegneemt die er vaak nog zijn. Er wordt met name geïnvesteerd in middelen om te beveiligen aan de voorkant, maar niet om het daadwerkelijke probleem op te lossen. Voor een deel heeft dat te maken met schaarste. Ontwikkelaars zijn heel erg gewild. Ook heeft het te maken met tijdsdruk, iets moet meestal zo snel mogelijk af. Ten koste van een goede beveiliging.”

Blijf op de hoogte

De auteur

Inergy
Inergy

Wij eten, drinken en ademen data – en wat je ermee kan doen. Dat delen we graag met jou. Meer weten over Inergy? Neem contact met ons op via 0348 45 76 66 of info@inergy.nl.

Meer berichten

Alle berichten

Stuurinformatie en taakinformatie: wat is het verschil? 

Stuurinformatie en taakinformatie: wat is het verschil? 

Stuurinformatie en taakinformatie zijn veelgebruikte termen op gebied van data analytics en dashboarding. In deze blog ontdek je wat het...

Lees verder

De 5 belangrijkste kenmerken van een goede datahuishouding

De 5 belangrijkste kenmerken van een goede datahuishouding

oor zijn, sneller en kwalitatief betere diensten en producten te leveren of juist diversificatie van het portfolio: het zijn een paar voorbeelden. Maar kijken naar de cijfers uit je dataplatform en de strategie aanpassen op basis van harde cijfers om te excelleren, dat is pas competitief! In deze leggen we uit hoe je weet of de datagovernance binnen jouw organisatie op orde is.

Lees verder

Een dag uit het leven van Data Engineer Jelte Zweistra

Een dag uit het leven van Data Engineer Jelte Zweistra

Als Data Engineer houdt Jelte Zweistra zich met data van diverse klanten bezig. Hij zorgt ervoor dat de processen goed lopen. Veel testen en uiteraard ook regelmatig sparren met collega’s. Hij neemt je mee in een van zijn werkdagen! 

Lees verder