Jongeren maak je warm voor cybersecurity door... hen te laten hacken

“Je moet denken als iemand malafide om de zwakheden in een systeem te ontdekken.” (Frederic Tollens, Toreon)

Sebastien Deleersnyder is er al zo'n twintig jaar door gebeten. “Ik haalde een master in IT en kwam als ontwikkelaar in aanraking met wat toen nog information security was. Intussen is dat getransformeerd in wat we nu cybersecurity noemen”, vertelt hij. De IT-specialist raakte er zo door geïntrigeerd dat hij met Toreon in Antwerpen een eigen bedrijf oprichtte.

“Ik vind het een van de meest boeiende domeinen binnen IT”, zegt hij. “Het interessante aan cybersecurity is dat het zeer breed gaat, veel breder dan andere domeinen binnen IT. Het is niet een soort vak, je hebt veel verschillende profielen. Je kunt er bijvoorbeeld zeer technisch in gaan, in wat wij penetration testing noemen. Het gaat om het uitvoeren van testen om 'gaten' in de systemen te zoeken. Hogeschool Howest bijvoorbeeld heeft daar een zeer goede opleiding voor. Vanuit die opleiding zijn er jongeren die rechtstreeks bij ons instromen.”

“Maar je hebt bijvoorbeeld ook meer gespecialiseerde softwarebeveiliging waarin vooral mensen met jarenlange ervaring binnen IT aan de slag zijn. Zij hebben al een grote domeinkennis opgebouwd en kunnen die gebruiken om zich te gaan specialiseren in security. Of je kan ook meer procesmatig werken. En je kan preventief werken om te beschermen tegen onder meer hacks, malware, phishing en virussen, maar ook oplossend als bijvoorbeeld een bedrijf is gehackt en je moet analyseren wat is fout gegaan en hoe de aanvaller is binnen geraakt”, vertelt Deleersnyder.

Ethical hacker

Frederic Tollens, die bij Toreon aan de slag is als IT-security consultant, treedt hem daarin bij. Hij is zelf ook alumnus van de gespecialiseerde opleiding van Howest, via een bachelor toegepaste informatica met als afstudeertraject Computer & Cybercrime Professional. Tollens stond in 2016 zelf in de finale van de Cyber Security Challenge als student. “Als security consultant kan je je met een brede waaier aan opdrachten bezighouden. Zo heb ik al ervaring opgedaan als ethical hacker. Je gaat bij klanten de systemen 'hacken' om lekken te detecteren en zo aanvallen een stap voor te zijn. Daarnaast heb ik al projecten begeleid als security architect om 'by design' van een nieuw systeem meteen beveiliging erop te zetten. Of je kan als security analist uitvlooien wat er aan de hand is bij problemen.”

“Een van de grootste uitdagingen is om aanvallers voor te zijn. Je moet denken als iemand malafide en zo de zwakheden in een systeem ontdekken om hacks te kunnen voorkomen. Een andere uitdaging is de mensen bewust maken van de voortdurende dreigingen. Dat is een strijd die we dagelijks moeten leveren. Die security awareness is nog niet overal doorgedrongen. Vooral in kmo's is het een missie om daarvoor budgetten vrij te te krijgen. Vaak wordt pas hulp in geroepen als het al te laat is”, getuigt de security consultant.

Variatie is ook troef in het soort opdrachten. “Je kan je focussen op hoe eindgebruikers ermee omgaan, onder meer qua softwaregebruik en e-mailverkeer. Of hoe binnen een organisatie met de systemen en processen wordt omgegaan en hoe ze met de data van hun klanten, onder meer op vlak van GDPR, omgaan. Je komt in contact met heel wat geledingen binnen een organisatie en met heel veel types van organisaties die elk hun eigen uitdagingen hebben. Dat is wat het ook boeiend maakt. Wie bij ons binnenkomt, laten we daarom proeven van verschillende trajecten en specialisaties om zo je weg te vinden.”

Cyber Security Challenge

Omdat er voortdurend nieuwe mensen nodig zijn en om jongeren warm te maken hiervoor, wordt sinds enkele jaren in België in maart een Cyber Security Challenge georganiseerd voor studenten uit de hogescholen en universiteiten met een 700-tal deelnemers. “Onder het motto 'Capture the flag' worden ze in teams uitgedaagd om sneller dan de andere teams iets te hacken”, verduidelijkt de CEO van Toreon.

“Dat is nodig, want net als in andere domeinen van IT kampen we met een tekort. Hoe meer digitalisering doordringt in onze maatschappij, hoe groter de afhankelijkheid ervan, maar ook een toenemend aantal incidenten. Weinig mensen realiseren zich dat er een online digitale oorlog aan de gang is. Er zullen dus alleen nog maar meer specialisten nodig zijn. Aanvallers worden ook almaar inventiever, wetgevingen veranderen,.. Cybersecurity is dus ook een kwestie van levenslang leren. Je doet het ook een stukje uit idealisme om je steentje bij te dragen dat alles veilig kan verlopen.”

(Bart Roggeman)