Ethisch hacker Mathijs breekt dagelijks in: 'Nooit 100 procent veilig'
Daar weet Mathijs Verschuuren alles van. Hij werkt als ethisch hacker bij WhiteHats in Eindhoven. Zijn taak? Ontdekken waar het 'lekt' in de digitale beveiliging van bedrijven. En ze voorbereiden voor het geval dat iemand met kwade bedoelingen daar doorheen probeert te prikken.
Dat kan op verschillende manieren, vertelt Mathijs. "Allereerst door een technisch probleem. Dan breekt iemand in vanaf de buitenkant. Bijvoorbeeld door een webapplicatie van een bedrijf, die niet goed beveiligd is."
"Mensen maken bepaalde keuzes en die zijn niet altijd juist."
Een ander scenario heeft meer met de mens achter die computer of telefoon te maken. "Denk aan phishing, waarbij iemand wordt verleid om op een linkje te klikken. Of iemand wordt overtuigd een bepaalde handeling te verrichten. Dat kan door iemand met valse identiteit - bijvoorbeeld een foto van een bekende - te vragen om wat geld over te maken naar een bepaalde rekening."
En daar zijn we met zijn allen nog niet scherp genoeg op. "Mensen maken bepaalde keuzes en die zijn niet altijd juist. Soms zien we bijvoorbeeld dat er dreigmailtjes worden gestuurd. Daar zijn we dan toch gevoelig voor."
Toch ligt het probleem net zo vaak bij de beveiliging van de grote bedrijven zelf. "Als zo'n aanvaller binnendringt en een bedrijf heeft zijn beveiliging niet op orde, dan kan iemand zo doordringen tot alle systemen. Daar installeren ze dan vervolgens iets, dat de hele boel versleutelt."
"Dat losgeld kan oplopen van 100.000 euro tot miljoenen."
Is dat eenmaal gelukt, dan kun je voorspellen wat er volgt: een verzoek om losgeld. "Dat kan oplopen van 100.000 euro tot miljoenen. Of ik snap dat bedrijven soms betalen? Ik kan me voorstellen dat je bepaalde data echt niet wil verliezen. En dat je zo snel mogelijk weer aan het werk wilt." Toch benadrukt hij - net als het Team High Tech Crime van de politie eerder - dat je beter niks over kunt maken.
Maar wat helpt dan wél? "Je kunt een hoop preventieve maatregelen nemen. Laat bijvoorbeeld experts, die hetzelfde denken als hackers, een beveiligingsonderzoek doen. En zorg ervoor dat áls er iemand binnendringt, hij niet meteen toegang heeft tot je volledige systeem."
"Wij leren zelf ook nog bij van de hackers."
Zelf is Mathijs dagelijks bezig met het bouwen van die schotten in bedrijfsnetwerken, om de schade van cyberaanvallen te beperken. Al is het volgens hem een illusie dat je alle risico's uit kunt sluiten. "Honderd procent veilig ben je nooit. Ook bedrijven die hier proactief mee bezig zijn niet. Wij leren ook nog iedere dag bij van de hackers."