Databeveiliging deel 2: ontmoet Erik, onze ethisch hacker

Datalekken, hacks en online beveiliging; het zijn termen die je haast elke dag in het nieuws hoort. Wat doet JOIN eigenlijk om zich te wapenen tegen alle gevaren in de wereld van databeveiliging? In dit tweede deel van de reeks onze ethisch hacker Erik aan het woord.

 

Hackers, ze worden gezien als de ‘bad guys’ van het internet. Organisaties zoals gemeenten, maar ook leveranciers van software, zijn op z’n zachtst gezegd niet blij als een kwaadaardige hacker aan de haal gaat met hun gegevens. Ook particulieren worden steeds bewuster van de schade die hackers kunnen aanrichten, zeker nu de interesse in de cryptovaluta alsmaar toeneemt.

 

Om deze online misdaad te begrijpen, om te kunnen voorkomen dat je data wordt gehackt, moet je weten hoe deze hackers te werk gaan en dat is precies het werk van een Certified ethical hacker. Onze developer Erik Renes is zo’n Certified ethical hacker.

 

Wat doe je als ethisch hacker bij JOIN?

‘Als er nieuwe software wordt ontwikkeld, dan bekijk ik de code vanuit het perspectief van een hacker; hoe zou een hacker binnen kunnen komen en hoe zou ik de code kunnen schrijven zodat hij of zij niet binnen kan komen. Kortom, ik ga elk bekend scenario af waarop een hacker mogelijk bij gegevens kan komen.’

 

Niet elke hack is een software lek, wat wordt hiermee bedoeld?

‘Vaak denken we bij hacks aan een ingewikkelde code die is gekraakt, negen van de tien keer is dat helemaal niet het geval. De kans is namelijk veel groter dat een hacker binnenkomt door een menselijke fout. Spannende spionage praktijken zoals kunnen liplezen of van kilometers afstand op iemands beeldscherm meekijken spreken natuurlijk tot de verbeelding. Een realistischer scenario is een telefoontje naar het KCC waarbij de hacker zich voordoet als medewerker en vraagt naar een wachtwoord of de achternaam van iemand. Deze informatie wordt heel vaak zonder al te veel problemen weggegeven.’

 

Wat maakt software beveiliging zo complex?

‘Dat zijn meerdere factoren, maar één die ik daarvan wil belichten zijn het aantal platformen waarmee wordt gewerkt. De JOIN-software draait niet op zichzelf, maar maakt gebruik van een reeks bestaande platformen. Wij als JOIN hebben maar toegang tot het topje van de ijsberg en kunnen alleen acteren op veiligheidsrisico’s op ons niveau. Op onderliggende niveaus kunnen wij alleen maar meldingen maken bij de desbetreffende leverancier of organisatie.’

 

Wat wil je JOIN-gebruikers meegeven? 

‘Wat ik met name aan systeembeheerders wil meegeven is dat het heel erg belangrijk is om de veiligheid in huis te checken. Hoe zit het bijvoorbeeld met de firewalls die je gebruikt en gebruik je een VPN? Je moet constant bezig zijn met de afweging: is de data goed beveiligd, maar kunnen mijn collega’s zonder al te veel restricties bij alle benodigde data? Het is een ingewikkeld vraagstuk.’

 

Heb je vragen over hoe Erik te werk gaat of andere vragen over databeveiliging bij JOIN of Decos? Dan kun je bij onze security officers terecht via security@decos.com.