Ethical hacking: chique slimmer dan je criminele opponent

"Weak passwords are like dirty socks. Change them!", is het adagium van Jatin Sehgal, ethical hacker van Ernst & Young. Sehgal breekt een lans voor informatiebeveiliging. "Menselijk gedrag is altijd de zwakste schakel."

Is Jatin Sehgal een professionele hacker? Ja en nee. "Ik moet hier heel specifiek over zijn", zegt hij afgewogen. "Dit issue wordt te vaak verkeerd begrepen. Ik ben een ethical hacker. Ethiek is wat het verschil maakt. Alleen met toestemming van de klant ga ik aan de slag, en ik doe alleen dat stuk waarvoor ik toestemming heb gekregen. Ik probeer programma's, netwerken, applicaties en websites te hacken om te zien of ze hackable zijn. Vervolgens adviseer ik onze klanten over de beveiliging."

Sehgal (29) genoot zijn opleiding aan de MDU University in Faridabad, India. Daarna behaalde hij een in India hoog aangeschreven certificaat voor het beveiligen van informatiesystemen. In Duitsland volgt hij Ernst & Young-trainingen in extreme hacking. De nieuwste technologie komt daarbij ter sprake en de meest spectaculaire hacks worden onder het vergrootglas gelegd. Altijd draait het om de combinatie van kwetsbare systemen en menselijke naïviteit, een dodelijke cocktail voor elke organisatie. Menselijk gedrag is volgens Sehgal altijd de zwakste schakel. "Het is als het afsluiten van je huis, de sleutel onder je deurmat leggen en denken dat er niets kan gebeuren."

In december 2009 kwam Sehgal naar Nederland nadat hij in de Indiase stad Gurgaon ("another Bangalore") al enkele jaren voor Ernst & Young had gewerkt. Aanvankelijk kwam hij hier voor 18 maanden maar het beviel van beide kanten zó goed dat hij in juni een vast contract kreeg.

Het kweken van awareness voor informatiebeveiliging is een van zijn belangrijkste aandachtspunten. Wat dat betreft gaan we volgens Sehgal de goede kant op. Met name bij financiële instellingen, energiebedrijven en overheden onderkent men inmiddels de urgentie van beveiliging (mede omdat het zo vaak mis gaat). Ook bij Ernst & Young zelf zit het goed met deze awareness. Over het maken van sterke wachtwoorden stuurt Sehgal grappige maar o zo duidelijke memo's rond: "Weak passwords are like dirty socks. Change them!" De CEO heeft informatiebeveiliging hoog in het vaandel staan en communiceert daarover met videoboodschappen. Sehgal is niet ontevreden, hoewel hij zich realiseert dat geen enkele organisatie honderd procent veilig is.

De geheimen van de informatica hebben Sehgal altijd geboeid. Toen hij naar de middelbare school ging, kreeg hij van zijn vader een computer cadeau met het uitdrukkelijke verzoek vooral veel games te spelen. Een appèl op de scherpzinnigheid en nieuwsgierigheid van de jonge Jatin, die gaandeweg gefascineerd raakte door de onbegrensde wereld van computers. Gaming werd al snel boring. Nieuwe uitdagingen vinden werd zijn tweede natuur. Na een paar jaar stuitte hij op het issue veiligheid en hacking. Sehgal verwoordt het netjes: "Hoe kan informatie veilig worden uitgewisseld? Hoe kom ik achter de identiteit van de persoon met wie ik communiceer?"

Kennelijk is Sehgal goed in zijn vak want hij maakt snel carrière. Begin dit jaar werd hij uit honderd interne kandidaten gekozen tot Young Professional of the Year. Hij is een veelgevraagd spreker op fora en geeft trainingen aan vakgenoten. Wat hem betreft is dit alles pas het begin. Zijn ambities gaan verder dan informatiebeveiliging. Het is the bigger picture waar het volgens hem om hoort te draaien: Hoe kan veilige IT de business ondersteunen en voor Ernst & Young een "competitive advantage" opleveren?

Met zijn visie op business lijkt het wel goed te zitten. De carrièreladder lonkt, maar ondertussen staat Sehgal toch gewoon met twee benen in de modder. Hij moet zorgen dat hij zijn criminele opponenten één stap voor blijft. Dat is nog lastig genoeg want ze worden steeds slimmer. De indrukwekkendste hack van de afgelopen tijd is ongetwijfeld die van het Sony Playstation Network, waarbij gegevens van 77 miljoen gamers (tien miljoen creditcardhouders) op straat kwamen te liggen. Het netwerk was grofweg een maand offline. Sony denkt er meer dan 120 miljoen euro door verloren te hebben.

