‘Van Rijbroek bood Centric-top Kaspersky-broncode aan’

AG Connect heeft voorinzage gekregen in het boek, dat aanstaande donderdag uitkomt. Daarin valt onder meer te lezen dat het aanbod van Kaspersky-code aan de toenmalige top van Centric eind 2018 is gedaan door Van Rijbroek. Dit was maanden nadat ze had geclaimd die Russische securityleverancier te hebben gehackt. Die claim is gedaan in een artikel van begin februari 2018 in De Telegraaf, opgetekend uit de mond van haar toenmalige zakenpartner Willem Vermeend. In de zomer van 2018 heeft Van Rijbroek deze hackclaim ingetrokken in de door Kaspersky aangespannen rechtszaak daarover.

'Gewerkt voor Kaspersky'

Nu komt in het boek 'Er is er hier maar één de baas' van journalist Angelique Kunst naar buiten dat de zelfverklaarde cybersecurity-expert zich later nogmaals heeft geprofileerd met Kaspersky. Dat is volgens de bronnen van Kunst gebeurd bij een eerste ontmoeting tussen Sanderinks toen nieuwe levenspartner en toenmalige topbestuurders bij Centric. Sommige van die topmanagers bekleden nu nog hoge posities bij dat IT-bedrijf van Sanderink. AG Connect heeft hen daar in de afgelopen jaren meermaals vragen over gesteld, maar er geen antwoorden of reacties op gekregen.

Hoofdstuk 9 van het donderdag uitkomende boek vermeldt: "Op een dag in november 2018 hoort non-executive bestuurder Guust Sturm dat er een belangrijke bespreking gepland staat op golfbaan The Duke in Nistelrode. Daar is vreemd genoeg niemand van het bestuur voor uitgenodigd. Een agenda is er ook niet. Er is alleen bekend dat het zal gaan over cybersecurity, en dat de directeuren Ben van Lier en Freddie Veltmaat wel zijn uitgenodigd."

Overigens is die golfbaan ook de plek waar Sanderink en Van Rijbroek elkaar hebben ontmoet, zo valt te lezen in hoofdstuk 6. De belangrijke bespreking over cybersecurity is door Sturm ook bezocht, om de vinger aan de pols te houden. Hij heeft Sanderink gevraagd of hij ook welkom was, wat de eigenaar van Centric moeilijk kon weigeren omdat Sturm toen in de board zat. Bovendien was hij tot drie maanden daarvoor bestuurder van Centric, mét kennis van en ervaring met cybersecurity.

'Ervaring bij veiligheidsdiensten'

Op het tijdstip van de bespreking komt de normaliter zeer punctuele Sanderink bijna een uur te laat aan. "En achter hem loopt de vrouw die ze tot nu toe alleen kennen van dat merkwaardige Nieuwsuur-filmpje op YouTube. Ze stelt zich glimlachend voor als Rian van Rijbroek. Sanderinks nieuwe vriendin neemt tijdens de vergadering uitgebreid de tijd om zichzelf te introduceren. Ze vertelt over haar ervaringen bij diverse veiligheidsdiensten en zegt dat ze ook heeft gewerkt voor softwarebeveiligingsbedrijf Kaspersky."

Die nu naar buiten komende claim betreft niet zomaar wat werk voor de securityleverancier: het was volgens Van Rijbroek werk op hoog niveau. Ze vertelt de aanwezige Centric-topmanagers dat ze zelfs over "de broncodes van Kaspersky" beschikt, "dus als de mannen die willen inzien, dan kan dat." Volgens het boek van Kunst hebben Sturm, Van Lier en Veltmaat dat beleefd geweigerd.

Beleefd geweigerd

Dat weigeren is volgens het boek niet alleen omdat het tonen en inzien van geheime broncode een grove en strafbare schending van vertrouwelijkheid zou zijn. Ze zouden haar claim van codebezit ook niet hebben geloofd. Het aanbod vertelde de topmannen bovendien iets over haar integriteit. Bij de bespreking zou Van Rijbroek doemverhalen over hacks en geldspuwende pinautomaten hebben verteld, zoals ze eerder ook bij tv-programma Nieuwsuur heeft gedaan. Verder kwam ze met opmerkelijke suggesties dat er "van alles mis is met de beveiliging van Centric, zowel in de software als in de infrastructuur".

Toenmalig topbestuurder Sturm zou daar geprikkeld op hebben gereageerd. "Dit is precies waar hij zich de laatste jaren als directeur mee bezig heeft gehouden, dus hij snapt niet waar ze haar wijsheid vandaan heeft." Sturm zou de vrouw - die formeel buitenstaander is - uitgebreid hebben uitgelegd welke securityprojecten er bij Centric lopen, hoe ethische hackers regelmatig de systemen van het bedrijf testen, en hoe Centric secure software development (ssd) toepast. "Dat laatste blijkt onbekend terrein voor Van Rijbroek, ze heeft zelfs nog nooit van ssd gehoord."

Securityinitiatief onder leiding van Van Rijbroek

Auteur Kunst schrijft dat dit hoogst merkwaardig is voor een superhacker, omdat secure software development "de basis van softwarebeveiliging" vormt. "Na het uitvoerige relaas van Sturm bindt Van Rijbroek in. ‘Dan zal het bij Centric wel in orde zijn,’ zegt ze luchtig." In die vergadering van topmanagers bij Centric wordt aangekondigd dat de IT-dienstverlener een Cyber Defense & Securityinitiatief gaat opzetten, waar Van Rijbroek de leiding over zou krijgen.

Sturm zou daarna intern tegengas zijn gaan geven en bij andere topbestuurders hebben geïnformeerd naar de beweringen van Van Rijbroek. Dit betrof ook een claim dat er bij Sanderinks bouwbedrijf Strukton kwetsbaarheden in een dataprogramma zouden zitten. "Dat is een heel ernstige bedreiging voor de veiligheid; of Centric daar eens goed naar wil kijken?"

Navraag door Centric-bestuurder Sturm bij Strukon-topbestuurder Aike Schoots leert hem dat "Van Rijbroek daar al een hele tijd geleden onderzoek naar heeft gedaan". Schoots zou hem hebben verteld dat dat maar goed was ook, "want het is helemaal foute boel". Verzoek om inzage van het rapport dat Van Rijbroek daarover zou hebben opgesteld, loopt vast: dat rapport blijkt er niet te zijn. "De bevindingen zijn zo geheim dat Van Rijbroek alleen mondeling verslag heeft uitgebracht."

Managementleegloop en rechtszaken

Sturm is één van de topmanagers die in de roerige periode na eind 2018 het veld heeft geruimd. Naast deze non-executive bestuurder zijn diverse Centric-veteranen vertrokken. Dit betreft onder meer CEO Karim Henkens, CFO Carolien van der Werf, haar opvolger Rianne Jans, outsourcingsdirecteur Roland Plomp en commercieel directeur Hans Schrijver. Over hun ontslagen zijn strubbelingen, rechtszaken, schikkingen en verliezen geweest waarbij Sanderink en Centric nogal aan het kortste eind hebben getrokken.

Update:

Centric heeft nog gereageerd op vragen van AG Connect over bovenstaande: "Dank voor je vraag. We zien dat je verhaal al online staat. We hebben het gelezen en we hebben er geen commentaar op."