Ethical hacking: chique slimmer dan je criminele opponent

"Weak passwords are like dirty socks. Change them!", is het adagium van Jatin Sehgal, ethical hacker van Ernst & Young. Sehgal breekt een lans voor informatiebeveiliging. "Menselijk gedrag is altijd de zwakste schakel."

Is Jatin Sehgal een professionele hacker? Ja en nee. "Ik moet hier heel specifiek over zijn", zegt hij afgewogen. "Dit issue wordt te vaak verkeerd begrepen. Ik ben een ethical hacker. Ethiek is wat het verschil maakt. Alleen met toestemming van de klant ga ik aan de slag, en ik doe alleen dat stuk waarvoor ik toestemming heb gekregen. Ik probeer programma's, netwerken, applicaties en websites te hacken om te zien of ze hackable zijn. Vervolgens adviseer ik onze klanten over de beveiliging."

Sehgal (29) genoot zijn opleiding aan de MDU University in Faridabad, India. Daarna behaalde hij een in India hoog aangeschreven certificaat voor het beveiligen van informatiesystemen. In Duitsland volgt hij Ernst & Young-trainingen in extreme hacking. De nieuwste technologie komt daarbij ter sprake en de meest spectaculaire hacks worden onder het vergrootglas gelegd. Altijd draait het om de combinatie van kwetsbare systemen en menselijke naïviteit, een dodelijke cocktail voor elke organisatie. Menselijk gedrag is volgens Sehgal altijd de zwakste schakel. "Het is als het afsluiten van je huis, de sleutel onder je deurmat leggen en denken dat er niets kan gebeuren."

In december 2009 kwam Sehgal naar Nederland nadat hij in de Indiase stad Gurgaon ("another Bangalore") al enkele jaren voor Ernst & Young had gewerkt. Aanvankelijk kwam hij hier voor 18 maanden maar het beviel van beide kanten zó goed dat hij in juni een vast contract kreeg.

Het kweken van awareness voor informatiebeveiliging is een van zijn belangrijkste aandachtspunten. Wat dat betreft gaan we volgens Sehgal de goede kant op. Met name bij financiële instellingen, energiebedrijven en overheden onderkent men inmiddels de urgentie van beveiliging (mede omdat het zo vaak mis gaat). Ook bij Ernst & Young zelf zit het goed met deze awareness. Over het maken van sterke wachtwoorden stuurt Sehgal grappige maar o zo duidelijke memo's rond: "Weak passwords are like dirty socks. Change them!" De CEO heeft informatiebeveiliging hoog in het vaandel staan en communiceert daarover met videoboodschappen. Sehgal is niet ontevreden, hoewel hij zich realiseert dat geen enkele organisatie honderd procent veilig is.

De geheimen van de informatica hebben Sehgal altijd geboeid. Toen hij naar de middelbare school ging, kreeg hij van zijn vader een computer cadeau met het uitdrukkelijke verzoek vooral veel games te spelen. Een appèl op de scherpzinnigheid en nieuwsgierigheid van de jonge Jatin, die gaandeweg gefascineerd raakte door de onbegrensde wereld van computers. Gaming werd al snel boring. Nieuwe uitdagingen vinden werd zijn tweede natuur. Na een paar jaar stuitte hij op het issue veiligheid en hacking. Sehgal verwoordt het netjes: "Hoe kan informatie veilig worden uitgewisseld? Hoe kom ik achter de identiteit van de persoon met wie ik communiceer?"

Kennelijk is Sehgal goed in zijn vak want hij maakt snel carrière. Begin dit jaar werd hij uit honderd interne kandidaten gekozen tot Young Professional of the Year. Hij is een veelgevraagd spreker op fora en geeft trainingen aan vakgenoten. Wat hem betreft is dit alles pas het begin. Zijn ambities gaan verder dan informatiebeveiliging. Het is the bigger picture waar het volgens hem om hoort te draaien: Hoe kan veilige IT de business ondersteunen en voor Ernst & Young een "competitive advantage" opleveren?

Met zijn visie op business lijkt het wel goed te zitten. De carrièreladder lonkt, maar ondertussen staat Sehgal toch gewoon met twee benen in de modder. Hij moet zorgen dat hij zijn criminele opponenten één stap voor blijft. Dat is nog lastig genoeg want ze worden steeds slimmer. De indrukwekkendste hack van de afgelopen tijd is ongetwijfeld die van het Sony Playstation Network, waarbij gegevens van 77 miljoen gamers (tien miljoen creditcardhouders) op straat kwamen te liggen. Het netwerk was grofweg een maand offline. Sony denkt er meer dan 120 miljoen euro door verloren te hebben.

