Deel dit artikel:

25 feb 2022

|

Economie

We kunnen niet zonder ethisch hacken

Journalist: Mark van der Heijden

|

Foto: Tobias Groenland

IT en het internet zijn zo groot, zo complex en zo essentieel geworden voor de samenleving, het kan niet meer bestaan als er niet mensen zijn die vrijwillig problemen willen oplossen. Hackers dus, of meer precies ethische hackers, die altijd bereid zijn oplossingen te zoeken voor problemen die anderen niet vinden.

 

 Midden in de zomer van 2021 moet de Zweedse supermarktketen Coop vrijwel al zijn 800 winkels sluiten. Bijna een week blijven de deuren dicht, ook in dorpen waar Coop de enige supermarkt is.

 

Coop werd het slachtoffer van een lek in de software van het Amerikaanse bedrijf Kaseya. Kaseya levert software waarmee serviceproviders op afstand de systemen van hun klanten kunnen beheren – ook die van Coop. Een ransomware-aanval legt de serviceproviders stil en daarmee ook de kassa’s van supermarkten. Zeker 1500 organisaties in de hele wereld worden geraakt door de aanval.

 

Het lek – feitelijk zelfs zes kwetsbaarheden – was drie maanden daarvoor ontdekt door Wietse Boonstra, een hacker van het Nederlandse instituut DIVD. “We hebben partijen in Nederland op tijd gewaarschuwd”, zegt Victor Gevers, medeoprichter van DIVD, “en de overheid gevraagd om te komen helpen, maar dat is helaas niet helemaal gelukt, mede door wettelijke beperkingen, een afgebakend mandaat en waarschijnlijk ook niet de capaciteit met als gevolg dat veel organisaties wereldwijd omvielen begin juli 2021.”

 

Ondanks dat bewijst dit voorbeeld het nut van ethisch hacken. “IT is zo groot, complex en essentieel voor het bestaansrecht van internet, dat er ook mensen moeten zijn die problemen in IT belangeloos willen oplossen. Anders kan het internet niet bestaan. De uitvoer daarvan kun je je gerust toevertrouwen aan organisaties en mensen die dat met de beste intenties doen.”

 

“Hackers zijn ontzettend belangrijk in een organisatie”, vervolgt Gevers, die overdag innovatiemanager bij de Nederlandse overheid is. “Je hebt mensen nodig die systemen ontwerpen, mensen die ze bouwen én mensen die testen of ze veilig zijn. Ethische hackers zijn ook handig in het gladtrekken van processen waar kwetsbaarheden in zitten en testen ook of uitwijkscenario’s goed zijn.”

 

Veel organisaties onderschatten het risico. “Ook een zzp’er die contact heeft gehad met een bedrijf waar criminele hackers interesse in hebben, is een schakel in het proces”, waarschuwt hij. Het is daarom verstandig dat elke organisatie software en hun processen laat testen. Daarvoor kun je ethische hackers inhuren, en als je ze kan betalen is het beter ze in dienst te nemen. “Als je mensen binnenhaalt, begrijpen ze de business beter. Ze weten wat de kroonjuwelen zijn.”

 

Dat een lek ook niet altijd door een fout in de software komt, wordt ook snel over het hoofd gezien. “Het kan ook een gevolg van onveilige standaarden zijn. Het kan ook zijn dat men door een menselijke fout de bescherming uitschakelt. En het laatste is dat er kwetsbare routines in zitten waar misbruik van wordt gemaakt.”

 

DIVD en Gevers hebben door de ontdekking van de Kaseya - en vele andere kwetsbaarheden - hun naam in de wereld gevestigd. Kunnen ethische hackers de strijd tegen aanvallen van buiten winnen? “Ervaren IT’ers hebben hun lessen geleerd, maar als ze in hun functie doorgroeien, geven ze de kennis niet altijd door aan de nieuwe generatie. Bovendien komt er steeds meer technologie bij, Web 3.0 staat om de hoek. En onder de motorkap blijven dezelfde fouten terugkomen omdat mensen te trots zijn om de handleiding te willen lezen.”

 p-40-20180910-hackershandshake-victor-gevers-by-tobias-groenland-800px-72dpi.jpeg

Victor Gevers, medeoprichter van DIVD

Gesponsord