Ethical hacking: chique slimmer dan je criminele opponent

"Weak passwords are like dirty socks. Change them!", is het adagium van Jatin Sehgal, ethical hacker van Ernst & Young. Sehgal breekt een lans voor informatiebeveiliging. "Menselijk gedrag is altijd de zwakste schakel."

Is Jatin Sehgal een professionele hacker? Ja en nee. "Ik moet hier heel specifiek over zijn", zegt hij afgewogen. "Dit issue wordt te vaak verkeerd begrepen. Ik ben een ethical hacker. Ethiek is wat het verschil maakt. Alleen met toestemming van de klant ga ik aan de slag, en ik doe alleen dat stuk waarvoor ik toestemming heb gekregen. Ik probeer programma's, netwerken, applicaties en websites te hacken om te zien of ze hackable zijn. Vervolgens adviseer ik onze klanten over de beveiliging."

Sehgal (29) genoot zijn opleiding aan de MDU University in Faridabad, India. Daarna behaalde hij een in India hoog aangeschreven certificaat voor het beveiligen van informatiesystemen. In Duitsland volgt hij Ernst & Young-trainingen in extreme hacking. De nieuwste technologie komt daarbij ter sprake en de meest spectaculaire hacks worden onder het vergrootglas gelegd. Altijd draait het om de combinatie van kwetsbare systemen en menselijke naïviteit, een dodelijke cocktail voor elke organisatie. Menselijk gedrag is volgens Sehgal altijd de zwakste schakel. "Het is als het afsluiten van je huis, de sleutel onder je deurmat leggen en denken dat er niets kan gebeuren."

In december 2009 kwam Sehgal naar Nederland nadat hij in de Indiase stad Gurgaon ("another Bangalore") al enkele jaren voor Ernst & Young had gewerkt. Aanvankelijk kwam hij hier voor 18 maanden maar het beviel van beide kanten zó goed dat hij in juni een vast contract kreeg.

Het kweken van awareness voor informatiebeveiliging is een van zijn belangrijkste aandachtspunten. Wat dat betreft gaan we volgens Sehgal de goede kant op. Met name bij financiële instellingen, energiebedrijven en overheden onderkent men inmiddels de urgentie van beveiliging (mede omdat het zo vaak mis gaat). Ook bij Ernst & Young zelf zit het goed met deze awareness. Over het maken van sterke wachtwoorden stuurt Sehgal grappige maar o zo duidelijke memo's rond: "Weak passwords are like dirty socks. Change them!" De CEO heeft informatiebeveiliging hoog in het vaandel staan en communiceert daarover met videoboodschappen. Sehgal is niet ontevreden, hoewel hij zich realiseert dat geen enkele organisatie honderd procent veilig is.

De geheimen van de informatica hebben Sehgal altijd geboeid. Toen hij naar de middelbare school ging, kreeg hij van zijn vader een computer cadeau met het uitdrukkelijke verzoek vooral veel games te spelen. Een appèl op de scherpzinnigheid en nieuwsgierigheid van de jonge Jatin, die gaandeweg gefascineerd raakte door de onbegrensde wereld van computers. Gaming werd al snel boring. Nieuwe uitdagingen vinden werd zijn tweede natuur. Na een paar jaar stuitte hij op het issue veiligheid en hacking. Sehgal verwoordt het netjes: "Hoe kan informatie veilig worden uitgewisseld? Hoe kom ik achter de identiteit van de persoon met wie ik communiceer?"

Kennelijk is Sehgal goed in zijn vak want hij maakt snel carrière. Begin dit jaar werd hij uit honderd interne kandidaten gekozen tot Young Professional of the Year. Hij is een veelgevraagd spreker op fora en geeft trainingen aan vakgenoten. Wat hem betreft is dit alles pas het begin. Zijn ambities gaan verder dan informatiebeveiliging. Het is the bigger picture waar het volgens hem om hoort te draaien: Hoe kan veilige IT de business ondersteunen en voor Ernst & Young een "competitive advantage" opleveren?

Met zijn visie op business lijkt het wel goed te zitten. De carrièreladder lonkt, maar ondertussen staat Sehgal toch gewoon met twee benen in de modder. Hij moet zorgen dat hij zijn criminele opponenten één stap voor blijft. Dat is nog lastig genoeg want ze worden steeds slimmer. De indrukwekkendste hack van de afgelopen tijd is ongetwijfeld die van het Sony Playstation Network, waarbij gegevens van 77 miljoen gamers (tien miljoen creditcardhouders) op straat kwamen te liggen. Het netwerk was grofweg een maand offline. Sony denkt er meer dan 120 miljoen euro door verloren te hebben.

