Ethisch hacker Yannick Verhoeven speurt naar een digitale open deur

Nieuwe beroepen
Yannick Verhoeven is een ethische hacker. Hij test in opdracht digitale systemen op hun kwetsbaarheid voor kwaadwillende hackers. beeld Niek Stam
3

Hackers kraken computernetwerken, al dan niet met kwade bedoelingen. Yannick Verhoeven is een ethische hacker. In opdracht van bedrijven en organisaties test hij hun digitale systemen op kwetsbaarheden. „We vinden altijd wel wat.”

Gameroom staat op een deur bij Computest in Zoetermeer. In de ruimte erachter kunnen medewerkers even ontspannen met tafelvoetbal, tafeltennis of een computerspel. Yannick Verhoeven (30), zogeheten security specialist bij Computest: „Als je geen hiaten vindt in een systeem dat je aan het testen bent, kan dat heel frustrerend zijn. Doe ik m’n werk wel goed of zijn die programmeurs zo fantastisch? Dan is een halfuurtje afreageren in de gameroom wel lekker.”

De Rotterdammer is bezig met een klus voor een internationale organisatie voor beleggers. „Zij heeft een applicatie ontwikkeld waarmee haar cliënten via internet hun beleggingsportfolio kunnen bijhouden. Begrijpelijk dat ze zulke supergevoelige gegevens goed beschermd wil hebben.”

Criminele hackers dringen computersystemen binnen om zich illegaal informatie toe te eigenen, zoals wachtwoorden of andere data van klanten, of om een bedrijf of organisatie te ontregelen. „Wij hacken daarentegen om klanten verder te helpen”, zegt Verhoeven. „Voor mij zit er veel uitdaging in om de zwakke punten van een systeem op te sporen. Nog blijer word ik als een klant zegt: Mooi dat je dat vond, je advies maakt ons weer wat veiliger.”

Soms is een gebrek met wijziging van een paar tekens in de broncode al verholpen.  beeld Niek Stam

Opdrachtgevers vragen Computest bijvoorbeeld te testen of een aan te schaffen programma of systeem betrouwbaar is. Verhoeven: „Ontwikkelaars kunnen ook wat over het hoofd zien of een slechte maandagochtend hebben. Wij controleren of alle risico’s afgedekt zijn. Dat doen we met de ogen van de maker: wat wilde hij en wat kan hij zijn vergeten? Maar ook met die van een kwaadwillende hacker: waar is hij op uit, welke opening zoekt hij? Voorkomen moet worden dat met een trucje de beveiliging wordt omzeild.”

Verhoeven werkt veel voor bedrijven in het Rotterdamse havengebied en in de sector transport en logistiek. „Die letten vaak vooral op fysieke veiligheid van gebouwen, locaties en personen. Ten onrechte. Energiecentrales en overslagterminals bijvoorbeeld hebben geautomatiseerde systemen die het werk makkelijker maken, zoals zelfrijdende autootjes of systemen die alle processen bijhouden, maar als een hacker die weet te verstoren, kan dat direct gevolgen hebben voor de fysieke veiligheid. Als een grote cyberaanval een ziekenhuis treft, kunnen operaties niet doorgaan en staan zelfs mensenlevens op het spel.”

In de zes jaar dat Verhoeven bij Computest in dienst is, kregen maar twee opdrachtgevers een ‘groene kaart’ omdat hun systeem volledig veilig bleek. „Bijna altijd is er wel iets aan te merken, al hoeft dat nog niet schokkend te zijn. Met een paar tekens wijzigen in de broncode zijn veel gebreken al verholpen. Maar we hebben ook wel software waar een programmeur een half jaar aan had gewerkt, binnen twee uur gekraakt. Die was zó slecht beveiligd.”

„Af en toe moet ik even afreageren in de gameroom.” beeld Niek Stam

„Opleiding informatica prima start”

„Een opleiding voor hackers bestaat (helaas) nog niet, maar (technische) informatica-opleidingen zijn er gelukkig wel. Een dergelijke studie geeft een solide informatica-basis”, schrijft Verhoevens collega Thomas Stols op de website van Computest. „Als je de maker van een systeem te slim af wilt zijn, moet je er evenveel van weten als hijzelf. Dat betekent een heel grondige kennis van software, netwerken en computers in het algemeen. Een informatica-opleiding is daar een prima start voor, maar ook niet meer dan een start.”

Ook Verhoeven studeerde informatica, op hhbo-niveau. Enkele hogescholen bieden cyber security als specialisatie aan. Sommige universiteiten hebben bachelor- en masteropleidingen op het gebied van computerveiligheid.