Snel naar content
Digitale hand komt uit beeldscherm gesprongen

Ethisch hacker Mike Terhaar: “Verbazingwekkend hoeveel bedrijven beveiliging niet op orde hebben”

Al ruim twintig jaar is Mike Terhaar actief als ethisch hacker. Met zijn eigen bedrijf test hij de veiligheid van andere organisaties. Niet zelden ontdekt hij een groot datalek. We vroegen hem naar het ontstaan van zijn passie voor beveiliging en naar hoe hij denkt dat bedrijven er over tien jaar voor staan.

Als je aan een kind vraagt wat het later wil worden, krijg je meestal politie- of brandweerman als antwoord. Van ethisch hacker hebben de meesten waarschijnlijk nog niet eens gehoord. Hoe ben jij in dit vak gerold?

“Toen ik een kind was, hadden we nog geen internet zoals we dat nu kennen. De opkomst ervan heb ik daarom heel bewust meegemaakt. Van begin af aan heb ik interesse in alles wat daarmee te maken heeft. Mijn eerste klus als freelancer was op de Universiteit van Amsterdam. Daar beheerde ik met een paar anderen het hele netwerk van de universiteit. Zo ben ik vanaf de opkomst van het internet betrokken geweest bij de techniek die erachter zit. Mijns inziens een groot voordeel ten opzichte van de huidige generatie die hetzelfde werk doet als ik. Ik snap de betekenis in het gehele internet landschap. Jonge mensen zijn die vaak kwijt. In de tijd dat het internet op kwam was er nog geen sprake van hackers, maar ook dat veranderde. Bij de UvA ben ik steeds meer de kant van de beveiliging opgegaan. Uiteindelijk ben ik gevraagd om systemen van andere bedrijven te beveiligen. Maar het liefst wilde ik juist aan de andere kant werken: hoe test je of iets veilig is? Zo ben ik het werk dat ik nu doe ingerold.”

Wat doe je nu precies?

“Met mijn bedrijf voeren we verschillende opdrachten voor bedrijven uit. Kort gezegd testen we hoe het ervoor staat met de beveiliging. Dit doen we bijvoorbeeld door middel van een penetratietest of DigiD-audit. We zien dat veel bedrijven zo’n test laten uitvoeren voor duizenden euro’s en dat vervolgens het certificaat daarvan verdwijnt in een la. Doodzonde, als je het mij vraagt. Wij vinden dat beveiliging een dynamisch iets is wat je moet onderhouden. Daarom hebben we voor onze klanten een portaal ingericht zodat ze precies zien welke bevindingen er zijn gedaan en welke processen ze moeten blijven doorlopen. Beveiliging gaat altijd door, stilstaan kun je je niet permitteren.”

Kan je een concreet voorbeeld geven van een lek in de beveiliging bij een organisatie?

“Je zult je verbazen als ik vertel hoeveel grote bedrijven de beveiliging van hun systemen niet goed op orde hebben. De afgelopen jaren ben ik heel wat datalekken tegengekomen. Zo was het bij een bank bijvoorbeeld mogelijk om met bepaalde software geldautomaten biljetten te laten uitspugen. Ook lukte het me bij een ander bedrijf heel makkelijk om gesprekken om te nemen via laptops. Dat is natuurlijk enorm schadelijk als vertrouwelijke informatie op zo’n manier uitlekt. Ander voorbeeld: bij een voetbalvereniging kon ik het volledige ledenbestand uit de database trekken. Qua beveiliging valt er voor veel bedrijven nog een enorme winst te behalen.”

“Qua beveiliging valt er voor veel bedrijven nog een enorme winst te behalen.”

Hoe reageren bedrijven als je zo’n groot lek ontdekt?   

“Heel wisselend. Je zou verwachten dat ze blij zijn dat het datalek ontdekt is, nog voordat de verkeerde personen ermee aan de haal zijn gegaan. Maar gek genoeg is de reactie regelmatig vrij koeltjes. Het lijkt wel alsof ze niet altijd beseffen hoe groot de negatieve gevolgen kunnen zijn.”

Hoe ziet volgens jou de toekomst eruit op het gebied van databeveiliging?

“Ik denk – vrees – dat de status nog hetzelfde blijft als die van tien jaar geleden. Mensen en bedrijven worden zich denk ik wel meer bewust van de risico’s die een slechte beveiliging met zich meebrengt. De meeste bedrijven nemen maatregelen zodat een bepaald lek in het systeem niet meer naar voren komt. Punt is echter dat je daarmee de problemen niet wegneemt die er vaak nog zijn. Er wordt met name geïnvesteerd in middelen om te beveiligen aan de voorkant, maar niet om het daadwerkelijke probleem op te lossen. Voor een deel heeft dat te maken met schaarste. Ontwikkelaars zijn heel erg gewild. Ook heeft het te maken met tijdsdruk, iets moet meestal zo snel mogelijk af. Ten koste van een goede beveiliging.”

Blijf op de hoogte

De auteur

Inergy
Inergy

Wij eten, drinken en ademen data – en wat je ermee kan doen. Dat delen we graag met jou. Meer weten over Inergy? Neem contact met ons op via 0348 45 76 66 of info@inergy.nl.

Meer berichten

Alle berichten

Een dag uit het leven van Randy Horsting, LIAS Consultant bij Inergy

Een dag uit het leven van Randy Horsting, LIAS Consultant bij Inergy

Bij Inergy werken ruim 160 collega’s. Hoe zien hun werkdagen eruit? Deze keer geeft Randy Horsting LIAS Consultant bij Inergy, een kijkje in zijn werkdag. Een LIAS Consultant adviseert en ondersteunt diverse gemeentes, provincies en andere overheidsinstellingen in het optimaliseren van processen en data gedreven werken met behulp van LIAS. Lees over zijn dynamische werkdag in deze blog!

Lees verder

5 redenen waarom privacy echt niet dood is

5 redenen waarom privacy echt niet dood is

Het belang van privacy is nog steeds niet bij iedereen geland. "Ik heb niets te verbergen" horen we helaas nog regelmatig. Vraag in zo'n geval dan eens of je inzicht mag hebben in zijn of haar bankgegevens, medische gegevens en de wachtwoorden van hun social media accounts. Het gaat er niet om dat we iets te verbergen hebben, maar dat we controle hebben en houden over onze gegevens én wie daartoe toegang heeft.

Lees verder

Een dag uit het leven van Michiel de Boer, BI Consultant bij Inergy

Een dag uit het leven van Michiel de Boer, BI Consultant bij Inergy

Bij Inergy werken ruim 160 collega’s. Hoe zien hun werkdagen eruit? Deze keer geeft Michiel de Boer, BI Consultant bij Inergy, een kijkje in zijn werkdag. Michiel is een pragmatische professional en is gedreven door een brede nieuwsgierigheid. Hij bedenkt graag oplossingen voor (complexe) problemen op het snijvlak van business en IT en implementeert deze. Lees over zijn dynamische dag in deze blog!

Lees verder