Beheer

Security

Ethical hacking: slimmer zijn dan je criminele opponent

23 september 2011

Sehgal (29) genoot zijn opleiding aan de MDU University in Faridabad, India. Daarna behaalde hij een in India hoog aangeschreven certificaat voor het beveiligen van informatiesystemen. In Duitsland volgt hij Ernst & Young-trainingen in extreme hacking. De nieuwste technologie komt daarbij ter sprake en de meest spectaculaire hacks worden onder het vergrootglas gelegd. Altijd draait het om de combinatie van kwetsbare systemen en menselijke naïviteit, een dodelijke cocktail voor elke organisatie. Menselijk gedrag is volgens Sehgal altijd de zwakste schakel. “Het is als het afsluiten van je huis, de sleutel onder je deurmat leggen en denken dat er niets kan gebeuren.”

In december 2009 kwam Sehgal naar Nederland nadat hij in de Indiase stad Gurgaon (“another Bangalore”) al enkele jaren voor Ernst & Young had gewerkt. Aanvankelijk kwam hij hier voor achttien maanden maar het beviel van beide kanten zó goed dat hij in juni een vast contract kreeg.

Het kweken van awareness voor informatiebeveiliging is een van zijn belangrijkste aandachtspunten. Wat dat betreft gaan we volgens Sehgal de goede kant op. Met name bij financiële instellingen, energiebedrijven en overheden onderkent men inmiddels de urgentie van beveiliging (mede omdat het zo vaak mis gaat). Ook bij Ernst & Young zelf zit het goed met deze awareness. Over het maken van sterke wachtwoorden stuurt Sehgal grappige maar o zo duidelijke memo’s rond: “Weak passwords are like dirty socks. Change them!” De CEO heeft informatiebeveiliging hoog in het vaandel staan en communiceert daarover met videoboodschappen. Sehgal is niet ontevreden, hoewel hij zich realiseert dat geen enkele organisatie honderd procent veilig is.

De geheimen van de informatica hebben Sehgal altijd geboeid. Toen hij naar de middelbare school ging, kreeg hij van zijn vader een computer cadeau met het uitdrukkelijke verzoek vooral veel games te spelen. Een appel op de scherpzinnigheid en nieuwsgierigheid van de jonge Jatin, die gaandeweg gefascineerd raakte door de onbegrensde wereld van computers. Gaming werd al snel boring. Nieuwe uitdagingen vinden werd zijn tweede natuur. Na een paar jaar stuitte hij op het issue veiligheid en hacking. Sehgal verwoordt het netjes: “Hoe kan informatie veilig worden uitgewisseld? Hoe kom ik achter de identiteit van de persoon met wie ik communiceer?”

Snelle carrière

Kennelijk is Sehgal goed in zijn vak want hij maakt snel carrière. Begin dit jaar werd hij uit honderd interne kandidaten gekozen tot Young Professional of the Year. Hij is een veelgevraagd spreker op fora en geeft trainingen aan vakgenoten. Wat hem betreft is dit alles pas het begin. Zijn ambities gaan verder dan informatiebeveiliging. Het is ‘the bigger picture’ waar het volgens hem om hoort te draaien: Hoe kan veilige IT de business ondersteunen en voor Ernst & Young een “competitive advantage” opleveren?

Met zijn visie op business lijkt het wel goed te zitten. De carrièreladder lonkt, maar ondertussen staat Sehgal toch gewoon met twee benen in de modder. Hij moet zorgen dat hij zijn criminele opponenten één stap voorblijft. Dat is nog lastig genoeg want ze worden steeds slimmer. De indrukwekkendste hack van de afgelopen tijd is ongetwijfeld die van het Sony PlayStation Network, waarbij gegevens van 77 miljoen gamers (tien miljoen creditcardhouders) op straat kwamen te liggen. Het netwerk was grofweg een maand offline. Sony denkt er meer dan 120 miljoen euro door verloren te hebben.

Had Sehgal deze rampspoed kunnen voorkomen? “Daar wil ik niets over zeggen. In zijn algemeenheid geldt dat ethische hackers supergoed geïnformeerd moeten zijn. Wereldwijd onderhouden we onze contacten. Ik ben intensief betrokken bij communities als Info Sec, ISC2, ISF, NIST en ANSI.” Sehgal beweert boven op het nieuws te zitten. Dit blijkt als hij een eind augustus in de Volkskrant gepubliceerd bericht onder zijn neus krijgt: ‘Vijf hackers krijgen voorwaardelijke celstraf’. Het bericht meldt dat de mannen computersystemen van de universiteiten van Michigan en Kaiserslautern hadden gehackt. Sehgal: “Ik was daar al weken van op de hoogte. Kijk maar hier, een bericht van 29 juli. Zulk nieuws sturen we meteen naar elkaar door.”

Studenten vinden het vakgebied machtig interessant. Bewijzen hoe slim ze zijn motiveert hen tot op het bot. Sehgal waarschuwt hen niet naïef te zijn: “Veel studenten zien hacking als een spelletje. Ze realiseren zich niet dat ze tegen de lamp kunnen lopen. Ze overzien de consequenties niet. Voor dit vak moet je ethiek in je DNA hebben. Je moet proactief zijn, veel zelfvertrouwen hebben en tegelijkertijd nederig kunnen zijn want zelfvertrouwen kan gemakkelijk doorslaan naar arrogantie. Dus nee, ik ben niet de beste hacker. In India en Nederland zijn er genoeg die dit ook kunnen. Sommigen zijn beter. Inderdaad, die kennen we niet.”

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!