VN heeft hem vorig jaar al 'gekroond' tot Batman van internet. Alleen is Victor Gevers geen miljardair die zich verkleedt om misdaad te bestrijden. Eerder andersom: hij is een hacker met een missie, die ook een burgeridentiteit heeft. Met bijbehorende burgerbaan, bij de overheid notabene. Het schoolvoorbeeld van ‘de ethische hacker’ is eigenlijk een ambtenaar. Over een dubbelleven gesproken.

“Ja, ik ben ambtenaar”, lacht Victor Gevers in reactie op die ‘beschuldiging’. Hij is in dienst bij het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK). Zijn ‘day job’, is dus niet echt zijn meest impactvolle carrière. Dit interview met AG Connect gaat over zijn ‘echte’ carrière: ICT-reddend securitywerk.

Casus: Kaseya

Zie bijvoorbeeld de wereldwijde beveiligingsramp rond Kaseya. Die maker van beheersoftware, veelal gebruikt door managed service providers (msp’s) voor IT-beheer bij hun klanten, was vergaand gehackt. Maar voordat de ransomware via Kaseya toesloeg bij zo’n 1500 organisaties, was Gevers al bezig met de onderliggende kwetsbaarheden. Die waren namelijk eerder al ontdekt door het DIVD (Dutch Institute for Vulnerability Disclosure), waarvan Gevers mede-oprichter is.

Deze Nederlandse vrijwilligersorganisatie had Kaseya netjes ingelicht en begeleidde het fixwerk voor die ernstige beveiligingsgaten. Alleen sloeg toen het noodlot toe. Een buitenstaander had de kwetsbaarheden ook ontdekt en bleek niet bepaald ethisch te zijn. De rest is  geschiedenis. IT’ers en beheerders hebben een harde les geleerd. “Het viel in Nederland nog mee, maar in andere landen…” Gevers ziet wel een zilveren randje: “Vóór Kaseya was er weinig aandacht voor msp-software.” Terwijl hij en mede-hackers al jaren waarschuwen voor de kwetsbaarheid van die machtige soort software.

Trump en ethiek