Had Sehgal deze rampspoed kunnen voorkomen? "Daar wil ik niets over zeggen. In zijn algemeenheid geldt dat ethische hackers supergoed geïnformeerd moeten zijn. Wereldwijd onderhouden we onze contacten. Ik ben intensief betrokken bij communities als Info Sec, ISC2, ISF, NIST en ANSI." Sehgal beweert bovenop het nieuws te zitten. Dit blijkt als hij een eind augustus in de Volkskrant gepubliceerd bericht onder zijn neus krijgt: ‘Vijf hackers krijgen voorwaardelijke cel'. Het bericht meldt dat de mannen computersystemen van de universiteiten van Michigan en Kaiserslautern hadden gehackt. Sehgal: "Ik was daar al weken van op de hoogte. Kijk maar hier, een bericht van 29 juli. Zulk nieuws sturen we meteen naar elkaar door."

Studenten vinden het vakgebied machtig interessant. Bewijzen hoe slim ze zijn motiveert hen tot op het bot. Sehgal waarschuwt hen niet naïef te zijn: "Veel studenten zien hacking als een spelletje. Ze realiseren zich niet dat ze tegen de lamp kunnen lopen. Ze overzien de consequenties niet. Voor dit vak moet je ethiek in je DNA hebben. Je moet pro-actief zijn, veel zelfvertrouwen hebben en tegelijkertijd nederig kunnen zijn want zelfvertrouwen kan gemakkelijk doorslaan naar arrogantie. Dus nee, ik ben niet de beste hacker. In India en Nederland zijn er genoeg die dit ook kunnen. Sommigen zijn beter. Inderdaad, die kennen we niet."

recente artikelen

gepubliceerd in diverse (vak)media

“Wat gezondheid is moet iedereen zelf bepalen”

Noord-Limburg wil de gezondste regio van Nederland worden en heeft grootse plannen. Het klinkt aantrekkelijk maar een burgerraadslid uit Horst aan de Maas heeft felle kritiek.

Lees artikel »

Securityproject Melissa hackt Russische hackers

Na Deadbolt en Genesis Market werd onlangs de hackersgroep Qakbot opgerold, mede dankzij het cybersecurityproject Melissa. Arwi van der Sluijs is er trots op en vertelt.

Lees artikel »

Pfas-zaak Dordrecht zet forever chemicals op radar

Het gevaar van pfas voor de volksgezondheid is niet meer te bagatelliseren door de recente rechtszaak tegen Chemours in Dordrecht. Maar pfas is here to stay. Hoe nu verder?

Lees artikel »

Het wonder van geperst, verhit en gefilterd gras

Start-up Grassa claimt meer eiwit uit gras te kunnen halen dan de koe. Gras is niets minder dan een wonderplantje volgens directeur Rieks Smook: "Er kan zoveel méér met gras."

Lees artikel »

Moleculair bioloog over gedrag en kwantumfysica

Moleculair bioloog en therapeut Lianne Hermers gebruikt de kwantumfysica om bewustzijnskracht te ontdekken. Haar cliënten lossen mentale problemen zelf op zonder pillen.

Lees artikel »

Overvolle binnensteden hunkeren naar fresh air

Bedrijfsbussen op diesel mogen vanaf 2025 veel Nederlandse stadscentra niet meer in. Met elektrische steps, cargo-bikes en (bak)fietsen vinden monteurs hun weg in de binnenstad.

Lees artikel »

Google wil onze medische data, maar wat willen wij?

Care Studio van Google Health heeft aangekondigd in de VS patiëntendossiers te willen gaan beheren. Huisarts Huib Rutten ziet risico's: "De regie moet altijd bij de patiënt blijven."

Lees artikel »

Bouwvallig Blackpool, walhalla voor kansarmen

De Engelse badplaats Blackpool werd onlangs belachelijk gemaakt door minister Helen Wheeler. Ze bood haar excuses aan maar met financiële steun schiet de stad meer op.

Lees artikel »

Mark Soetman levert de primeur: rauw krabbenvlees

Start-up Crustalicious heeft een machine ontwikkeld die kleine krabben in zes stappen ontdoet van pcb's, zware metalen, ingewanden en schaal. Een wereldprimeur!

Lees artikel »

Meneer Parkinson gaat niet weg, maar boksen helpt wel

Parkinson dendert als een epidemie door Europa. Om het ziektebeeld te vertragen worden steeds meer bokstrainingen speciaal voor Parkinson-patiënten verzorgd.

Lees artikel »