Ethical hacking: chique slimmer dan je criminele opponent

"Weak passwords are like dirty socks. Change them!", is het adagium van Jatin Sehgal, ethical hacker van Ernst & Young. Sehgal breekt een lans voor informatiebeveiliging. "Menselijk gedrag is altijd de zwakste schakel."

Is Jatin Sehgal een professionele hacker? Ja en nee. "Ik moet hier heel specifiek over zijn", zegt hij afgewogen. "Dit issue wordt te vaak verkeerd begrepen. Ik ben een ethical hacker. Ethiek is wat het verschil maakt. Alleen met toestemming van de klant ga ik aan de slag, en ik doe alleen dat stuk waarvoor ik toestemming heb gekregen. Ik probeer programma's, netwerken, applicaties en websites te hacken om te zien of ze hackable zijn. Vervolgens adviseer ik onze klanten over de beveiliging."

Sehgal (29) genoot zijn opleiding aan de MDU University in Faridabad, India. Daarna behaalde hij een in India hoog aangeschreven certificaat voor het beveiligen van informatiesystemen. In Duitsland volgt hij Ernst & Young-trainingen in extreme hacking. De nieuwste technologie komt daarbij ter sprake en de meest spectaculaire hacks worden onder het vergrootglas gelegd. Altijd draait het om de combinatie van kwetsbare systemen en menselijke naïviteit, een dodelijke cocktail voor elke organisatie. Menselijk gedrag is volgens Sehgal altijd de zwakste schakel. "Het is als het afsluiten van je huis, de sleutel onder je deurmat leggen en denken dat er niets kan gebeuren."

In december 2009 kwam Sehgal naar Nederland nadat hij in de Indiase stad Gurgaon ("another Bangalore") al enkele jaren voor Ernst & Young had gewerkt. Aanvankelijk kwam hij hier voor 18 maanden maar het beviel van beide kanten zó goed dat hij in juni een vast contract kreeg.

Het kweken van awareness voor informatiebeveiliging is een van zijn belangrijkste aandachtspunten. Wat dat betreft gaan we volgens Sehgal de goede kant op. Met name bij financiële instellingen, energiebedrijven en overheden onderkent men inmiddels de urgentie van beveiliging (mede omdat het zo vaak mis gaat). Ook bij Ernst & Young zelf zit het goed met deze awareness. Over het maken van sterke wachtwoorden stuurt Sehgal grappige maar o zo duidelijke memo's rond: "Weak passwords are like dirty socks. Change them!" De CEO heeft informatiebeveiliging hoog in het vaandel staan en communiceert daarover met videoboodschappen. Sehgal is niet ontevreden, hoewel hij zich realiseert dat geen enkele organisatie honderd procent veilig is.

De geheimen van de informatica hebben Sehgal altijd geboeid. Toen hij naar de middelbare school ging, kreeg hij van zijn vader een computer cadeau met het uitdrukkelijke verzoek vooral veel games te spelen. Een appèl op de scherpzinnigheid en nieuwsgierigheid van de jonge Jatin, die gaandeweg gefascineerd raakte door de onbegrensde wereld van computers. Gaming werd al snel boring. Nieuwe uitdagingen vinden werd zijn tweede natuur. Na een paar jaar stuitte hij op het issue veiligheid en hacking. Sehgal verwoordt het netjes: "Hoe kan informatie veilig worden uitgewisseld? Hoe kom ik achter de identiteit van de persoon met wie ik communiceer?"

Kennelijk is Sehgal goed in zijn vak want hij maakt snel carrière. Begin dit jaar werd hij uit honderd interne kandidaten gekozen tot Young Professional of the Year. Hij is een veelgevraagd spreker op fora en geeft trainingen aan vakgenoten. Wat hem betreft is dit alles pas het begin. Zijn ambities gaan verder dan informatiebeveiliging. Het is the bigger picture waar het volgens hem om hoort te draaien: Hoe kan veilige IT de business ondersteunen en voor Ernst & Young een "competitive advantage" opleveren?

Met zijn visie op business lijkt het wel goed te zitten. De carrièreladder lonkt, maar ondertussen staat Sehgal toch gewoon met twee benen in de modder. Hij moet zorgen dat hij zijn criminele opponenten één stap voor blijft. Dat is nog lastig genoeg want ze worden steeds slimmer. De indrukwekkendste hack van de afgelopen tijd is ongetwijfeld die van het Sony Playstation Network, waarbij gegevens van 77 miljoen gamers (tien miljoen creditcardhouders) op straat kwamen te liggen. Het netwerk was grofweg een maand offline. Sony denkt er meer dan 120 miljoen euro door verloren te hebben.

