Interview met Melanie Rieback van Radically Open Security

Over cybersecurity en de rol van de overheid:  ‘Breng kennis over digitale veiligheid op een hoger niveau’

Overheidsinstellingen besteden de zorg voor digitale veiligheid graag uit aan externe partijen. Die staan niet te springen om hun kennis en expertise met hun opdrachtgevers te delen. Melanie Rieback stoort zich aan deze geslotenheid. Met haar bedrijf Radically Open Security wil zij de markt opschudden. ‘Digitale veiligheid mag voor de overheid geen black box zijn. Daarvoor zijn de bedreigingen te groot.’

Melanie Rieback is een van de keynote sprekers op de ICTU Inspiratiedag op 27 september 2018.

Melanie Rieback groeide op in Florida, haar moeder was computerprogrammeur en haar vader elektrotechnicus. Op haar zevende schreef zij haar eerste, eenvoudige, computerprogramma’s. Als tiener legde ze contacten op bulletinboards en las ze over hackers. Na wat omzwervingen ging ze Computer Science studeren aan de VU Amsterdam, waar ze onder leiding van oud-professor Andrew Tanenbaum promoveerde. Vier jaar werkte ze daar als universitair docent, waarna ze voor het bedrijfsleven koos. In 2014 richtte ze Radically Open Security (ROS) op, een internationaal netwerk van ethisch hackers en cybersecurity-experts. Samen voeren ze penetration tests uit, waarmee ze de veiligheid van computersystemen testen. Dit doen ze in opdracht van zo’n 65 organisaties, waaronder ook overheidsinstanties.

Black box

Rieback beschikt over een team van tophackers: het lukt altijd om systemen binnen te dringen en vaak is de controle over het netwerk in no-time overgenomen. Opvallend: de klanten van ROS kijken gewoon mee terwijl zij en haar collega’s hun weg vinden in het gangenstelsel van een computernetwerk. Rieback streeft naar een wereld waarin digitale veiligheid voor iedereen vanzelfsprekend is en dat kan alleen als experts zoals zij kennis overdragen. Dus biedt zij transparantie. Steeds meer mensen - opdrachtgevers, maar ook collega-experts bij grote consultancybedrijven - delen haar visie. Toch is digitale veiligheid voor veel organisaties nog iets wat je uitbesteedt aan een externe partij. Digitale veiligheid blijft zo een black box: geen idee welke bedreigingen je als organisatie loopt en welke methoden het cybersecuritybedrijf gebruikt om gaten in de verdedigingslinie – voor het moment - te dichten.

“Er is niets op tegen om hulp in te schakelen”, benadrukt ze. “De gemiddelde overheidsorganisatie heeft onvoldoende kundige mensen in huis om het netwerk en data tegen indringers te beschermen. De specifieke kennis die daarvoor nodig is, is zeldzaam. Dat gezegd hebbende vind ik wel dat het de uitdaging moet zijn om kennis over digitale veiligheid op een steeds hoger niveau te brengen. Dat kan het beste als cybersecuritybedrijven open zijn over de methoden die zij inzetten en transparant zijn over de kennis die zij samen met hun opdrachtgevers opbouwen. We hebben een gezamenlijke lange termijnaanpak nodig om antwoorden te vinden op de bedreigingen die in deze wereld op ons af komen.”

Overheid moet willen léren

De realiteit is dat securityconsultants vaak liever helemaal geen kennis overdragen, zegt Rieback: “Zij houden hun kennis voor zichzelf, omdat hun verdienmodel daarop gebaseerd is. De afgesproken diensten worden geleverd, er worden vinkjes gezet en facturen verstuurd. Dat is hoe de markt in elkaar steekt. Het is een bepaalde cultuur en die verander je niet zomaar, zeker niet binnen de overheid.”
De mindset moet veranderen, vindt Rieback: “Digitale veiligheid moet geen black box van een externe partij zijn die je eventjes aan je netwerk koppelt. Mensen binnen de overheid moeten willen léren. Dat wij opdrachtgevers laten meekijken met wat we doen, is omdat we willen dat zij meer inzicht krijgen in hoe bad guys te werk gaan. Dan beseffen ze ineens hoe kwetsbaar ze zijn en zien ze dat onveilige situaties bijna altijd het gevolg zijn van menselijk handelen: een medewerker die iets verkeerds aanklikt, een programmeur die een verkeerde code schrijft of een systeembeheerder die iets over het hoofd ziet. Tegelijkertijd vind ik dat overheden veel kritischer moeten zijn op de securitydiensten die zij inkopen. Als inkoper bepaalt de overheid een groot deel van de markt: waar het geld naartoe gaat, is hoe de markt zich gedraagt. Als de overheid andere eisen aan leveranciers gaat stellen ten aanzien van openheid en kennisoverdracht, dan zal dat een enorme impact hebben.”

Merk je dat jouw boodschap weerklank vindt?

“Zeker. De markt is in beweging. Ik merk aan onze klanten dat zij het heel fijn vinden om opgeleid te worden. Dat blijkt alleen al uit de vele herhalingsopdrachten. Maar het is niet mijn doel om met Radically Open Security heel groot te worden. Ik wil dat andere partijen ons voorbeeld volgen en hun beleid aanpassen. En de overheid moet beseffen dat zij een actieve rol kan spelen om de informatiebeveiliging naar een hoger plan te tillen. Zij kan bepalen welke tools geleverd worden en hoe de kennisoverdracht geregeld moet worden. De overheid moet geen genoegen nemen met een paar stempels van de externe partij ten teken dat aan de zelf gedefinieerde standaarden is voldaan.”

Wat zou je de mensen binnen de overheid nog willen meegeven?

“Binnen iedere overheidsorganisatie moeten er mensen zijn die het strategisch belang van digitale veiligheid inzien en die bereid en geschikt zijn om kennis op te bouwen, vast te houden en te delen. Het management moet budget beschikbaar stellen om programmeurs en systeembeheerders goed op te leiden, zodat ze weten waar ze op moeten letten. En de gewone medewerker hoeft echt geen security-expert te zijn, maar moet wel een bepaalde basiskennis hebben. Dit soort zaken verdient prioriteit.”

En de consultants?

“Tja. Hun businessmodellen zijn gebouwd om gesloten te zijn. Het kost tijd om te veranderen. Sommige partijen delen mijn zorgen, anderen willen niet veranderen. Maar ze weten stiekem wel dat openheid en transparantie een betere aanpak is. Ik zie mijn aanwezigheid op de markt als een medicijn: misschien niet fijn om in te nemen, maar wel nodig om het systeem gezond te maken.”

Meer informatie over de ICTU Inspiratiedag.