Loopbaan

Carriere
Frank Groenewegen

Frank Groenewegen: ontdekkingsreiziger die al 'hackend' zijn weg vond

Carrière bestaat uit 'alles wat ik lastig, uitdagend vond'.

Frank Groenewegen © Anthony Donner, anthonydonner.com
8 april 2022

Carrière bestaat uit 'alles wat ik lastig, uitdagend vond'.

Zijn securityloopbaan is voortgekomen uit zijn ontdekkingsdrang; uitzoeken hoe en waarom dingen werken. En waarom niet. “Mijn computer was dagelijks kapot”, door zijn eigen hackwerk. “Er was toen geen handleiding, je moest alles zelf uitvogelen.” Eigenlijk net zoals bij cybersecurity, waarvoor hackers en securityprofessionals als Groenewegen zich inspannen.

Wie had er gedacht dat een cybersecuritycarrière een belangrijke overeenkomst kan hebben met de vastgoedmarkt? Locatie, locatie, locatie! In het geval van Frank Groenewegen, partner Cyber Risk bij Deloitte en veteraan van Fox-IT, was een bepalende factor zijn opgroeien in het Westland. Want dáár deed in Franks jeugd kabelinternet z’n intrede, en dáár was een tomatentuinder die problemen had met z’n computer.

Beveiliging brééd bekijken

Jaren later is Frank Groenewegen één van de bekende gezichten in de Nederlandse cybersecurity. Vaak naar buiten getreden als expert bij Fox-IT en begin 2021 overgestapt naar een firma die ogenschijnlijk niet gericht is op security. Namelijk Deloitte, één van de Big Four, naast KPMG, PwC en EY. Elk wereldwijd groot op accountancygebied, maar waar ze veel meer doen dan alleen dat. Ze doen aan zakelijke consultancy, wat ook cybersecurity omvat en de risico’s die daar aan hangen. Plus een SoC (security operations center) voor klanten. Vandaar dat IT-beveiligingsexpert Groenewegen nu over cyber risk gaat.

Na ruim vijftien jaar cybersecurity overstappen naar cyberrisico, bij een fundamenteel andere werkgever. Na een loopbaan met diepgaand ICT-beveiligingswerk bij Nederlands’ bekendste cybersecuritybedrijf Fox-IT is Groenewegen het breder gaan zoeken. Vanuit zijn zoektocht naar kennis, die al begint in het tijdperk van vóór het consumenteninternet. Groenewegen had in zijn jeugd een computer thuis, via een pc-privéproject van zijn moeders werk. En hij had een buurman met een modem om in te bellen op BBS’en (bulletin board systems).

In die ‘oertijd’ van de IT begon de jonge hacker zijn zoektocht naar kennis; om de computer dingen te laten doen. “Er was toen geen handleiding, je moest alles zelf uitvogelen”, wat de naar kennis hongerende Groenewegen dan ook deed. Met soms schadelijke gevolgen: “Mijn computer was dagelijks kapot”. Op gegeven moment had de jonge pc-pionier wel de wijsheid opgedaan om een nood-bootdisk paraat te hebben liggen. Om te kunnen herstellen van zijn geknoei met hackmogelijkheden, aanvankelijk offline en local, maar daarna online.

Locatie, locatie, locatie

Opgroeien in het Westland heeft zijn ontdekkingsreis flink geholpen, want daar kwam toen de thuisrevolutie van kabelinternet. Kabelbedrijf CAIW (later: Caiway) bood consumenten snel en 24/7 internettoegang. Dat was een groot verschil met het langzame en dure inbellen naar een BBS of een internetprovider, waarbij elke minuut telefoonverbinding geld kostte. De technische nieuwsgierigheid kreeg een boost. “Het ging hard nadat ik op internet kwam.”

Een andere locatiegebonden factor die zijn cybersecuritycarrière heeft geholpen, was een tomatentuinder. Een werkgever die modern werkte met een computer, maar die kampte nogal eens met problemen. Daar had Groenewegen een bijbaantje op zaterdagen en in de vakanties, maar in plaats van tomaten plukken, ging hij het probleem onderzoeken. Waarom had de computer van de tuinder kuren? Aan hem de taak dat uit te vinden, en te fixen. “Ik kon in de baas z’n tijd lekker binnen werken.” Toen nog geen securitywerk, maar wel het uitzoeken van een digitale puzzel.

School-IT testen

Ondanks zijn vorderingen wist Groenewegen zijn pc thuis met regelmaat onklaar te maken. Bij ernstige problemen ging hij dan met de computer achterop de fiets langs bij de Caiway-helpdesk. Geleidelijk aan wist hij zijn technische talenten te benutten, onder meer op zijn school. Daar werd hij bijvoorbeeld gevraagd om de Group Policy voor Windows NT te helpen, door die instellingen voor pc-beheer te testen. “Ik heb heel veel geleerd van kattenkwaad”, biecht hij nu op.

