Bewustwording cybersecurity is een must
In een maatschappij met snelle ontwikkelingen, nieuwe technologieën en veranderende wet- en regelgeving op het gebied van beveiliging, is cybersecurity belangrijker dan ooit. Emil Pilecki, Security Specialist bij Rootsec, vertelt in het ZP Radio programma HoofdZaken aan Sebas Krijgsman en Paul van Leeuwen hoe hij als ethisch hacker hulp kan bieden door bijvoorbeeld data-lekken te onderscheppen en de te ondernemen maatregelen in Jip en Janneke taal uit te leggen.
Ethisch hacken als security specialist
Van zijn hobby zijn werk maken, zo is het voor Pilecki allemaal begonnen. Inmiddels bekommert hij zich, samen met zijn team, om de informatie en data van vele organisaties. Hoe? Door te hacken. Ondanks dat dit letterlijk ‘het vinden van toepassingen die niet door de maker van het middel bedoeld zijn’ betekent, heeft Pilecki geen kwaad in de zin. Daarom is zijn bedrijf Rootsec gespecialiseerd in ethisch hacken. Pilecki: “Onze belangrijkste boodschap is, vertrouw nooit volledig op techniek als het aankomt op beveiliging. Er spelen namelijk altijd factoren als cultuur, mensen en organisatie mee. Wij testen de beveiliging van bedrijven, zowel digitaal als fysiek.
“ZP’ers hebben veel belang bij veilige informatie. Het is tenslotte zijn/haar eigen data.”
Emil Pilecki – Security Specialist Rootsec
Kijk vooruit
Niet iedereen binnen een organisatie ziet Pilecki graag binnenwandelen. Het resultaat van een onderzoek kan namelijk nog wel eens een ontslag als gevolg hebben. “Ik ben er niet op uit om iemand zijn werk kapot te maken, maar wil mensen bewust maken van de gevaren”, aldus Pilecki. Toch is Nederland op dit gebied al een stuk verder dan andere landen. Volgens Pilecki werkt de media daar voor een groot deel aan mee. Bijvoorbeeld door de ophef rondom de AVG of het Sleepwet referendum.
Op de man af
Naast externe penetratietesten op software, vinden hackers steeds vaker hun weg naar binnen via personen. Pileci: “Het lek zit hem dan niet in de persoon, het gaat om de bedrijfsvoering en het bijbehorende proces.” Ter illustratie vertelt Pilecki over een Social Hacking opdracht bij de klantenservice van een hypotheekverstrekker. Daarbij deed hij zich voor als klant richting de organisatie om achter gegevens te komen. Met een privé-telefoon belde hij medio april om een jaaropgave op te vragen, zodat hij deze met spoed kon doorsturen naar de boekhouder. Met een aantal basisgegevens – die door de persoon in kwestie beschikbaar waren gesteld op het internet – kon hij de beveiligingsvragen beantwoorden. Verder gebruikte hij Schiphol-geluiden op de achtergrond als extra pressiemiddel en binnen nog geen 10 minuten had hij een uittreksel in zijn e-mail. “Wij zijn te servicegericht in Nederland en daardoor niet meer bezig met veiligheid”, aldus Pilecki.
“Je staat ervan te kijken hoe gemakkelijk je bij bedrijven kan binnenkomen, zowel via laptop als personen!”
Emil Pilecki – Security Specialist Rootsec
Veilig worden én blijven
Het 300 pagina’s tellende PDF-document over de nieuwe AVG heeft Pilecki niet eens gelezen. Veel organisaties vragen RootSec om een keurmerk of certificaat. Pilecki: “Wij rennen allemaal naar één deadline en willen AVG-proof zijn. Het gaat veel verder dat dat.” Het gaat hem er ook niet om hoe iemand zijn data gebruikt, maar om de veiligheid daarvan. “Dure firewalls en abonnementen zijn niet de oplossing. Iedereen vertrouwt hier volledig op, terwijl de rest dan zo lek is als een mandje. Ik kom graag aantonen dat ik alsnog binnen kan komen”, zegt Pilecki. Volgens hem is het beste advies: laat omgevingen 24/7 monitoren.
Beluister de volledige radio-uitzending met Emil Pilecki hieronder.
Bekijk op de website van ZP Radio ook eerdere uitzendingen van HoofdZaken.