Had Sehgal deze rampspoed kunnen voorkomen? "Daar wil ik niets over zeggen. In zijn algemeenheid geldt dat ethische hackers supergoed geïnformeerd moeten zijn. Wereldwijd onderhouden we onze contacten. Ik ben intensief betrokken bij communities als Info Sec, ISC2, ISF, NIST en ANSI." Sehgal beweert bovenop het nieuws te zitten. Dit blijkt als hij een eind augustus in de Volkskrant gepubliceerd bericht onder zijn neus krijgt: ‘Vijf hackers krijgen voorwaardelijke cel'. Het bericht meldt dat de mannen computersystemen van de universiteiten van Michigan en Kaiserslautern hadden gehackt. Sehgal: "Ik was daar al weken van op de hoogte. Kijk maar hier, een bericht van 29 juli. Zulk nieuws sturen we meteen naar elkaar door."

Studenten vinden het vakgebied machtig interessant. Bewijzen hoe slim ze zijn motiveert hen tot op het bot. Sehgal waarschuwt hen niet naïef te zijn: "Veel studenten zien hacking als een spelletje. Ze realiseren zich niet dat ze tegen de lamp kunnen lopen. Ze overzien de consequenties niet. Voor dit vak moet je ethiek in je DNA hebben. Je moet pro-actief zijn, veel zelfvertrouwen hebben en tegelijkertijd nederig kunnen zijn want zelfvertrouwen kan gemakkelijk doorslaan naar arrogantie. Dus nee, ik ben niet de beste hacker. In India en Nederland zijn er genoeg die dit ook kunnen. Sommigen zijn beter. Inderdaad, die kennen we niet."

recente artikelen

gepubliceerd in diverse (vak)media

Burgers boos over hoogbouwplannen

Veel gemeentes staan voor een stevige verdichtingsopgave en ontkomen niet aan hoogbouw. Maar de weerstand groeit onder burgers. Wat kunnen bouwers doen die de hoogte in gaan en burgers te vriend willen houden?

Lees artikel »

Proef met golfenergie op Texel belooft nogal wat

Uitvinder Erwin Croughs heeft een droom: golfenergie omzetten in elektriciteit. De eerste stap is gezet. Met een subsidie van 2,8 miljoen euro is een pilot gestart voor de kust van Texel.

Lees artikel »

Criminaliteit voorspellen in zenuwcentrum Securitas

Het Securitas Operations Center in Geldrop is het Nederlandse zenuwcentrum van de Zweedse beveiligingsmultinational Securitas. Van hieruit worden klanten en objecten 24/7 beveiligd. Een reportage.

Lees artikel »

Futuroloog over softskills en virtuele oncologen

De ene futuroloog is de andere niet. Onlangs luisterde ik naar een presentatie van Christian Kromme. En ik was onder de indruk. Hierbij een extract van zijn betoog over tech-trends.

Lees artikel »

Nieuwe auto komt (iets) vaker uit de webshop

Volvo en BMW hebben al stappen gezet. Amazon broedt op plannen en Alibaba heeft vending machines waaruit nieuwe auto’s tevoorschijn komen als kroketten uit de muur. En wij hebben Auto.nl.

Lees artikel »

Baanbrekend innoveren in oude RDM-fabriek

Dankzij RDM Makerspace kon de ANWB een slimme fietsverzekering ontwikkelen en Damen Shipyards een scheepsschroef printen in 3D. Een reportage.

Lees artikel »

Afgeschermde blockchain lijkt een tijger van papier

Dat de public blockchain baanbrekend is, zien we aan de opkomst van cryptovaluta. In de slipstream ontstaan projecten met ‘private blockchain’. "Daarmee kun je de waarheid toch weer verdraaien."

Lees artikel »

Vastgoedwereld ontdekt gezonde gebouwen

Op 30 oktober tijdens het congres 'Gezonde gebouwen, gezonde marges' gaf Lara Muller van Blue Building Institute een presentatie over gezonde gebouwen. Een interview.

Lees artikel »

Mentale begeleiding helpt jonge schaatstoppers

‘Niet zeuren’ is de norm in topsport. In de schaatswereld komt men daarvan terug. Coaches Jetske Wiersma en Wouter van der Ploeg geloven in mentale begeleiding van schaatstalenten.

Lees artikel »

Burn-out onder techneuten komt steeds vaker voor

Een burn-out wordt wel omschreven als ‘mentale en emotionele uitputting’. Dat je daardoor niet of slecht functioneert is een open deur. Het goede nieuws? Een burn-out is te voorkomen.

Lees artikel »