Contact of direct ondersteuning nodig?
+31 320 284141

Jacob Bakker “Laat u de deur van uw pand ook openstaan?”

In de afgelopen vijf jaar is het aantal meldingen van cyberaanvallen maar liefst verdrievoudigd. Die aanvallen zijn bovendien niet alleen steeds gewiekster, maar óók heviger. Bedrijven moeten miljoenen aan losgeld neerleggen om hackers van zich af te schudden. Jacob Bakker, ethical hacker bij ISP, kruipt in de huid van een hacker en volgt hun spoor om kwetsbaarheden op te sporen. “Door preventief in actie te komen, kan heel wat leed bespaard blijven.” 

“Digitale ontwikkelingen brengen ook risico’s met zich mee”

“Chat GPT is van onschatbare waarde voor criminelen”, zegt Europol in een rapport over de impact van chatbots op opsporingsinstanties. In het rapport, dat afgelopen maandag verscheen, benoemt Europol verschillende scenario’s waarin ChatGPT een belangrijk hulpmiddel is. Social engineering, phishing, de ontwikkeling van malware – voor een potentiële crimineel met weinig technische kennis, zijn chatbots volgens de Europese opsporingsdienst van onschatbare waarde. 

Volgens Jacob Bakker is het goed dat er vanuit de overheid steeds meer aandacht komt voor cybercrime. Net als in de media. “Eigenlijk is het ook gewoon noodzakelijk”, legt Bakker uit. “Onze wereld wordt steeds digitaler. Er wordt zoveel software ontwikkeld, iedere dag opnieuw.” ChatGPT, een chatbot met kunstmatige intelligentie die onder meer codes in verschillende programmeertalen kan produceren, is daar een tekenend voorbeeld van. “Die digitale ontwikkeling bieden enorm veel kansen. Ook voor ons. Maar het brengt net zo goed risico’s met zich mee.” 

“Ik kruip in de huid van een hacker” 

Het is aan Bakker om deze risico’s in kaart te brengen en te onderzoeken. Sinds afgelopen juni ondersteunt Bakker als ethical hacker het cyberteam van ISP bij het uitvoeren van pentesten. Met een pentest probeert een ethical hacker op alle mogelijke manieren uw bedrijfsnetwerk, website of applicatie binnen te dringen. “Ik kruip echt in de huid van een hacker met als doel zwakke plekken op te sporen”, vertelt Bakker.

“Dat levert nogal eens verrassingen op.” Volgens Bakker zijn veel organisaties zich niet bewust van de gaten in hun systemen. “Verouderde versleutelingen, updates die nooit worden uitgevoerd, verkeerde instellingen – het lijken misschien kleinigheidjes, maar de gevolgen kunnen groot zijn. Ik vergelijk het wel eens met een openstaande deur. Iedereen kan dan zomaar binnenkomen. Datzelfde kan ook online gebeuren als u uw systemen niet goed beveiligd hebt.” 

Toch wordt die deur in veel gevallen pas op slot gedraaid als de inbreker al binnen is. “We krijgen vooral aanvragen van organisaties die eerder al eens de dupe zijn geworden of juist midden in een ransomware-aanval zitten”, knikt Bakker. “Terecht natuurlijk, want dan slaat de paniek toe. Maar je kunt zo’n aanval ook voorkomen door preventief een pentest uit te laten voeren.” Als het aan Bakker ligt, het liefst periodiek. “De IT-wereld verandert razendsnel en software-updates volgen elkaar in hoog tempo op. Daarom is het goed om regelmatig een check-up te doen.” Van kinderopvang tot technisch bedrijf, iedereen die een online bedrijfssysteem heeft, kan een ethical hacker inschakelen om kwetsbaarheden bloot te leggen. “Juist die verschillende branches maken mijn werk zo interessant.” 

 

Pentest uitvoeren

 

“We hopen dat steeds meer organisaties preventief in actie komen” 

Nog interessanter wordt het als Bakker een ‘lek’ op het spoor komt. “Natuurlijk, het is de bedoeling dat opdrachtgevers waterdichte systemen hebben. Maar juist als ik een kwetsbaarheid vind, kan ik organisaties ook helpen; gericht advies geven.” Voor het uitvoeren van een pentest volgt Bakker een uitgekiend stappenplan:

  1. Dat begint allereerst met een uitgebreide intake. “Tijdens deze intake bespreken we samen met de klant wat we gaan testen en waar ik ga ‘infiltreren’.” 
  2. Vervolgens probeert Bakker zoveel mogelijk informatie binnen te halen met zogenoemde poortscans. “Deze scans geven me inzicht in wat voor services er gebruikt worden en welke gebruikersnamen en wachtwoorden er aan gekoppeld zijn.” 
  3. Op basis van deze informatie maakt Bakker een plan van aanpak: “ik bepaal waar ik het beste kan aanvallen en welke aanval geschikt is. Binnendringen hoeft niet het enige doel te zijn. Soms is het ook raadzaam een DDoS-aanval te testen.” 
  4. Vervolgens kan de hack beginnen, “oftewel: de zogenoemde exploitation phase. In deze fase ga ik op zoek naar kwetsbaarheden. 
  5. Indien een klant dat wenst, kan er ook nog een post-exploitation phase plaatsvinden. “In deze fase probeer ik zoveel mogelijk rechten te krijgen, zodat ik nog dieper in systemen kan om informatie los te krijgen. Ransomware-aanvallers die volledig toegang krijgen tot alle systemen, kunnen bijvoorbeeld al deze informatie als drukmiddel gebruiken voor het overmaken van grote bedragen door te dreigen met een datalek.” 
  6. Tot slot schrijft Bakker een uitgebreide rapportage. “Tijdens het hele proces heb ik aantekeningen gemaakt. Deze aantekeningen vormen de basis van de rapportage. Deze bestaat uit twee delen: een managementsamenvatting met alles wat er is gebeurd en de mogelijke kwetsbaarheden en een technische samenvatting waarmee een interne systeembeheerder verder kan.” In deze reportage doet Bakker tevens aanbevelingen om mogelijke lekken te dichten. 

Volgens Bakker zal de behoefte aan cybersecurity de komende jaren alleen maar toenemen. Ook bij International Security Partners wordt dit een steeds belangrijker thema. “Met mijn komst hebben we nu een ethical hacker onder eigen dak. Wij zien nu al dat dit van grote waarde kan zijn”, legt Bakker uit. “En we hopen dat steeds meer organisaties preventief actie gaan ondernemen. Want de online veiligheid van bedrijven is vandaag de dag misschien nog wel belangrijker dan de offline veiligheid. En bovenal: het een heeft altijd invloed op het andere.”