"Het is belangrijk dat iedereen de job van cyberexpert leert appreciëren"

Inti: (lacht) “Het is maar een suggestie. Ik heb het vroeger ook gedaan bij een quiz van De Standaard, ‘Het Grootste Licht’. Ik had één cruciale fout gemaakt. Ik had mezelf een score toebedeeld die mathematisch niet mogelijk was.

Het is belangrijk dat je nadien toegeeft dat je hebt vals gespeeld én dat je vertelt hoe je dat gedaan hebt. Als ethisch hacker moet je ervan uitgaan dat alles kan, zolang je nadien maar eerlijk bent.”

Inti: “Cyberexperten werken vaak in de schaduw. Bovendien wordt hun werk nooit echt geapprecieerd. Wanneer een bedrijf gehackt wordt, kijkt iedereen naar hen omdat ze hun job niet naar behoren zouden gedaan hebben.

Zolang een bedrijf niet gehackt wordt, kijkt iedereen naar hen omdat ze overbodig lijken. Ik vind het belangrijk dat iedereen de job van cyberexpert, in welke vorm dan ook, leert appreciëren.”

Inti: “Toen ik als tiener naar veiligheidslekken zocht, was dat illegaal. De meeste bedrijven konden het wel plaatsen wanneer ik hen op onveilige situaties wees. In 2014 was er een bedrijf dat daar absoluut niet mee om kon. Ik heb er een strafblad met opschorting aan over gehouden. Dat heb ik ingekaderd. Het hangt naast een brief die ik ontving van Miguel De Bruycker, directeur van het Centrum voor Cybersecurity, omdat ik vorig jaar een kwetsbaarheid vond in de systemen van de federale overheid.

Die twee documenten tonen de evolutie. Ons land heeft op dit moment een van de meest progressieve wetgevingen als het op ethisch hacken aankomt.”

Inti: “Bij het woord hacken denken mensen nog steeds te veel aan Hollywoodfilms waarbij criminelen met behulp van malafide software personen, bedrijven of overheden veel schade toebrengen.

Een ethische hacker denkt als een crimineel, maar voert alleen de eerste stap uit. Hij of zij zoekt naar veiligheidslekken of kwetsbaarheden die door mensen met slechte bedoelingen uitgebuit zouden kunnen worden. Op die manier kunnen de lekken op tijd gedicht worden.”

Inti: “Ook al draag je als organisatie cyberveiligheid hoog in het vaandel, kwetsbaarheden in applicaties of IT-infrastructuur zijn onvermijdelijk. Dat heeft verschillende oorzaken. Digitale innovaties moeten zo snel doorgevoerd worden dat het voor IT’ers bijna onmogelijk is om alles te controleren.

Daarnaast is het niet omdat je investeert in dure beveiligingstools dat je gegarandeerd hackers tegenhoudt. Een ethische hacker helpt om met een open blik naar jouw IT-infrastructuur te kijken. Elke kwetsbaarheid die je in bedrijfssoftware vindt, moet je vieren. Steeds meer bedrijven begrijpen dat. Zij die het niet begrijpen, worden vroeg of laat een hoogtepunt in het nieuws wanneer ze gehackt zijn.”

Inti: “Intigriti is een platform dat ethische hackers en bedrijven met elkaar matcht. We hebben in de afgelopen jaren een wereldwijde community opgebouwd van zo’n 75.000 ethische hackers. Zij gaan in opdracht van bedrijven of overheden op zoek naar kwetsbaarheden. Ons vergoedingssysteem is uniek. Hoe groter de potentiële impact van het veiligheidslek, hoe hoger het bedrag dat je als hacker verdient. Het gaat om bonussen tussen de vijfhonderd en honderdduizend euro.

Veertig procent van onze leden zijn studenten die dankzij dit soort opdrachten een mooie bijverdienste hebben. Ook voor academici uit het veld is het een dankbare manier om hun onderzoeken in de praktijk om te zetten.”

Inti: “Voor mij springen er twee uit: automatisering en targeting. Dankzij automatisering slaan criminelen veel meer informatie op. Zodra er een kwetsbaarheid opduikt waar ze misbruik van kunnen maken, slaan ze direct toe. In de sector kent iedereen Patch Tuesday. Op elke tweede dinsdag van de maand sturen bedrijven updates uit om hun software beter te beschermen. Hackers die infrastructuur in kaart brengen met behulp van automatisering zullen die updates voorblijven.”

“Ten tweede is er targeting. Vroeger gebruikten hackers een standaardbedrag wanneer ze ransomware installeerden en losgeld vroegen. Vandaag zie je dat het bedrag varieert naargelang de grootte van het bedrijf dat gegijzeld wordt. Hackers zijn met andere woorden veel beter geïnformeerd.”

Inti: “Alles begint met goed risicomanagement. Wat zijn de kroonjuwelen van jouw organisatie? Hoe zijn die beschermd? Waar kan het beter? Je gaat er als organisatie maar beter van uit dat je ooit gehackt wordt. Europese regelgeving zoals de NIS2-richtlijn is nuttig om bedrijven in de juiste richting te bewegen. Iedereen draagt verantwoordelijkheid in deze verbonden wereld.”

“Weet je waar het in onze sector te weinig over gaat? Bedrijfscultuur. Op welke manier ga je als bedrijf om met cyberveiligheid? Het is niet meer van deze tijd om mensen, die per ongeluk malware hebben binnengebracht in een bedrijf, te ontslaan. Gelukkig is die blaming cultuur stilaan aan het verdwijnen. Maar dat wil nog niet zeggen dat we er zijn. Ik vind dat we transparanter moeten communiceren over cyberveiligheid. Ook als het mis gaat.”