Al hun vrije tijd gaat op aan ethisch hacken

Interview Vincent Toms, ethisch hacker

Vincent Toms en Victor Gevers besteden bijna al hun vrije tijd aan ethisch hacken. Ze wonnen er donderdag een prijs mee.

Illustratie iStock

Je hoort het vaak pas als het misgaat: als Dropbox, KPN, Gmail, of noem maar een ander bedrijf gehackt wordt en er gegevens van honderden, duizenden, miljoenen mensen op straat liggen.

Maar wanneer wordt voorkómen dat gevoelige informatie uitlekt of er een inbraak op de server van een bedrijf plaatsvindt, hoor je er meestal weinig over. En dat is nu precies wat ‘ethische hackers’ Vincent Toms (46) en Victor Gevers (40) wel proberen te doen. In hun vrije tijd.

De twee zijn collega’s, beiden houden zich bij de overheid bezig met informatiebeveiliging en IT. Gevers vertelde Toms dat hij zich bezig hield met ethisch hacken. Beiden maken zich druk over veiligheid van bedrijven, instellingen en particulieren op het internet. En Toms, die al vijfentwintig jaar bezig is met informatiebeveiliging, dacht opeens: „We kunnen het ook eens een keer echt gaan aanpakken.”

Ze richtten een stichting op, GDI Foundation, en lanceerden Project 366. Het doel: een jaar lang kwetsbaarheden opsporen, rapporteren aan de bedrijven en vervolgens een advies geven over hoe dat lek kan worden gedicht. Project 366 vond sinds januari al vijfhonderd van die veiligheidslekken in meer dan 55 landen. Volgens Toms slechts het topje van de ijsberg.

Inmiddels stoppen Toms en Gevers beiden bijna al hun vrije uren in veiligheid op internet. De taakverdeling tussen de twee is heel duidelijk. Gevers, ook wel bekend onder hackersnaam ‘0xDUDE’, speurt het web af en doet het technische gedeelte. Toms hackt niet zelf, maar doet van alles daaromheen: van presentaties maken en teksten schrijven tot het bouwen van de website en meedenken over zwakke beveiligingssystemen.

Afgelopen donderdag werd hun werk beloond met de Digital Impact Award, een prijs uitgereikt door Nederland ICT en het ECP Platform voor de InformatieSamenleving. Ze versloegen de andere kanshebbers: makers van bank-app BunQ en XtraEye, digitale veiligheidsmaatregelen voor ouderen in huis.

Is het confronterend, om zoveel bezig te zijn met het voorkomen van hacks?

Vincent Toms: „Ja, eigenlijk wel. Als je ergens leest dat de digitale veiligheid niet zo goed is, dan denk je: het zal wel. Maar toen ik voor het eerst zag dat Victor binnen een minuut bij een bedrijf binnen was, schrok ik wel. Hoe langer ik ermee bezig ben, hoe verbaasder ik word. We investeren miljoenen in digitale veiligheid, maar we zijn niet veel opgeschoten met z’n allen. De kwetsbaarheid is enorm.”

Waardoor komt dat, denk je?

„Vaak is het niet de techniek die het probleem is, de mens moet het uiteindelijk doen. Ik zal een simpel voorbeeld geven: kijk maar naar jezelf en naar alle wachtwoorden die je moet onthouden. Waar bewaar je het allemaal? Het risico zit dan misschien in de portemonnee of agenda. En hoe vaak maak je een back-up van bestanden en foto’s? We weten allemaal dat we het zouden moeten doen, de mogelijkheden zijn er, maar dat wil niet zeggen dat we het daadwerkelijk doen. Bedrijven willen zo snel mogelijk nieuwe producten op de markt brengen, maar vergeten soms te denken aan de veiligheid. Ook al weten ze dat ze dat eigenlijk wel zouden moeten doen.”

Jullie doen dit beiden naast je reguliere baan.

„Ja, en het kost onwijs veel tijd, maar je krijgt er veel waardering voor terug. In de speech bij de uitreiking heb ik wel mijn vrouw bedankt, want zonder haar steun gaat het niet. Eigenlijk is het ook beetje gekkenwerk, we steken er dertig tot veertig uur per week in, staan er mee op en gaan ermee naar bed. We willen er graag nog meer tijd aan besteden, maar dat gaat nu gewoon niet omdat we er niets mee verdienen.”

Er zijn ook partijen die geld verdienen met ‘ethisch hacken’.

„Wij hebben ons heel bewust georganiseerd als een stichting, en doen dit uit maatschappelijke overwegingen. Moet je je voorstellen dat er iemand verdrinkt. Dan kun je weglopen, of diegene redden. Maar als je iemand redt, ga je daarna toch ook niet om honderd euro vragen? Dat is raar. We zien het als onze maatschappelijke verantwoordelijkheid. Stel je voor dat er een dossier van een mishandeld kind op straat komt te liggen, dan wordt zo’n kind dus twee keer slachtoffer.”

Hoe gaan jullie dan doorgroeien zonder geld te vragen?

„Er zijn meerdere wegen naar Rome. We zijn op zoek naar een samenwerking met organisaties als ICT Nederland en bekijken wat er mogelijk ism hoe we gezamenlijk dit probleem kunnen beetpakken. Eigenlijk zijn we een beetje het Rode Kruis van het internet. We willen dat gevoel in ieder geval wel uitdragen als stichting. Het idee is om ons uiteindelijk als een goed doel te organiseren.”