‘Ik hack u op verzoek’

LEESTIJD: 4,5 MIN

Sanne Maasakkers is ethical hacker en security expert bij Fox-IT. Ze hackt organisaties op verzoek omdat de klant in het kader van risicobeheersing wil weten waar kwetsbaarheden liggen in de systemen of wat de digitale weerbaarheid is tegen hackers met kwade bedoelingen. En hoe cliché het ook klinkt, geen enkele dag is voor Sanne hetzelfde.

Kroonjuwelen

‘Bij penetration testing probeert een ethical hacker zoals ik binnen te komen bij organisaties op plekken die zij als kroonjuwelen beschouwen. Kroonjuwelen kunnen bijvoorbeeld gevoelige gegevens, interne systemen of applicaties zijn waarvan de organisatie niet wil dat deze verstoord, verwijderd of gestolen kunnen worden. Samen met de organisatie kijk ik naar deze kroonjuwelen en de mogelijke dreiging en risico’s op hacken. Ik onderzoek systemen om te ontdekken of er kan worden ingebroken. Zou ik in theorie alle bestanden kunnen versleutelen? Of kan ik erbij komen door fysiek op bezoek te gaan bij de organisatie zonder gesnapt te worden? Bij de meer security volwassen organisaties voert een team van ethical hackers een Red Team assessment uit. Dit is een oefening om het verdedigende team van een organisatie te testen door een aanval uit te voeren. Worden wij wel gedetecteerd door de organisatie? En zo ja, wat doet het verdedigende team eraan om ons uit alle systemen te werken?’

Gratis lesmateriaal

Ook het geven van crisisoefeningen, hackersdemo’s en voorlichting aan organisaties en consumenten en het delen van kennis met bijvoorbeeld studenten en scholieren ziet Sanne als een belangrijk onderdeel van de functie om de wereld een stukje veiliger te maken. ‘Ik bied gratis lesmateriaal voor kinderen vanaf 8 jaar om ze bewust maken van de gevaren op het internet. Wij als security experts weten goed hoe het moet. Hoe mooi zou het zijn als iedere security expert regelmatig voor een klas staat of familieleden even helpt bij het veiliger maken van de digitale omgeving waarin die persoon werkt en handelt?’

Cyberaanvallen gebeuren de hele dag door. Veelal geautomatiseerd en totaal niet geavanceerd, zoals in het geval van automatische scans of phishingaanvallen. Hier zijn we over het algemeen goed tegen beschermd, maar wanneer ze geavanceerder zouden zijn, kan de impact enorm zijn.

‘Een cyberaanval blijft een kat-en-muisspel’

Kat-en-muisspel

‘Een cyberaanval volledig voorkomen is onmogelijk: het blijft een kat-en-muisspel tussen steeds beter wordende verdedigers en steeds beter wordende aanvallers. Daarom is het belangrijk om ook je detectie en respons goed op orde te hebben om de impact te verkleinen. Neem bijvoorbeeld ransomware: kun je de kwaadaardige software tijdig detecteren, is je netwerk goed gesegmenteerd, heb je offline back-ups gemaakt, heb je de netwerkverbinding van het getroffen systeem zo snel mogelijk verbroken en dit scenario geoefend met je medewerkers? Dan blijft de impact van de aanval redelijk beperkt.’

Portret Sanne Maasakker achter computerscherm met zwarte hoody aan

FOTO: HARMEN DE JONG

Nationaal Crisisplan Digitaal

Veel organisaties hebben hun digitale weerbaarheid niet voldoende op orde. Voor kleine organisaties kan dit het einde van hun bestaan betekenen, voor andere organisaties een grote verstoring van de operatie én reputatieschade. En dat laatste is waarschijnlijk erger dan het bedrag dat ze kwijt zijn aan herstelwerkzaamheden. Een geavanceerde aanval op Nederland kan leiden tot nationale ontwrichting, bijvoorbeeld doordat een grote hackersgroepering de vitale infrastructuur heeft verstoord. Niet alleen de genoemde verstoring heeft een grote impact, maar ook digitale spionage bij onder andere Nederlandse high-techbedrijven kan een enorme impact hebben op Nederland. Daarom heeft de NCTV het Nationaal Crisisplan Digitaal gemaakt.