Had Sehgal deze rampspoed kunnen voorkomen? "Daar wil ik niets over zeggen. In zijn algemeenheid geldt dat ethische hackers supergoed geïnformeerd moeten zijn. Wereldwijd onderhouden we onze contacten. Ik ben intensief betrokken bij communities als Info Sec, ISC2, ISF, NIST en ANSI." Sehgal beweert bovenop het nieuws te zitten. Dit blijkt als hij een eind augustus in de Volkskrant gepubliceerd bericht onder zijn neus krijgt: ‘Vijf hackers krijgen voorwaardelijke cel'. Het bericht meldt dat de mannen computersystemen van de universiteiten van Michigan en Kaiserslautern hadden gehackt. Sehgal: "Ik was daar al weken van op de hoogte. Kijk maar hier, een bericht van 29 juli. Zulk nieuws sturen we meteen naar elkaar door."

Studenten vinden het vakgebied machtig interessant. Bewijzen hoe slim ze zijn motiveert hen tot op het bot. Sehgal waarschuwt hen niet naïef te zijn: "Veel studenten zien hacking als een spelletje. Ze realiseren zich niet dat ze tegen de lamp kunnen lopen. Ze overzien de consequenties niet. Voor dit vak moet je ethiek in je DNA hebben. Je moet pro-actief zijn, veel zelfvertrouwen hebben en tegelijkertijd nederig kunnen zijn want zelfvertrouwen kan gemakkelijk doorslaan naar arrogantie. Dus nee, ik ben niet de beste hacker. In India en Nederland zijn er genoeg die dit ook kunnen. Sommigen zijn beter. Inderdaad, die kennen we niet."

recente artikelen

gepubliceerd in diverse (vak)media

"Installatiebedrijven, hou vooral die achterdeur dicht"

Van de instromende jongeren in de installatiebranche vertrekt 55 procent binnen twee jaar. Dramatisch! Directeur Sven Asijee van Wij Techniek moet de exodus stoppen.

Lees artikel »

Onbewerkt en biologisch voedsel écht (niet) beter

Door corona en problemen in slachthuizen is de consument scherp op voedselveiligheid. Toch biedt ook lokaal, onbewerkt en biologisch voedsel geen enkele garantie.

Lees artikel »

Op welke technologie zet kleine retailer zijn centen?

Hoe ziet een kleine retailer het verschil tussen een nutteloze hype en een onmisbare technologische doorbraak? Een verhaal over beacons, bitcoins, blockchain en bankmakerij.

Lees artikel »

Stedentransformatie: van grauwgrijs naar frisgroen

Slim toegepaste vegetatie in steden werkt positief op klimaatopgave, biodiversiteit, watermanagement en verkoeling in hete zomers. Hoe vergroenen we onze steden?

Lees artikel »

Digitale zelfhulp zonder pil of psychiater in opkomst

Huisartsen hebben door de coronacrisis minder tijd voor depressies, sociale fobieën en eenzaamheid. Gelukkig zijn er apps voor zelfhulp bij psychische klachten.

Lees artikel »

Zelfsturende teams bij bouwer BINX Smartility

Wie krijgt de schuld? Van de vechtcultuur in de bouwsector lusten de honden geen brood. Bij BINX Smartility in Groenlo hebben ze daar iets op gevonden: zelfsturende teams.

Lees artikel »

Toekomst arbeidsmarkt volgens Wim de Ridder

Google for Jobs komt eraan, wederom een revolutie op de arbeidsmarkt. Waar gaat het naartoe? We vragen het aan visionair Wim de Ridder. "Ik vrees de surveillance-economie."

Lees artikel »

Allergrootste hackathon wereldwijd in Groningen

Dit voorjaar vond in de Groninger Suikerfabriek ’s werelds grootste hackathon voor blockchain en AI plaats. Zo’n 1.500 ‘hackers’ gingen aan de slag met maatschappelijke thema’s.

Lees artikel »

Mijn visie op hoogbouw in toch gezellig Rotterdam

Rotterdam bouwt momenteel extreem hoge woontorens. Wat betekent dit voor de leefbaarheid van de stad? Als oud-Rotterdammer zocht ik het uit. Met de nodige nostalgie.

Lees artikel »

Eerste steen Amsterdams outletcenter in SugarCity

De eerste steen van ATSO (Amsterdam The Style Outlets) werd gelegd op 21 juni. De voorbereidingen waren complex: “We moesten eerst een nieuw stuk polder creëren.”

Lees artikel »