"Het is belangrijk dat iedereen de job van cyberexpert leert appreciëren"

03 oktober 2023 - 8 min

Inti De Ceukelaire grijpt elke kans om de onzichtbare job van cyberexperten en ethische hackers in het voetlicht te plaatsen. Of hij daar nu Facebook, Donald Trump of het Vaticaan voor moet hacken. Als jurylid van De Slimste Cyberexpert hoopt de bekendste ethische hacker van België dat de winnaar van de wedstrijd vals speelt. 

Vals spelen, Inti. Meen je dat?

Inti: (lacht) “Het is maar een suggestie. Ik heb het vroeger ook gedaan bij een quiz van De Standaard, ‘Het Grootste Licht’. Ik had één cruciale fout gemaakt. Ik had mezelf een score toebedeeld die mathematisch niet mogelijk was.

 

Het is belangrijk dat je nadien toegeeft dat je hebt vals gespeeld én dat je vertelt hoe je dat gedaan hebt. Als ethisch hacker moet je ervan uitgaan dat alles kan, zolang je nadien maar eerlijk bent.”

Waarom ben je jurylid van De Slimste Cyberexpert?

Inti: “Cyberexperten werken vaak in de schaduw. Bovendien wordt hun werk nooit echt geapprecieerd. Wanneer een bedrijf gehackt wordt, kijkt iedereen naar hen omdat ze hun job niet naar behoren zouden gedaan hebben.

 

Zolang een bedrijf niet gehackt wordt, kijkt iedereen naar hen omdat ze overbodig lijken. Ik vind het belangrijk dat iedereen de job van cyberexpert, in welke vorm dan ook, leert appreciëren.”

Wat is de laatste 10 jaar veranderd?

Inti: “Toen ik als tiener naar veiligheidslekken zocht, was dat illegaal. De meeste bedrijven konden het wel plaatsen wanneer ik hen op onveilige situaties wees. In 2014 was er een bedrijf dat daar absoluut niet mee om kon. Ik heb er een strafblad met opschorting aan over gehouden. Dat heb ik ingekaderd. Het hangt naast een brief die ik ontving van Miguel De Bruycker, directeur van het Centrum voor Cybersecurity, omdat ik vorig jaar een kwetsbaarheid vond in de systemen van de federale overheid.

 

Die twee documenten tonen de evolutie. Ons land heeft op dit moment een van de meest progressieve wetgevingen als het op ethisch hacken aankomt.”

Wat houdt ethisch hacken precies in?

Inti: “Bij het woord hacken denken mensen nog steeds te veel aan Hollywoodfilms waarbij criminelen met behulp van malafide software personen, bedrijven of overheden veel schade toebrengen.

 

Een ethische hacker denkt als een crimineel, maar voert alleen de eerste stap uit. Hij of zij zoekt naar veiligheidslekken of kwetsbaarheden die door mensen met slechte bedoelingen uitgebuit zouden kunnen worden. Op die manier kunnen de lekken op tijd gedicht worden.”

Waarom zouden bedrijven samenwerken met ethische hackers?

Inti: “Ook al draag je als organisatie cyberveiligheid hoog in het vaandel, kwetsbaarheden in applicaties of IT-infrastructuur zijn onvermijdelijk. Dat heeft verschillende oorzaken. Digitale innovaties moeten zo snel doorgevoerd worden dat het voor IT’ers bijna onmogelijk is om alles te controleren.

 

Daarnaast is het niet omdat je investeert in dure beveiligingstools dat je gegarandeerd hackers tegenhoudt. Een ethische hacker helpt om met een open blik naar jouw IT-infrastructuur te kijken. Elke kwetsbaarheid die je in bedrijfssoftware vindt, moet je vieren. Steeds meer bedrijven begrijpen dat. Zij die het niet begrijpen, worden vroeg of laat een hoogtepunt in het nieuws wanneer ze gehackt zijn.”

Ons land heeft op dit moment een van de meest progressieve wetgevingen als het op ethisch hacken aankomt

Inti De Ceukelaire

Chief Hacker Officer bij Intigriti

Jij bent Chief Hacker Officer. Wat betekent dat?

Inti: “Intigriti is een platform dat ethische hackers en bedrijven met elkaar matcht. We hebben in de afgelopen jaren een wereldwijde community opgebouwd van zo’n 75.000 ethische hackers. Zij gaan in opdracht van bedrijven of overheden op zoek naar kwetsbaarheden. Ons vergoedingssysteem is uniek. Hoe groter de potentiële impact van het veiligheidslek, hoe hoger het bedrag dat je als hacker verdient. Het gaat om bonussen tussen de vijfhonderd en honderdduizend euro.

 

Veertig procent van onze leden zijn studenten die dankzij dit soort opdrachten een mooie bijverdienste hebben. Ook voor academici uit het veld is het een dankbare manier om hun onderzoeken in de praktijk om te zetten.”

Welke securitytrends zie je op dit moment?

Inti: “Voor mij springen er twee uit: automatisering en targeting. Dankzij automatisering slaan criminelen veel meer informatie op. Zodra er een kwetsbaarheid opduikt waar ze misbruik van kunnen maken, slaan ze direct toe. In de sector kent iedereen Patch Tuesday. Op elke tweede dinsdag van de maand sturen bedrijven updates uit om hun software beter te beschermen. Hackers die infrastructuur in kaart brengen met behulp van automatisering zullen die updates voorblijven.”

 

“Ten tweede is er targeting. Vroeger gebruikten hackers een standaardbedrag wanneer ze ransomware installeerden en losgeld vroegen. Vandaag zie je dat het bedrag varieert naargelang de grootte van het bedrijf dat gegijzeld wordt. Hackers zijn met andere woorden veel beter geïnformeerd.”

Hoe bescherm je je daar als organisatie tegen?

Inti: “Alles begint met goed risicomanagement. Wat zijn de kroonjuwelen van jouw organisatie? Hoe zijn die beschermd? Waar kan het beter? Je gaat er als organisatie maar beter van uit dat je ooit gehackt wordt. Europese regelgeving zoals de NIS2-richtlijn is nuttig om bedrijven in de juiste richting te bewegen. Iedereen draagt verantwoordelijkheid in deze verbonden wereld.”

 

“Weet je waar het in onze sector te weinig over gaat? Bedrijfscultuur. Op welke manier ga je als bedrijf om met cyberveiligheid? Het is niet meer van deze tijd om mensen, die per ongeluk malware hebben binnengebracht in een bedrijf, te ontslaan. Gelukkig is die blaming cultuur stilaan aan het verdwijnen. Maar dat wil nog niet zeggen dat we er zijn. Ik vind dat we transparanter moeten communiceren over cyberveiligheid. Ook als het mis gaat.”

Heb je tips voor deelnemers van De Slimste Cyberexpert?

Inti: “Blijf nieuwsgierig! Het is een van de belangrijkste eigenschappen van cyberexperten. Het houdt je ogen en oren open. Wanneer een hack de media haalt, probeer dan ook zelf eens te reconstrueren wat er zou kunnen fout gelopen zijn. Daar leer je veel uit.”

Word jij de Slimste Cyberexpert 2023?

Fotografie: Lies Willaert

Inspiration