Zzp’er Andre Werkhoven ziet een toename in het aantal cyberaanvallen en daarmee het verhoogde risico om slachtoffer te worden. Op de beurs Overheid & ICT 2013 vraagt hij zich af of het zinvol om een hacker in dienst te nemen die ervaring heeft op dit gebied om het kwaad te kunnen bestrijden.
Hoe vaak worden hackers bij bedrijven ingezet als ‘eigen personeel’ om het vuur met het vuur te bestrijden? Of is het slimmer om juist een veiligheidsadviseur in dienst te nemen die vanuit een ander perspectief en expertise naar de situatie kijkt?
Gedurende de beurs Overheid & ICT 2013 kunnen lezers van Computable vragen stellen over ict bij de overheid aan de ruim 1100 Computable-experts. Tijdens de beurs is permanent een expert in de Computable-stand aanwezig. Een vraag kun je stellen door het invullen van een formulier. Experts beantwoorden de vragen z.s.m.
Ik zou allebei doen.
De hacker kun je ook tijdelijk inhuren. Echt in dienst nemen is misschien niet zo handig, want de techniek gaat heel snel en de type aanvallen volgens mij ook.
Eerder heb ik verslag gedaan van ALT-S waarin een paar sessies min of meer ingaan wordt op deze vragen en de (toegestane) antwoorden. Zo gaf Ian Amit wel aan dat de aanval de beste verdediging is maar blijft het juridisch nogal schemerig wat je wel en wat je niet mag doen. Vergeet ook niet dat eerder Rickey Gevers moest lopen leuren met de data die hij had verkregen met zijn inbraak op de C&C servers van Dorifel.
Het regelmatig inhuren van een beveiligingsadviseur als zijnde een ‘white hat hacker’ is dan ook zeker aan te raden, compliancy is voor een hacker namelijk eerder een uitnodiging dan een afschrikking. En een gezegde luidt dat vreemde ogen altijd meer dwingen dus reactie van Maurice is voor wat betreft ‘pen-testen’ zeker valide. Daarnaast zou het ook niet onverstandig zijn om bewustzijn binnen organisatie te vergroten door gebruikers middels trainingen te attenderen op de gevaren. Social engineering is namelijk een risico dat ook nog steeds onderkent wordt maar wel drastisch toeneemt.
Ik benader deze vraag even vanuit mijn expertisegebied, het onderwijs. We maken constant gebruik van leerlingen die we uitnodigen om lekken in het systeem te vinden en deze te melden. Natuurlijk is dit voor leerlingen een grote uitdaging waar ze ook echt gebruik van maken. Immers dit staat wel stoer bij de klasgenoten.
Hier kom ik ook op de kern van de vraag die gesteld werd. Zou ik een hacker inzetten op een school? Nee! Een school moet een betrouwbare en veilige omgeving zijn, als docent kan ik me geen spatjes veroorloven (terecht) en ik vind een hacker niet passen bij het beeld van een veilige en betrouwbare overheidsinstelling als een school. Iemand moet absoluut betrouwbaar zijn en vanuit deze achtergrond is het wel mogelijk een dergelijke specialist in te huren, maar dan moet zijn gedrag absoluut onbesproken zijn en hoe kan ik dat koppelen aan de term “hacker”.
U vraagt zich misschien af, maar een leerling kan toch ook de plank misslaan? Inderdaad, daar heb ik zelfs voorbeelden van. Maar als een leerling niet van onbesproken gedrag is, dan kunnen we ze daar wel op bijsturen, dat is ook meteen een maatschappelijke taak.
Voor een school zijn betrouwbaarheid en veiligheid toch de belangrijkste kernwaarden.
De overheid moet hier veel meer keen op zijn, dus niet alleen een school maar elke overheidsinstelling.