Laat eens een hacker op je bedrijf los

Een internationaal veelgevraagd spreker op dit gebied is Edwin van Andel. Omdat hij al 35 jaar als ‘ethical hacker in hart en nieren’ door het leven gaat en alles en iedereen in dit vaak als schimmig beschouwde wereldje kent. 

Op Accountancy Expo 2019 (meld u gratis aan met code ADV2019) zullen bezoekers aan zijn lippen hangen. Wat mag, wat moet en wat kan absoluut niet als het om ‘computer kraken’ gaat?

“Hackers zijn best lief hoor”, grijnst Edwin van Andel, één van de sprekers op Accountancy Expo, over zijn masterclass. “De bonafide tenminste… In de media vaak afgeschilderd als enge types met zwarte maskers op. Maar in werkelijkheid juist van essentieel belang om duistere figuren uit de computerbestanden van je bedrijf te weren.”

Hoe computerkrakers denken
“Hackers weten hoe computerkrakers denken”, legt Van Andel uit. “En kennen de ethische zorgen om systemen veiliger te krijgen. Sinds 2013 werken we samen met de Nederlandse overheid om te voorkomen dat het melden van gaten in de computerbeveiliging automatisch tot vervolging leidt.” 

Dat overleg heeft mede de huidige spelregels opgeleverd. Als een ethische hacker een database weet binnen te komen, gaat hij of zij niet hele bestanden downloaden. Een klein deel is voldoende om betrokken bedrijf vervolgens te waarschuwen. De Europese privacywetgeving die 25 mei 2018 is ingegaan, biedt kansen voor de ethische hacker. Van Andel signaleert dat vooral grote bedrijven daar accuraat op inspelen. “Ik mag geen namen van klanten noemen, maar het zijn echt de serieuze spelers in het internationale bedrijfsleven. Het mkb anticipeert veel minder alert op de AVG.”

[avg-advertorial slug=”kom-naar-de-accountancy-expo-op-16-juni-2020″] 

Edwin van Andel en zijn collega-hackers werken vaak volgens het ‘bug bounty’ principe. De opdrachtgever stelt een budget beschikbaar, hackers die lekken ontdekken worden beloond. En als er zoveel gaten in de computerbeveiliging blijken te bestaan dat het budget is verbruikt, volgt verhoging.

Eén vent voor dit werk
“Klinkt duur, maar is het niet”, zegt Van Andel. “Stel een bedrijf vreest voor lekken en legt 20.000 euro opzij om die te vinden en te dichten. Ze kunnen er voor kiezen om er 20 tot 25 hackers op los te laten. Zij die de fouten ontdekken, krijgen 1500 euro per lek. Tot alles is gevonden. Door zo’n groep te laten zoeken, heb je meer kans op succes. Verschillende specialismen, meer ogen, het hele veld van risico’s afdekkend. Crowd sourced hackers. Natuurlijk kun je voor dit werk ook één vent in vaste dienst nemen. Maar dan is de kans op het boeken van succes toch echt stukken kleiner.”

Ook aan te raden, volgens de Van Andel doctrine: regulier bug bounty toepassen. Bijvoorbeeld elke maand, telkens 25 nieuwe hackers. Die met frisse blik naar de systemen laten kijken en zoeken. “Beter dan zo’n jaarlijkse penetration test”, aldus Van Andel. “Want die is en blijft een momentopname. Een dag later kan het immers alsnog helemaal misgaan en dan blijft een lek elf maanden en 30 dagen onopgemerkt. Duur, bug bounty, maandelijks? Welnee. Schrap 1 pentest en je bent een jaar gedekt. Als een team niets vindt, hoeven er ook geen bounty’s betaald te worden.”

In alle stilte opgelost
Voorbeeld uit de praktijk: lek bij een groot bedrijf. Ontdekt met bug bounty. In alle stilte opgelost. Prijskaartje: 1500 euro voor de ethische computerkraker. “Onlangs gebeurd”, vertelt Edwin van Andel. “De opdrachtgever analyseerde de situatie en berekende wat de kosten óók hadden kunnen zijn. In een poging de crisis achteraf alsnog te hebben moeten bezweren. Forensisch team, marketing team, communicatie team. Reputatieschade. Boete van de Autoriteit Persoonsgegevens. Men kwam op een kostenplaatje van zo’n 3,5 miljoen euro.”

Op Accountancy Expo 2019 praat Edwin van Andel hierover verder. “Want ethische hackers zijn niet slecht. Ze zijn eigenlijk best lief.”