Nick Hiemstra werkt als ethisch hacker bij de Dienst Uitvoering Onderwijs (DUO), de uitvoeringsorganisatie van de Rijksoverheid voor het onderwijs. Hij zoekt naar zwakke plekken in de ICT-systemen om hackers met slechte bedoelingen een stap voor te zijn.
Hacken met een witte hoed
Nick Hiemstra
Ethisch hacker - Dienst Uitvoering Onderwijs
Witte hoed?
‘Je kent vast wel van die cowboyfilms waarin de good guys een witte cowboyhoed dragen en de bad guys een zwarte. Daar komt het white hat hacking vandaan. Dit staat voor ethisch hacken. Hierbij zoek je naar zwakke plekken in ICT-systemen om black hat hackers met slechte bedoelingen een stap voor te zijn.’
Je pluist dus de hele dag systemen uit?
‘Niet alleen dat. We gaan ook op pad om collega’s te helpen met cybersecurity. We weten hier behoorlijk veel over de manieren waarop hackers met slechte bedoelingen te werk gaan. Met de pen- of hacktesten die ons ethical hackingteam uitvoert, onderzoeken we systemen van DUO. Ook testen we regelmatig systemen van het ministerie van Onderwijs, Cultuur en Wetenschap (OCW)en het Centraal Justitieel Incasso Bureau (CJIB). We brengen daarover advies uit en als er behoefte aan is, helpen we om problemen op te lossen.’
Hoe ben je bij de Rijksoverheid terechtgekomen?
‘Tijdens mijn studie technische informatica heb ik bij verzekeraar Achmea in een soortgelijk team een afstudeerstage gelopen. In 2016 was ik klaar mijn studie en kon ik in deze functie bij DUO terecht. Leuk vind ik dat je binnen de Rijksoverheid door kunt groeien naar allerlei IT-functies bij verschillende rijksorganisaties. Op termijn kun je dus ook heel iets anders gaan doen. Er zijn hier genoeg mogelijkheden om daar de juiste opleidingen voor te volgen.’
Volg je nu ook al opleidingen?
‘Jazeker. Ik heb er al een aantal gedaan. Zo heb ik Web App Penetration Testing and Ethical Hacking bij SANS gevolgd, een opleiding om gecertificeerd ethical hacker te worden, en heb ik via het GIAC mijn certificering verkregen. Daarnaast ben ik bezig met het behalen van het Certified Information Systems Security Professional (CISSP)-certificaat. Voor de nabije toekomst staan OSCP en OSCE van Offensive Securtity op mijn lijstje. Het is tof om die diepe technische kennis over de ICT-infrastructuur in de vingers te krijgen zodat je de systemen nog beter kun screenen.’
Waar krijg je vooral een kick van?
‘Voor de organisatie zelf is het niet zo leuk, maar voor ons wel: als we een zwakke plek vinden. In ons team geldt: staat na de test het licht op groen en heb je dus niks gevonden, dan moet je trakteren! Dat speuren én iets naar boven halen, doe ik gewoon graag. Ook naast mijn werk ben ik vaak met ethical hacker challenges bezig om nog beter te worden.’
Leergierig en competitief moet je hier dus wel zijn...
‘Klopt. Maar je moet ook kunnen overtuigen. Je ziet mensen bij een opdrachtgever soms denken: daar heb je hun weer. Maar als we uitleggen wat het belang hiervan is dan zien ze dat zeker ook in. En dat is een andere leuke kant van dit werk: je draagt bij aan de vertrouwelijkheid, integriteit en beschikbaarheid van data die de Rijksoverheid in huis heeft.’