Veel bedrijven hebben geen idee van wat cybersecurity precies inhoudt en hoe überhaupt een doorgewinterde hacker te werk gaat. Het is een groot misverstand dat je als (kleine) online ondernemer geen doelwit zou kunnen zijn. Hackers slapen nooit en sporen volledig geautomatiseerd het hele internet af op zoek naar kwetsbaarheden. Aan het woord is John de Kroon, oprichter en directeur van CyberAnt. “Wij helpen bedrijven bij het detecteren, beheren en oplossen van deze kwetsbaarheden in interne en externe netwerken.”
Eigenlijk is John zelf ook een doorgewinterde hacker, alleen gebruikt hij zijn skills op een ethische manier. “Al sinds de middelbare school ben ik actief als ethisch hacker en in die hoedanigheid heb ik dan ook meer dan tien jaar ervaring en dat is best bijzonder in een nog jonge markt,” zegt hij. “Na een carrière als ethisch hacker voor onder meer de Rabobank, zijn we een aantal jaren geleden met z’n vieren CyberAnt gestart. “Ons doel is om bedrijven te helpen zodat zij zich beter kunnen beschermen tegen cybercriminaliteit.”
Hackers zijn geen magische tovenaars
Berichten in de media over bedrijven die gehackt zijn, roepen wel wat vragen op, maar vaak blijft het daarbij, weet John. “Er wordt nauwelijks actie ondernemen. Men denkt inderdaad van ‘het zal mij niet overkomen, want er valt toch niks te halen’ of ‘als ze echt willen, komen ze toch wel binnen’. Veel mensen hebben het idee dat hackers een soort van tovenaars zijn die met een magische tool dwars door een firewall breken. Niets blijkt echter minder waar. Het zijn juist vaak de kleine kwetsbaarheden die maken dat een hacker het op jou heeft gemunt. Een ongeluk zit in een klein hoekje, dat geldt ook voor cybercriminaliteit. Bijvoorbeeld dat een programmeur of webbouwer ‘even’ vergeten is de deur dicht te zetten of iets over het hoofd heeft gezien. Dat valt een gemiddelde ondernemer niet op, maar kan wel voor grote problemen zorgen. Zo bestelde ik laatst bij een webshop een artikel. Aan het einde van het bestelproces stond het ordernummer in de URL, zoiets als order-43504. Toen ik dat veranderde in order-43503 kreeg ik de gegevens van een andere klant te zien. Het zijn kwetsbaarheden die we tijdens een ‘quickscan’ heel snel kunnen opsporen en die doorgaans heel eenvoudig op te lossen zijn.”
Aandacht verplaatsen
CyberAnt heeft inmiddels al vele honderden beveiligingsonderzoeken uitgevoerd en volgens John nog nooit een rapport opgeleverd zonder bevindingen. “Het geeft maar aan dat cybersecurity toch best ingewikkeld is. Het is een vak. Je doet het er niet even bij. We werken daarbij nauw samen met ontwikkelaars en beheerders om eventuele ‘lekken’ te dichten en doen vervolgens opnieuw een test om te kunnen aantonen dat het lek ook daadwerkelijk is opgelost. Onze website security check is interessant voor eigenlijk ieder bedrijf met digitale middelen die het beschermen waard zijn. Het onderzoek neemt een dag in beslag waarbij we de combinatie van ‘mens en machine’ op een website of webshop loslaten. Daarnaast verzorgen we ook pentesten en audits, maar die nemen vaak een week of zelfs langer in beslag. De tools ontwikkelen we overigens in eigen huis. Ze scannen de systemen af op specifieke kwetsbaarheden. Voor de gemiddelde onderneming is dat voldoende om niet meer de zwakste schakel van het internet te zijn. Want op het moment je geen interessant target meer bent voor een hacker, zal hij zijn aandacht naar een ander verplaatsen.”
Dat John geen kleine jongen is in de wereld van cybersecurity bewees hij enkele jaren geleden. Met zijn ervaring en creativiteit heeft hij een tool ontwikkeld die een bepaald lek in een webserver kon opsporen. “Er brak wereldwijd grote paniek uit, omdat vrijwel iedere grote multinational gebruikmaakte van deze webserver en de deur dus ‘wagenwijd’ openstond. De tool heb ik vervolgens met de security community gedeeld en werd vrij snel overgenomen door alle grote banken in Nederland, maar ook PayPal en zelfs Canada raadde in een officieel statement bedrijven aan mijn tool te gebruiken. En zo blijven we dus ook zelf up to date en voortdurend onze kennis bijspijkeren om elk lek boven water te krijgen, want hackers slapen nooit.”
Geef als eerste een reactie