‘Het risico op oud nieuws verkopen is groot’

Cybersecurity

Digitale veiligheid is een belangrijk thema in de samenleving, maar goede beveiligingsexperts zijn lastig te vinden. „Onze industrie is altijd onderweg naar het volgende.”

Illustratie Tammo Schuringa

Zijn werk kan best wel spannend zijn, zegt beveiligingsexpert Jornt van der Wiel (34) van Kaspersky Lab. Twee mannen draaien mede door zijn speurwerk mogelijk de gevangenis in. Van der Wiel onderzocht in 2015 in een samenwerking met het Team High Tech Crime van de politie malware die werd verspreid over pc’s in meer dan twintig landen met vermoedelijk meer dan tienduizend slachtoffers. Het ging om ‘ransomware’, een soort virus waarmee bestanden op een computer worden versleuteld voor losgeld. Van der Wiel ontdekte foutloze Nederlandse zinnen in de code van het virus, terwijl dit soort aanvallen meestal uit Oostbloklanden komen. Een 18-jarige en 22-jarige man werden later opgepakt in Amersfoort.

Computercriminaliteit en spionage kosten Nederlandse organisaties naar schatting inmiddels 10 miljard euro per jaar, oftewel circa 1,5 procent van het bnp. Volgens het Centraal Bureau voor de Statistiek was in 2015 85 procent van de bedrijven bezig met hun ICT-beveiliging. Organisaties in Nederland hangen bovendien sinds vorig jaar een boete boven het hoofd wanneer zij het verzwijgen als persoonlijke data weglekt. En nu door hacken uitgelekte e-mails van de Democraten Donald Trump een zetje hebben gegeven richting het presidentschap, is cybersecurity is ook nog eens volop in het nieuws.

In de branche – denk aan het versleutelen van data, programmeren of veiligheidstesten van sites – liggen de kansen voor talentvolle IT’ers voor het oprapen. Toch concludeerde banensite Indeed deze week dat het aantal vacatures in de cybersecurity is afgenomen: de onderzoekers denken dat er te hoge eisen worden gesteld aan cybersecurityprofessionals. Naar diploma’s wordt nauwelijks gekeken, naar ervaring des te meer. Hoe maak je carrière in zo’n veranderlijk vakgebied?

„Elke dag krijg ik wel een privébericht op LinkedIn van een recruiter die werk voor me heeft”, zegt Jorn Lutters (31), beveiligingsexpert bij Sophos. Lutters werkt in een discipline waar momenteel veel vacatures zijn: hij beveiligt clouddiensten zoals Dropbox met onder meer firewalls.

Ook in het deelgebied van cryptospecialist Ad Koolen (65) – zijn bedrijf zorgt er voor dat e-mail van onder andere ministeries onleesbaar is – is er een grote vraag naar experts. „Er zijn maar twee masters in Nederland die je hiervoor kunnen opleiden en dan moet je ook nog een bijzondere wiskundige knobbel hebben.”

Koolen zit in het bestuur van de Dutch Cyber Warfare Community, die 1.500 cyberspecialisten in Nederland vertegenwoordigt. Binnen de belangengroep wordt vaak over het tekort aan cybersecurityspecialisten gesproken. Een probleem is dat tieners het vaak wel leuk vinden om een beetje te experimenteren met hacken, maar ze daar niet hun vak van willen maken, zegt Koolen. „Je moet een behoorlijk nerdgehalte hebben om echt geïnteresseerd te zijn in cybersecurity. Om professioneel te worden, moet je ook nog het gareel gaan lopen bij een bedrijf. Veel van die jongens hebben daar geen zin in.”

Beveiligingsexpert Lutters wilde wél graag van zijn hobby een beroep maken. Toen hij vijf was, kochten zijn ouders een Intel 80386-computer. „Ik vond het razend interessant en probeerde alles te begrijpen”, zegt Lutters. Zijn fascinatie met programmeren en de slechte beveiliging op het vroege internet werd onbewust de basis van zijn latere carrière. „Ik heb wel eens op afstand printers bij mensen thuis een A4tje laten uitprinten met de tekst ‘Hoi, koop eens een firewall’”.