Had Sehgal deze rampspoed kunnen voorkomen? "Daar wil ik niets over zeggen. In zijn algemeenheid geldt dat ethische hackers supergoed geïnformeerd moeten zijn. Wereldwijd onderhouden we onze contacten. Ik ben intensief betrokken bij communities als Info Sec, ISC2, ISF, NIST en ANSI." Sehgal beweert bovenop het nieuws te zitten. Dit blijkt als hij een eind augustus in de Volkskrant gepubliceerd bericht onder zijn neus krijgt: ‘Vijf hackers krijgen voorwaardelijke cel'. Het bericht meldt dat de mannen computersystemen van de universiteiten van Michigan en Kaiserslautern hadden gehackt. Sehgal: "Ik was daar al weken van op de hoogte. Kijk maar hier, een bericht van 29 juli. Zulk nieuws sturen we meteen naar elkaar door."

Studenten vinden het vakgebied machtig interessant. Bewijzen hoe slim ze zijn motiveert hen tot op het bot. Sehgal waarschuwt hen niet naïef te zijn: "Veel studenten zien hacking als een spelletje. Ze realiseren zich niet dat ze tegen de lamp kunnen lopen. Ze overzien de consequenties niet. Voor dit vak moet je ethiek in je DNA hebben. Je moet pro-actief zijn, veel zelfvertrouwen hebben en tegelijkertijd nederig kunnen zijn want zelfvertrouwen kan gemakkelijk doorslaan naar arrogantie. Dus nee, ik ben niet de beste hacker. In India en Nederland zijn er genoeg die dit ook kunnen. Sommigen zijn beter. Inderdaad, die kennen we niet."

recente artikelen

gepubliceerd in diverse (vak)media

Recruiter, check gamingskills in sollicitatie

“Ingewikkelder dan schaken”, beweren sommigen. Dat games als League of Legends en Call of Duty speciale skills vragen, leidt geen twijfel. HR-managers zouden standaard naar gamingskills moeten vragen in sollicitatiegesprekken. Dat kan nieuw talent opleveren.

Lees artikel »

Brandweer-coach Biesot over mentale weerbaarheid

Als je ergens klappen moet kunnen verwerken (om geen burn-out te krijgen) is het wel bij de brandweer. Willem Biesot, coach van De Zwerm Groep, weet er alles van. Al vele jaren traint hij brandweermensen om mentaal weerbaar te worden.

Lees artikel »

Digital natives retailen zonder tussenschakels

De keten kan korter. Dat is de overtuiging van digital natives, bedrijven die online zijn geboren, gegroeid en succesvol geworden. 'Cut out the middle man!'

Lees artikel »

Fujitsu over smart society

Het Japanse tech-bedrijf Fujitsu denkt dat artificial intelligence nu pas rijp is voor ontginning. Een gesprek met Pacal Huijbers.

Lees artikel »

Infrastructuur laat zich eenvoudig plat leggen

Het nieuwe kabinet steekt 95 miljoen euro per jaar in cyberveiligheid. Dat is fijn voor straks maar ondertussen is het prijsschieten. "Inbreken kan op alle fronten", stelt de ethical hacker.

Lees artikel »

Klussers bedienen doe je zo

Intergamma, de franchiseorganisatie van Gamma en Karwei, trekt online twee miljoen bezoekers per week. Hoe krijgt Lieke Luttmer, directeur e-commerce, dat voor elkaar?

Lees artikel »

E-commerce duikt op booming pillenmarkt

Het louche imago lijkt verdwenen. Heel Holland slikt en koopt via internet.

Lees artikel »

Permissioned blockchain: hip en pseudo-innovatief

Kan samen oefenen in afgeschermd ecosysteem bestaande markten en sectoren op hun kop zetten?

Lees artikel »

Installateur negeert robotica

OTIB, Uneto-VNI en allerlei branchegoeroes laten geen kans voorbij gaan om robotica een grote toekomst toe te dichten in de installatiebranche. Pionierende ondernemers zijn echter schaars.

Lees artikel »

Een eeuw vooruit denken: co-creatie op Bouwcampus

In ons land zijn veel stuwen, sluizen en gemalen bijna honderd jaar oud. Ze moeten vervangen worden. Hoe? De Bouwcampus koos voor co-creatie en out of the box-denken.

Lees artikel »