Op zijn vijftiende liep Mischa van Geelen (16) al stage op de beveiligingsafdeling van ABN Amro. Hij wees de Belastingdienst, Sony, KPN en Microsoft op kwetsbaarheden in hun ICT-infrastructuur en het Nationaal Cyber Security Centrum (NCSC) biedt hem een plek om werkervaring op te doen. ‘Dan moet ik nog wel even door de AIVD (Algemene Inlichtingen- en Veiligheidsdienst) gecheckt worden‘, zegt Mischa alsof het niets is.
Wat is een ethische hacker?
'Dat is iemand die op zoek gaat naar kwetsbaarheden van soft- en hardware en deze kwetsbaarheden niet openbaar maakt, maar bedrijven en overheden de kans geeft zaken op orde te krijgen. Zelf vind ik trouwens de term ethische hacker niet zo tof. Het woord hacker klinkt veel te negatief. Ik zie mezelf gewoon als een beveiligingsexpert.'
Ben je zelf altijd ethisch bezig geweest?
'Ethisch wel, maar ik ben niet altijd legaal bezig geweest. Het is ook onvermijdelijk dat je als ethische hacker soms illegaal bezig bent. Om kwetsbaarheden aan te tonen, moet je soms even om de hoek kijken. Je pleegt dan computervredebreuk. Of je een ethische hacker bent, wordt bepaald door wat je vervolgens met de kwetsbaarheid en de aangetroffen data doet. Zet je alles online, verkoop je vertrouwelijke informatie of neem je contact op met de organisatie zodat zij de kwetsbaarheid kunnen verhelpen? Ik kies altijd voor het laatste. Dat wordt een responsible disclosure genoemd.'
Wanneer kwam je erachter dat je bovengemiddeld handig met computers bent?
'Op mijn zevende, toen ik voor het eerst de computer van mijn ouders gebruikte. Deze draaide op Windows XP. Het duurde niet lang voordat ik het besturingssysteem van binnen en van buiten kende.'
Wat was je eerste responsible disclosure?
'Een melding van een lek in de zoekfunctie van de website van ABN Amro. Ik was toen 14 jaar. In eerste instantie reageerde de bank heel fel. Ze voelden zich aangevallen. Nadat ik bij hen langs ben gegaan en zij doorkregen wat ik kan en waar ik voor sta, vroegen ze me zelfs om stage bij hun Security Operations Center te lopen. Een super mooi aanbod dat ik met beide handen heb aangegrepen. Ik heb daar toen zeven maanden gezeten. Inmiddels heb ik al 200 meldingen op mijn naam staan.'
Zijn organisaties altijd blij als je een kwetsbaarheid meldt?
'Nee, zeker niet. Sommige organisaties reageren heel agressief. Hebben het idee dat je misschien wel geld wilt of anders de kwetsbaarheid openbaar maakt. Ik blijf in zulke gevallen altijd kalm, of schiet soms in de lach, en leg duidelijk uit dat ik geen cybercrimineel ben, maar de beste intenties heb. De organisaties die trouwens zo reageren, hebben meestal geen beleid voor responsibe disclosure. Degenen die dat wel hebben, kennen het fenomeen van de ethische hacker natuurlijk wel. En het aantal organisaties met een responsible disclosure-beleid wordt gelukkig ook steeds groter.'
Wat is het grootste beveiligingslek dat je ooit gevonden hebt?
'Het grootste lek waarover ik kan praten omdat het in de media is geweest, was het lek in twee routers van Ahoy Rotterdam. Deze routers waren zonder wachtwoord verbonden met internet. Hierdoor was het mogelijk om op de routers in te loggen en verkeer te onderscheppen. Na de melding van het lek zijn de routers voorzien van een wachtwoord.'
Waarin verschilt het bedrijfsleven met de overheid als het om beveiliging gaat?
'De beveiligingsproblemen waar zij tegenaan lopen verschillen niet van elkaar. De manier waarop deze worden verholpen wel. Het bedrijfsleven is flexibeler en innovatiever waardoor problemen sneller worden opgelost. De overheid kan ook niet altijd zomaar doen wat nodig is omdat ze bijvoorbeeld vastzit aan langlopende contracten of nieuwe ICT-dienstverleners alleen via een aanbestedingstraject mag aantrekken. Aan die regels is het bedrijfsleven niet gebonden.'
Het RD-beleid (zie kader) in Nederland is uniek. Zijn ethische hackers hiermee voldoende beschermd?
'Ik vind van niet want niet elke organisatie voert een RD-beleid waardoor je alsnog kunt worden aangeklaagd als je een beveiligingslek meldt. Zo heb ik een lek ontdekt in een nieuwssite, maar omdat zij geen RD-beleid hebben, meld ik het lek niet. Ik heb namelijk geen zin in juridische problemen.'
Hoeveel uur per dag zit je achter de computer en houd je nog wel tijd over voor school?
'Ik ga sinds vier maanden niet meer naar school. Dankzij de inspanningen van PvdA-Kamerlid Astrid Oosenbrug ben ik vrijgesteld van leerplicht. Ik pas gewoon niet in een schoolsysteem. Het ging ook steeds slechter op school. Ik werd jaar na jaar een niveau lager geplaatst en veel gepest. Daar ben ik nu vanaf en houd ik me alleen nog maar bezig met mijn passie en talent. Wel volg ik een aantal HBO-cursussen Cybersecurity, maar daar ga ik binnenkort ook mee stoppen want de docenten hebben me gevraagd om les te komen geven omdat zij mij niets meer kunnen leren.'
Heb je nog tips voor consumenten en MKB’ers om veilig te internetten?
'De belangrijkste tip voor consumenten is het regelmatig updaten van je besturingssysteem, browser en hulpprogramma’s. Dan ben je zo goed als mogelijk beschermd. Open ook geen e-mail die je niet vertrouwd. Die kunnen virussen bevatten. Voor MKB’ers gelden eigenlijk dezelfde tip, maar ik zou ze ook adviseren een beleid voor responsible disclosure op te stellen naar de standaarden van het NCSC. Dan kunnen ethische hackers op een fatsoenlijke manier kwetsbaarheden melden. En daar heeft iedereen wat aan.'
Leidraad responsible disclosure
Het Nationaal Cyber Security Centrum (NCSC) heeft een leidraad opgesteld die er toe moet bijdragen dat melders die kennis hebben van kwetsbaarheden en deze verholpen willen zien en de organisaties die hiermee te maken hebben en afhankelijk zijn van deze kwetsbare systemen bij elkaar komen. Ga voor meer informatie en de leidraad naar: https://www.ncsc.nl/actueel/Responsible+Disclosure+Leidraad*.
*Door op de links met een sterretje te klikken, word je naar een externe website gestuurd. De link opent automatisch in een nieuw tabblad.