‘Met dit plan gaan we dit jaar voor de derde keer oefenen in samenwerking met verschillende organisaties van BV Nederland. Ik vind het oefenen belangrijk omdat we met elkaar een verantwoordelijkheid hebben als het gaat om veilig digitaal werken. Mijn bijdrage is het schrijven van een realistisch dreigingsscenario en het beschikbaar stellen van technisch materiaal dat de crisisteams moeten onderzoeken.’

Het is als hacker belangrijk om de ontwikkelingen nauw te volgen. Vandaag kan er een kwetsbaarheid worden aangekondigd die Sanne morgen gelijk in een test moet verwerken. Nieuwsgierigheid en leergierigheid horen bij haar werk. Ze ziet wel een steeds hoger securitybewustzijn bij medewerkers binnen de organisaties waarvoor ze werkt.

‘Soms ben je er gewoon even niet bij met je hoofd en daar maken cybercriminelen misbruik van’

‘Gelukkig maar! De e-mails van de zogenaamde ’Nigeriaanse prins’ zien we gelukkig niet meer zo vaak. En mensen trappen hier tegenwoordig ook minder snel in. Het blijft een kat-en-muisspel tussen hackers en verdedigers. Vaak hoor je dat de mens de zwakste schakel is in security maar daar ben ik het niet mee eens. We moeten juist blij zijn dat we die extra, menselijke detectie hebben wanneer detectie door technische systemen niet voldoende is. Daardoor vind ik de mens juist een erg sterke schakel. Maar het werkt ook andersom. Technische maatregelen kunnen onveilige acties van medewerkers oplossen. Want hoe goed je medewerkers ook voorlicht en bewust maakt, we moeten erkennen dat we niet kunnen voorkomen dat sommigen ingaan op een phishingmail of een andere onveilige actie uitvoeren. Soms ben je er gewoon even niet bij met je hoofd en daar maken de cybercriminelen misbruik van.’

Opengeklapte laptop met cyberbeeld ertussen en typende vingers

Sanne geeft mee dat je kritisch moet zijn met wat je aansluit op jouw netwerk. Dat kan voor organisaties een nieuwe applicatie of nieuw systeem zijn. Test dan altijd van tevoren met een penetration test. Voor de consument kan dat ook een applicatie zijn of een nieuw slim apparaat dat je aansluit. Check dan of het een betrouwbare ontwikkelaar is die regelmatig updates uitbrengt. En als je dan toch bezig bent: maak gelijk een back-up.

Sterke authenticatie

‘Veelal komen wij als hackers ergens binnen omdat er nog een verouderde versie van een besturingssysteem, protocol of applicatie draait. Voor consumenten geldt: update niet alleen je laptop, PC en smartphone wanneer er een nieuwe update uit is, maar ook alle andere apparaten die je aansluit op het internet. Zorg daarnaast ook voor sterke authenticatie. Voor iedereen geldt: wachtwoorden kunnen gekraakt, geraden, hergebruikt of gephisht worden. Als organisatie is het slim ervoor te zorgen dat medewerkers enkel toegang krijgen tot het netwerk en gegevens met een tweedefactorauthenticatie, bijvoorbeeld door middel van een code op je telefoon of extra token. Consumenten raad ik aan: zorg ervoor dat je deze authenticatie inschakelt op je online accounts. Voorkomen is altijd beter dan genezen.’

Sanne Maasakkers Ethical hacker en security expert bij Fox-IT

Fox-IT is een Nederlands bedrijf, onderdeel van de Britse NCC group, op het gebied van computer- en netwerkbeveiliging. Zij adviseert en ondersteunt o.a. overheden, financiële instellingen en bedrijven op het gebied van vitale infrastructuur.

OOK INTERESSANT VOOR U:

Button doorklik naar pagina 'De digitale wereld moet in ons DNA terechtkomen'

De impact van de digitale weerbaarheid op de crisisbeheersing in NL

Button doorklik naar pagina 'We kunnen niet op ons eiland blijven zitten'

Lessen uit de cybercrisis bij de VNOG

Button doorklik naar pagina 'Kennishoek'

Meer leren over digitale weerbaarheid?


deel deze pagina: