Bedrijven hacken voor hun eigen veiligheid

Tegenwoordig zijn er continu online dreigingen. Ook de Russische invasie in Oekraïne gaat gepaard met cyberincidenten: vernietigende malware, de inzet van hackers en platgelegde overheidswebsites. Thomas: “Er zijn pogingen gewaagd om kritieke infrastructuur te ontregelen en met succes. Denk bijvoorbeeld aan energiecentrales, het treinverkeer en zelfs ziekenhuizen. In zo’n oorlog merk je pas hoe kwetsbaar operationele systemen kunnen zijn; het toont aan dat wij met zijn allen industriële cyberbeveiliging hoger op onze prioriteitenlijst moeten krijgen.”

Thomas is cyber security specialist en werkt op dit moment aan een project in het Midden-Oosten. Door de vele kennis waarover zijn team beschikt worden zij regelmatig ingezet om samen te werken met KPMG-collega’s in het buitenland. Zo maken ze bijvoorbeeld deel uit van een cyber security traject voor een industrieel bedrijf.

In de huidige tijd wordt er een hoop van machines verwacht. We willen dat de machines en hun software het liefst dertig jaar meegaan. Dit maakt fabrieken gelijk een stuk kwetsbaarder, want verouderdere software wordt vaak niet meer ondersteund. We zien bijvoorbeeld nog regelmatig Windows Vista en XP. Stuk voor stuk verouderdere software en besturingssystemen die onderdeel zijn van een plat netwerk of op afstand aangestuurd worden. Dit zorgt ervoor dat er (onbewust) diverse deurtjes op een kier staan waar gemakkelijk misbruik van gemaakt kan worden. Thomas: “In onze functie helpen wij bedrijven bij het in kaart brengen van kwetsbaarheden en verdiepen wij ons in hun netwerk. Soms is het zelfs nodig dat wij hen hacken. Dan is de volgende stap om hen aan de hand mee te nemen om hun beveiliging op orde te krijgen.”

Ethical hacking

Naast Thomas is ook Frank cyber security consultant. Onlangs werd hij benaderd door een klant die verdachte activiteit in zijn netwerk detecteerde. Het wees allemaal op de voorbereiding van een aanval, een aanval met mogelijk schade tot gevolg. Frank maakt ook deel uit van een zogenaamd Red Team. Dit team van ethical hackers probeert bij allerlei waardevolle data en/of informatie van de klant te komen, uiteraard volledig onder de radar! Vervolgens presenteren zij aan de klant hoe ze dat gedaan hebben om daarna samen aan de slag te gaan om de juiste detectiemiddelen aan te scherpen of te implementeren. De oplossing is vaak voor een klein deel van technische aard. De meeste winst valt te behalen bij het bestuur en in de mindset van de medewerkers zelf. Door de organisatie succesvol te hacken creëren we een gevoel van urgentie en wakkeren we dat aan.

Ontwikkeling

Het Read Team bestaat uit ongeveer zestig consultants die er elke keer weer met plezier naar streven om het onmogelijke waar te maken. Frank geeft als voorbeeld dat hij op de middelbare school al door de bestanden van docenten aan het bladeren was. Dit was ook zijn eerste ervaring met responsible disclosure, zegt hij er lachend bij. Beiden geven zij aan dat dat het leukste aan dit werk is: inbreken terwijl iedereen op de uitkijk staat om vervolgens mensen te helpen. Elke opdracht wordt gezien als een puzzel die opgelost moet worden; alles blijkt uiteindelijk niet te zijn wat het aan het begin leek. “Een mooie cryptisch beschrijving van ons werk”, zegt Thomas.

In hun rol is het belangrijk dat zij zich zowel individueel als als team blijven ontwikkelen. Nieuwsgierigheid is hier een goede drijfveer voor. Frank: “In het team ligt de nadruk op leren. KPMG moedigt dat ook aan en dit wordt daarom voldoende gefaciliteerd. Ik gaf eens aan dat ik mij in OT cyber security wil verdiepen. Zo gezegd, zo gedaan: volgende week start ik op een opdracht.”

Ben jij benieuwd naar de rol van ethical hacker bij KPMG, bekijk de vacature door hier te klikken of kom hier meer te weten over cyber security bij KPMG.

Dit artikel verscheen eerder op Careerguide.nl