Stan Hegt is een Digital Security Specialist met een hacker mindset

Stan Hegt kwam al jong in de cybersecurity terecht. Voordat hij begon aan zijn studie Information Security Technology aan de TU Eindhoven, had hij in zijn tienerjaren al een carrière als ethisch hacker achter de rug. Na lange tijd bij KPMG gewerkt te hebben, heeft hij recent met drie andere cybersecurityspecialisten Outflank opgericht, met als doel met een ‘hacker mindset’ advies te bieden aan organisaties en bedrijven. 

Hegt begon zijn carrière spelenderwijs. In een poging zijn vrienden te slim af te zijn met computerspelletjes, hackte Hegt (hij was pas 10 jaar oud) hun computers. De kennis die hij opdeed over IT en de kwetsbaarheden van IT-systemen leidde op zijn vijftiende tot een freelanceonderneming met als doel bedrijven te helpen hun beveiligingslekken op te sporen. Dit was eind jaren negentig, het internet begon volwassen te worden, en cybersecurity werd een steeds groter probleem voor bedrijven en organisaties. Hegt werd ingehuurd door grote ondernemingen, maar omdat hij zo jong was zag hij deze nooit vanbinnen: waarom zou een vijftienjarige serieus genomen moeten worden bij zulke belangrijke vraagstukken? Het is nu bijna niet meer voor te stellen, maar het was tekenend voor een tijd waarin tieners soms meer verstand van ICT-zaken hadden dan managers bij grote ondernemingen. Hegt behoort dan ook tot de eerste generatie die opgroeide met IT en internet in het DNA, maar in de ‘echte’ wereld werd dat nog niet helemaal serieus genomen.

Sinds die tijd is er veel veranderd, aldus Hegt. Nadat hij zijn studie afrondde, ging hij werken voor KPMG, waar hij met een team van hackers aan de slag ging om de digitale beveiliging van bedrijven te testen. Hegt voerde in deze tijd tal van aanvalssimulaties uit en adviseerde op basis daarvan over mogelijke verbeteringen. Veel van de beveiligingsrisico’s die hij in zijn tienerjaren tegenkwam, komen nu nauwelijks meer voor. Maar dat betekent niet dat het niveau van cybersecurity vandaag de dag beter is.

‘Only perfect practice makes perfect’
Hegt specialiseerde zich onder andere in de cybersecurity van banken. Zij zijn, om voor de hand liggende redenen, aantrekkelijke doelwitten voor hackers. Hegt: ‘Banken trekken de champions league van hackers aan. Dat betekent dat zij als geen ander hun beveiliging op orde moeten hebben. Echt grote incidenten doen zich maar zelden voor, maar banken moeten hier wel op voorbereid zijn: de schade zou immers niet te overzien zijn als hackers hun gang kunnen gaan. Daarom voeren wij, op aanvraag uiteraard, realistische aanvallen uit op de systemen van banken. Met als achterliggende gedachte: only perfect practice makes perfect. Ik vergelijk dit vaak met hoe het menselijk lichaam reageert op vaccinaties: je dient een klein beetje van een ziekte toe, zodat het afweermechanisme getraind wordt en het lichaam weerbaarder wordt tegen een echt virus. De digitale aanvallen die wij op verzoek uitvoeren, maken onze klanten weerbaarder tegen echte incidenten.’

Banken lopen in het algemeen voorop als het gaat om hun beveiliging. Zij hebben de laatste jaren een flinke professionalisering doorgemaakt. Hegt: ‘Banken hebben Security Operations Centres die 24/7 monitoren en zo nodig reageren op bedreigingen. Maar in heel veel andere sectoren staat dit nog in de kinderschoenen. In de gezondheidszorg bijvoorbeeld is de beveiliging eigenlijk ondermaats als je bedenkt met wat voor privacygevoelige en waardevolle gegevens er in deze sector gewerkt wordt.’ En ook bij banken zijn er nog altijd zwakheden die door hackers geëxploiteerd kunnen worden. Hegt schat dat van alle opdrachten die hij gedaan heeft, zowel binnen als buiten de bankensector, hij in circa 90% van de gevallen serieuze beveiligingslekken tegenkwam. 

‘Veel partijen spelen het verkeerde spel’
Er is wel verbetering zichtbaar, maar dit laat qua reikwijdte en diepgang vaak te wensen over vindt Hegt. ‘Het dreigingslandschap verandert en wordt steeds serieuzer. Er wordt wel steeds meer geïnvesteerd in monitoring en in incident response, maar het is nog lang niet voldoende. Voor heel veel bedrijven zijn gesimuleerde aanvallen zoals wij die uitvoeren totaal niet behapbaar. Daarnaast spelen veel partijen het verkeerde spel, wanneer ze te maken krijgen met een incident.’ 

Hegt doelt op wat hij ‘mollen meppen’ noemt: zodra er sprake is van een indringer op het netwerk, wordt deze onschadelijk gemaakt door de indringer te isoleren en buiten te sluiten. Tijdens Holland Strikes Back zal Stan laten zien hoe een hacker te werk gaat als hij, in dit geval, een bank digitaal wil overvallen. ‘Het zal blijken dat je er dan met mollen meppen niet gaat komen’, aldus Hegt. ‘Als je op die manier hackers te lijf wilt gaan, doe je de hacker onvoldoende pijn. Hij of zij zal altijd achterdeurtjes inbouwen. En dus de volgende dag weer ergens in je netwerk zitten. Dat spel moet anders gespeeld worden, en tijdens Holland Strikes Back zal ik vertellen hoe.’