Recent internationaal onderzoek van Intel Security en het Amerikaanse Center for Strategic and International Studies (CSIS) wijst uit dat een tekort aan cybersecurityprofessionals organisaties en landen kwetsbaar maakt. Dit legden wij aan onze security-experts voor en vroegen specifiek welke rol hacking challenges kunnen vervullen bij het voorkomen van dit tekort.
‘Hacking-competities zijn een goede manier om ervaring op te doen in de ontwikkeling van cybersecuritytalent en -vaardigheden’, meent Lex Borger, consultant information security bij i-to-i. Zelf heeft hij nog nooit aan een dergelijke challenge meegedaan. Welke factoren er bij cybersecurityprofessionals spelen? ‘Begrijp goed welk werk je hebt. Cybersecurityprofessionals moeten ervaring op kunnen doen, dus heb je genoeg interessant werk voor ze?’
Ad Koolen, overheidscryptospecialist bij Compumatica, heeft ook niet actief meegedaan aan een hacking-competitie, al was hij er wel als toeschouwer. Ook hij erkent de waarde ervan voor de ontwikkeling van cybersecuritytalent. ‘Het is voor securityspecialisten een graadmeter waar ze hun eigen kennis kunnen toetsen aan die van anderen en waar ze veel kunnen leren van de uitdagingen.’
Onverwachte wending
Ook Jan van der Sluis, client security principal bij Hewlett Packard Enterprise, heeft nog nooit aan een hacking-competitie meegedaan. ‘Maar ik heb er weleens eentje meegemaakt. De winnaar daarvan had eenvoudig de computer die de resultaten projecteerde voor het publiek, gehackt. Dat was een onverwachte wending. Vaak zijn de deelnemers van hacking-competities al doorgewinterde hackers die bij een bedrijf werkzaam zijn of binnenkort vanuit hun studie rechtstreeks zullen worden aangenomen. Aan de andere kant is het goed om deze hackatons te blijven organiseren, omdat het bij een breed publiek het belang van security in de bedrijfsvoering benadrukt.’
Van der Sluis ziet dergelijke competities niet echt weggelegd voor de ontwikkeling van cybersecuritytalent en -vaardigheden. Om cybersecurityprofessionals te werven moeten zij de ruimte krijgen om zichzelf te ontplooien, willen ze werken aan interessante projecten, maar daarnaast is ook carrièreplanning een belangrijk factor. ‘Bied een cybersecurity-georiënteerd carrièreperspectief en wees je ervan bewust continu de uitdaging van de medewerker te zoeken. Zorg voor een goed intern opleidingsplan en internationale oriëntatie.’
Capture the Flag-events
Christiaan Ottow, securitycoach bij Computest, meent dat de meest effectieve manier om cybersecurityvaardigheden te werven het bouwen van applicaties is en bestaande applicaties aanvallen. ‘In legale context natuurlijk. Dit kan door bijvoorbeeld mee te spelen met zogeheten ‘Capture the Flag’-events, waarin je in teams hacking challenges oplost of door open source software te onderzoeken op kwetsbaarheden. Goed kunnen hacken, en dus goed begrijpen hoe aanvallers tewerk gaan, begint bij het begrijpen hoe software werkt.’
André Koot, lead iam en securityconsultant bij Nixu, deelt die mening, maar ziet wel een groot verschil tussen bijvoorbeeld een Capture The Flag-game en een applicatie security assessment. ‘Bij een Capture the Flag weet je dat er kwetsbaarheden in zitten, hoeveel het er zijn en je een duidelijke ‘succes token’ zult vinden. Bij een security assessment is dit niet het geval en komt er meer bij kijken en ben je niet klaar als je de kwetsbaarheid hebt uitgebuit. Daar begint het dan pas mee, want dan gaat het erom die kwetsbaarheid te beschrijven en de juiste mitigatie aan te bevelen. Sommige Capture the Flags zijn meer puzzels waarbij het erom gaat een raadsel op te lossen Eén ding staat buiten kijf, alle hacking-games zijn goede vingeroefeningen. Je leert je toolset te gebruiken en patronen te herkennen.’
Meer gebruik van maken
Daar is Jeroen Renard, corporate security officer bij de Odin Groep, het volstrekt mee eens. ‘Competities als hackwedstrijden zijn uitermate belangrijk om cybersecuritytalent aan te trekken. Nederland zet zich hiermee ook op de kaart. Gamificatie zorgt ook voor veel animo bij jonge mensen om in het securityvak verder te gaan. Het bedrijfsleven zou hier op veel meer terreinen gebruik van moeten maken.’
‘Dergelijke competenties zijn zeker relevant’, meent Koot, ‘maar zijn met name relevant voor het opbouwen van een onderlinge reputatie. Klanten hebben geen besef van nut en noodzaak van dergelijke oefeningen. Reputatie van bedrijven is vermoedelijk vooral van belang voor het aantrekken van nieuwe medewerkers, die de relevantie wel vatten. Dus ja, dergelijke competities zijn zinvol, maar competities alleen maken geen betere professionals. Professionals groeien bij elke nieuwe uitdaging. Of dat nou een oefening is of een praktijksituatie. Die laatste is zonder meer spannender.’
Online competitie
Toch moet Christiaan Ottow wel toegeven dat de beste challenges niet in Nederland plaatsvinden en dus ook de meeste kennis hier ontbreekt. ‘Hacking-competities zijn belangrijk voor het verkrijgen van inzicht in hoe hackers te werk gaan en het opdoen van vaardigheden om systemen adequaat te kunnen evalueren en beschermen. De beste van deze competities zijn echter niet Nederlands, maar internationaal. Internationaal is veel kennis aanwezig. Voor een online competitie spelen landsgrenzen geen rol.’
Meer informatie
Lees ook het nieuws Bedrijfsleven ontbeert beveiligingskennis en de achtergrondartikelen ‘Cybersecurity is zaak van de directie’, Zo vind en behoud je cybersecuritytalent en ‘Tekort in cybersecurity bedreigt ook Nederland’.