Terwijl hij de beheerder op school hielp, technische vrienden maakte op IRC-kanalen, de helpdesk van de kabelprovider lastig viel met nieuwe uitdagingen, en digitaal kattenkwaad uithaalde, was het besef gekomen dat Groenewegen IT’er wilde worden. Dus ging hij informatica studeren, “net toen het web serieus werd”.

Het internet ging toen een nieuwe fase in, waarbij het niet meer ‘alleen voor nerds’ was, legt Groenewegen uit. Waar ‘normale’ jongeren kattenkwaad uithaalden op straat, daar deed hij online dingen die hem kennis en kunde bijbrachten. Hacken, in de klassieke betekenis. Wat Groenewegen juist wilde inzetten om de wereld veiliger te maken. “Toen ontdekte ik mijn passie: ik wilde de security in.”

Een versnelde mbo-studie en werk als systeem- en netwerkbeheerder bij een IT-dienstverlener voor het mkb hebben zijn cv formeel aangevuld. Gateways en firewalls configureren, poorten instellen; zijn ervaring met online-kattenkwaad kwam hem goed van pas.

‘Als ik maar binnen ben’

Zo rond 2004 kwam Fox-IT in beeld bij Groenewegen, alleen vermeldde de vacature daar dat hbo of universiteit vereist was. “Dat heb ik niet”, besefte Groenewegen, die zich daardoor niet liet ontmoedigen: “Ik solliciteer wel op het laagste niveau: systeembeheerder. Als ik maar binnen ben.”

Na een ruim uitgelopen sollicitatiegesprek is hij bij Fox-IT aan de slag gegaan als systeembeheerder. Om na pak ‘m beet een half jaar te stoppen met dat werk en het SoC (security operations center) in te gaan. Daar ging hij hackers detecteren in de netwerken van grote bedrijven; hun gedrag in kaart brengen, pentests uitvoeren.

De afgelopen tien jaar zijn meer en meer bedrijven gaan beseffen dat zulk beveiligingswerk noodzakelijk is, voor hun bedrijfsvoering. Dat bredere besef is begin vorig jaar samengekomen met de carrière van Groenewegen. Zijn overstap van Fox-IT naar Deloitte moet je zien in het licht van breder beveiligingsbesef in de business. Groenewegen vertelt dat het hem soms wel is gelukt om bedrijven beter bestand te maken tegen digitale dreigingen op de lange termijn. “Maar minder vaak dan ik had gewild.”

Inzicht in bedrijfsprocessen

Waar dat aan ligt? Niet aan gebrek aan talent, technisch vermogen of security-inzicht. Maar misschien wel aan onvoldoende inzicht in bedrijfsprocessen en grip daarop. “Hoe werken grote bedrijven nou precies en hoe verander je bepaalde zaken structureel?” Al is de technologie nog zo goed, uiteindelijk komt ook IT-security neer op de business. Voor écht betere cyberweerbaarheid is vaak een bedrijfstransformatie nodig, moet misschien de bedrijfsvoering worden aangepast. “Alles wat ik lastig, uitdagend vond.”

Wat toen voor Groenewegen nog nieuw was, was voor Deloitte juist bekende materie. En dat niet alleen qua bedrijfszaken als processen en transformaties. Deloitte heeft een serieuze cyberpraktijk, die Groenewegen omschrijft als een groot en volwaardig cybersecuritybedrijf, maar dan “náást al die andere domeinen en expertises” die nodig zijn in de bedrijfswereld. “Ik kan nu meedenken en meehelpen hoe bedrijven op de lange termijn cyberweerbaar te maken.”

Daarbij speelt de bekende kloof tussen tech en business. Groenewegen zegt dat de taal van de nerds niet altijd wordt begrepen en dat het één van zijn belangrijkste drijfveren is daar blijvend iets aan te doen. “Je moet het snappen en dat begrijpelijk maken” voor bestuurders. “Om zo de wereld wat veiliger te maken.”

Wereld veiliger maken

Want cybersecurity is nu ver voorbij online-kattenkwaad uithalende jongeren. De digitale wapenwedloop heeft echter nog wel wat van het kat-en-muis-spel, dat Groenewegen wil winnen. Het belang, de afhankelijkheid en kwetsbaarheid van IT zijn met de oorlog in Oekraïne onmiskenbaar geworden. Genoeg lastige, uitdagende materie dus voor een ontdekkingsreiziger.

CV Frank Groenewegen

Hoe kom je aan zo’n 20 jaar ervaring in ICT en cybersecurity? Deels door zelf aan de slag te gaan met je eigen pc en pionierend op internet. En deels door ruim 15 jaar te werken bij Nederlands bekende ICT-beveiligingsbedrijf Fox-IT. Frank Groenewegen is daar sinds 2005 gaandeweg steeds zwaardere functies gaan vervullen en grotere onderzoeken gaan uitvoeren. Zaken met ‘gewoon cybercriminelen’ als opponent, maar ook statelijke actoren. Begin 2021 is hij overgestapt naar Deloitte Nederland.

Magazine AG Connect

Dit artikel is ook gepubliceerd in het magazine van AG Connect (april 2022). Wil je alle artikelen uit dit nummer lezen, zie dan de inhoudsopgave.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.