‘Eén lek kan einde bedrijf betekenen’

Schoonbrood begon zijn bedrijf WhiteHats 5 jaar geleden. Nadat hij van jongs af aan had gewerkt als zelfstandig softwareontwikkelaar en consultant. “Ik had voor een klant een programma ontwikkeld dat gekoppeld was aan het internet. Op mijn aanraden heeft die opdrachtgever een beveiligingsonderzoek naar mijn bouwsel laten uitvoeren, om te testen of het veilig was. Dat bleek zo te zijn. Toen bedacht ik dat ik zelf dat soort onderzoeken ook kan doen, en nog beter ook.”

Veel vraag en weinig aanbod

Hij besloot een bedrijf in ethisch hacken op te richten, ‘white hat’ is de bijnaam voor hackers met goede bedoelingen. “Het was een schot in de roos. Ik begon met rondvragen in mijn eigen netwerk of er behoefte was aan een dergelijke onderneming. In het begin heb ik nog een Google Ads-campagne opgezet om bekendheid te krijgen, maar inmiddels doe ik niets meer aan acquisitie. Klanten komen naar ons toe, via eerdere opdrachtgevers of gewoon door op internet te zoeken naar ethische hackers. Er is veel vraag en kennelijk weinig aanbod.”

Een klein foutje kan een enorm imagoprobleem opleveren

Geen ‘bekeerde’ hackers

WhiteHats is gespecialiseerd in het opsporen van kwetsbaarheden in maatwerk-software. Dit is een belangrijk onderdeel van het zogenaamde penetratietesten. “Bedrijven als Booking.com of Marktplaats zíjn hun website. Ook bedrijven die werken met gevoelige persoonlijke informatie of financiële gegevens willen zeker niet gehackt worden, dat betekent meteen het einde van hun bedrijf.” De klanten van Schoonbrood zijn onder andere verzekeringsmaatschappijen, organisaties in de zorg, Rijkswaterstaat en de politie. “Dat soort bedrijven heeft wel een eigen software-ontwikkelteam, maar dat is niet zo groot dat ze ook beschikken over securityspecialisten.”

De medewerkers van WhiteHats zijn in de meeste gevallen begonnen als softwareontwikkelaars, met een grote affiniteit voor veiligheid. Het zijn geen ‘bekeerde’ hackers. “Ik heb meer aan een goede softwareontwikkelaar die nog nooit heeft gehackt, dan aan hackers die nog nooit software hebben ontwikkeld.”

Eigen vlees keuren

Op verzoek van hun klanten onderzoekt WhiteHats de software op kwetsbaarheden. “Als we een zwakke plek ontdekken, leggen we het probleem uit aan het ontwikkelteam van het bedrijf. Zij lossen het vervolgens zelf op, het secundaire doel van onze onderneming is het vergroten van de kennis van de ontwikkelteams bij bedrijven. Die hebben vaak prima teams, alleen missen ze soms net wat kennis op het gebied van security. Bovendien, als wij het zelf oplossen is het een beetje als de slager die zijn eigen vlees keurt.” WhiteHats werkt hierbij met vaste prijzen: “We bepalen van tevoren wat we onderzoeken en welk protocol we aflopen en daarvoor rekenen we een vast bedrag.”

Enorm imagoprobleem

Als Schoonbrood wordt ingeschakeld, vindt hij altijd wel iets. “Maar dat is niet altijd erg, zeker niet als dat ergens in een uithoek van het programma zit. Je kunt in het verkeer ook wel eens een foutje maken, zonder dat je meteen een ongeluk veroorzaakt. Het gaat erom dat je de kwetsbaarheid ontdekt die een keten van problemen veroorzaakt.” Een van de belangrijkste problemen die Schoonbrood en zijn medewerkers tegenkomen, is de mogelijkheid om een wachtwoord te omzeilen. “Dat is voor onze klanten een heel ernstige fout, omdat daardoor bijvoorbeeld patiëntendossiers op straat kunnen komen. Dat kan verstrekkende gevolgen hebben voor de privacy van die patiënten. Daarnaast is het lekken en manipuleren van gegevens een groot probleem.” Veel van Whitehats’ opdrachtgevers laten dan ook regelmatig hun zelfontwikkelde software opnieuw doorlichten. “Zeker als er telkens koppelingen aan de applicatie worden toegevoegd of andere uitbreidingen plaatsvinden, is dat wel verstandig. Want een klein foutje kan een enorm imagoprobleem opleveren.”

Tips van Thijs Schoonbrood

Wat kun je als ondernemer zelf doen om je gegevens te beschermen?

• alles begint met een goed, lang wachtwoord. Gebruik een wachtwoordmanager en tweestapsverificatie: een dubbele beveiliging met bijvoorbeeld een wachtwoord en een toegangscode die naar je telefoon wordt gestuurd.
• zorg dat je wifi-netwerk is beveiligd met minimaal WPA2 (op dit moment het meest gebruikte beveiligingsprotocol voor je draadloze netwerk) en bied je bezoekers alleen toegang op een gast-netwerk.
• installeer altijd alle updates, ook voor je router
• gebruik een goed beschermingspakket met onder andere een malware scanner
• phishing mails worden steeds moeilijker als zodanig te herkennen, met name als een hacker jouw bedrijf specifiek wil raken. Soms zijn ze vermomd als mailtjes van je helpdesk of bevatten ze namen van je collega’s. Dit soort mailtjes is bijna niet te vangen met een spamfilter, omdat ze in tegenstelling tot de makkelijk herkenbare nep-mails, altijd anders zijn. Het blijft een kwestie van goed opletten. Kijk bijvoorbeeld goed naar het e-mailadres van de afzender, soms zit daar net een kleine afwijking in.