Hackers weren. Kieren en gaten binnen computersystemen op een innovatieve manier opsporen - en in een uitzonderlijk geval - dichten. Privacygevoelige informatie van burgers ligt veilig opgeslagen en kwaadwillenden kunnen er niet mee aan de haal gaan. Dat is het werk van Ken Cijsouw, security officer bij het Centraal Justitieel Incassobureau (CJIB).
Hackers een stapje voor proberen te blijven
Ken Cijsouw
Security officer - Centraal Justitieel Incassobureau
Privacygevoelige informatie
Het CJIB beschikt over veel privacygevoelige informatie. Van mensen die een verkeersboete moeten betalen, maar ook van personen die strafrechtelijk zijn veroordeeld door een rechter en hun straf moeten uitzitten. ‘Je wilt niet dat deze informatie op straat komt te liggen. Dat bijvoorbeeld algemeen bekend is wie een boete heeft gekregen of waar iemand wordt opgesloten’, vertelt Ken. In zijn werk moet hij zich goed kunnen inleven in hackers die dit soort informatie proberen te stelen of systemen willen ontregelen met een virus.
Moreel kompas
Voor dit werk heb je een sterk moreel kompas nodig, benadrukt Ken. Je moet kunnen denken als een kwaadwillend persoon. Voorop willen lopen op security vlak. De drive hebben om lekken en beveiligingsproblemen op te sporen, die burgers kunnen duperen of zelfs de samenleving kunnen ontwrichten. ‘Neem een lek zoals onlangs bij een VPN-aanbieder. Het was voor buitenstaanders mogelijk om op het interne netwerk van de getroffen bedrijven te komen. Dan kunnen de gevolgen groot zijn. Vaak zie je dat bedrijven een update uitbrengen nadat hackers een lek hebben ontdekt. Maar dan ben je al te laat. Ik ben daarom online veel te vinden bij verschillende securitygroepen, waar de leden bijvoorbeeld kwetsbaarheden delen die nog niet zijn ontdekt door anderen. Dat is winst. Met die kennis treffen we maatregelen die we bij de ontwikkeling en het monitoren van applicaties toepassen. Zo voorkomen we een eventuele aanval. Of signaleren deze vroegtijdig. Zodat we snel kunnen anticiperen.’
Pen-testen
Neem het digitale loket verkeer, een samenwerking tussen het CJIB en het Openbaar Ministerie. Burgers kunnen bij dit loket digitaal in beroep gaan tegen bijvoorbeeld een verkeersboete. Om er zeker van te zijn dat het loket goed beveiligd is, worden er voor en na een update penetratietesten uitgevoerd, oftewel pen-testen. ‘Als we een opening ontdekken, adviseren we de bouwers van de applicatie hoe dat volgens ons op de beste manier op te lossen is. Dat is soms lastig, wanneer gebruiksvriendelijkheid botst met beveiliging.’
Veilig én gebruiksvriendelijk
Een voorbeeld? Stel dat je op een website een tekstveld hebt waarin burgers eigen tekst mogen invoeren. Je zou daar als hacker gevaarlijke programmataal kunnen neerschrijven en toegang verkrijgen ‘aan de achterkant’. Dat wil je voorkomen. Maar je kunt van het publiek ook niet vragen dat ze bepaalde woorden of karakters niet mogen gebruiken. Een applicatie moet werkbaar blijven. Daarin moeten we telkens een middenweg vinden: veilig én gebruiksvriendelijk.’
Wie rammelt daar aan de deur?
Ken stuurt als Security Officer het Security Operations Center(SOC) van het CJIB aan. ‘We houden de hele infrastructuur, dus ook de applicaties, van het CJIB in de gaten. Als er gemorreld wordt aan de deur om te kijken of er nog kwetsbaarheden zijn, dan zien we dat. Het maakt ons digitaal weerbaarder.’ Binnen een SOC zijn er volop tools om activiteiten te monitoren en te analyseren. Zo wordt er gewerkt met verschillende vulnerability scanners. Deze scanners geven een eerste indruk van hoe veilig het systeem is. ‘ Een ander voorbeeld: als aanvallers dertig keer verkeerd inloggen, merken we dat direct. Een normale gebruiker zou dat nooit doen. Vervolgens kijken we wie het is en wat de reden is dat iemand zo vaak probeert in te loggen. Soms is het een echte aanval, soms alleen een poging daartoe. En soms is iemand gewoon zijn wachtwoord vergeten.’
Maatschappelijk relevant
Bezig zijn met de nieuwste technieken op een innovatieve manier binnen security maakt dit werk bij het Rijk bijzonder leuk, vertelt Ken. ‘Het allerbelangrijkst vind ik dat ik iets voor Nederland betekenen. Bij de Rijksoverheid kan dat zeker. Ik bouw aan de veiligheid van systemen die bijdragen aan een veilig en integer strafproces. Zo dien ik het maatschappelijk belang en dat geeft mij veel voldoening.’