Bleke nerds in zwarte shirts

Het stigma van bleke nerds in zwarte T-shirts in de IT-branche is niet helemaal onterecht, zegt Ivonne Moeskops (36), cybersecurity consultant bij Legian. „Maar uitzonderingen zijn er heel veel.” ‘Jij? Huh, waarom dan?’, zeggen mensen volgens haar als ze op een feestje vertelt dat ze in de IT-branche werkt.

Moeskops studeerde digitale media en communicatie aan de Hogeschool Utrecht. Op programmeren raakte ze snel uitgekeken, dus stapte ze over op het geven van advies. Nu legt ze in directiekamers van onder meer banken en verzekeraars uit wat het belang is van cybersecurity, en hoe ze hun bedrijf het beste kunnen beschermen. „Cybersecurity is veel breder dan mensen denken”, zegt Moeskops. „Naast het technische deel, gaat het ook veel over communicatie, sales of advies over informatiebeveiliging.”

Daarnaast heb je volgens Lutters absoluut geen IT-opleiding nodig om nog later in het vak te rollen. „Een vriend belandde in de IT omdat hij bij zijn werk – digitaal muziek componeren – handig bleek met computers. Vrienden belden steeds vaker of hij hun laptop misschien kon maken. Hij heeft momenteel een succesvol bedrijf in de digitale beveiligingsbranche.”

‘Specialiseren’ is het toverwoord

Toch is het vinden van een baan niet altijd gemakkelijk. Uit het onderzoek van vacaturesite Indeed bleek dat er sprake van een groot gat tussen vraag en aanbod in het soort beveiligingsexperts dat wordt gezocht. Over het algemeen krimpt de vraag vooral bij traditionele banen, zegt Lutters. „Zeg maar de afdeling waar je heenloopt omdat je computer stuk is.” Bedrijven bewaren hun gegevens in de cloud, legt hij uit. Als hun laptop kapot is, pakken ze een reserve-exemplaar en sturen ze de laptop terug naar de leverancier.

Wil je carrière maken, dan is ‘specialiseren’ toverwoord, zegt Lutters. „Denk aan cursussen volgen om heel erg goed te worden in één aspect van een bepaalde beveiligingsoplossing.” Probeer zo’n expert te worden dat je in gerenommeerde IT-bladen mag publiceren, of over jouw deelgebied mag spreken op conferenties, zegt Van der Wiel.

Maar precies bij die specialisatie loert in de IT-wereld ook een groot gevaar, zeggen de experts. „Onze branche is verraderlijk”, zegt Moeskops. „Het risico op oud nieuws verkopen is erg groot.” „Een van de hotste beveiligingsoplossingen van dit moment, kan zo binnen een jaar niet meer verkocht worden”, zegt Lutters. Zo was Novell was ooit de belangrijkste leverancier van bepaalde beveiligingsoplossingen. „Nu vormen ze minder dan een procent van die markt.”

Of een product verouderd raakt, kun je zien aankomen, bijvoorbeeld als de fabrikant stopt met updates uitbrengen. „Het is de natuur van onze industrie - die is altijd onderweg naar het volgende”, zegt Lutters. „Als je daarin meegroeit, blijf je werk hebben.”

Om IT een beter imago te geven, doet Moeskops vrijwilligerswerk op middelbare scholen. Het vak brengt heus spanning met zich mee, vertelt ze dan. „Als wij de beveiliging van een bedrijf hebben geregeld en een ethische hacker erop loslaten, is dat heel erg billenknijpen. Als deze persoon je systemen onderuit trekt, heb je gefaald.” Ook Van der Wiel is trots op zijn vak. „Op de dag dat de twee Amersfoortse mannen werden opgepakt, besefte ik me: het houdt hier op. Ze zullen geen mensen meer lastigvallen met hun malware.”