De carrière van Chantal Stekelenburg: Digitale beschermvrouwe

Stekelenburg leert al op jonge leeftijd veel nuttige vaardigheden voor haar huidige werk. Haar vader werkte voor een groot consultancybedrijf in de IT, wat betekende dat ze vroeg in de jaren negentig een computer in huis hadden staan. Op tienjarige leeftijd maakte ze voor het eerst haar eigen website. “Die zag er niet uit”, lacht ze nu. “Ik weet niet eens of we hem ook echt op het internet hebben gesleept.”

Op de middelbare school ontwikkelde ze zich tot ‘computernerd’. “Ik heb ook wat kattenkwaad uitgehaald. In de mediatheek hadden we computers staan. Met een virus dat ik had gedownload, liet ik de CD-lades van die computers constant open en dicht gaan.” Het is ook de plek waar ze de eerste skills voor haar latere carrière ontwikkelde: een jonge Stekelenburg pikte daar de eerste vaardigheden op voor open source intelligence (OSINT). “Als een vriendin van mij zei dat ze met iemand had afgesproken en van welke school hij kwam, dan wist ik binnen vijf minuten wie dat was en wie zijn familie was.”

Jaren later zet ze dergelijke vaardigheden in tijdens haar werk bij Zerocopter, maar tijdens de pandemie ook bij de politie. Ze doet mee aan hackathons, waarbij deelnemers met OSINT op zoek gaan naar voortvluchtigen. Stekelenburg blijkt daar zo goed in te zijn, dat de politie haar in 2020 vraagt hier op structurelere basis aan bij te dragen. “Dus of ik een team wilde ondersteunen met dit soort dingen. En dan niet alleen de OSINT-teams, maar ook de andere cybercrime-teams. Want die hebben ook vragen over hoe het werkt en wat ze ermee kunnen. Dus dat ben ik gaan doen.”

De politie heeft echter niet alleen hulp nodig met OSINT, maar ook op andere techgebieden. “Ik ben me daar al snel met bepaalde dingen gaan bemoeien, waarvan ik wist dat er niet genoeg kennis over in huis was. Een deel daarvan is stalking, wat tegenwoordig veel meer digitaal gebeurt. Ze hacken je social media en andere accounts, of volgen je via AirTags. Dat vond ik heel interessant, het zijn ook ingewikkelde zaken. Er zit veel emotie bij en het heeft veel impact op het slachtoffer. En het slachtoffer weet eigenlijk ook niet wat er precies aan de hand is, dus het zorgt voor veel uitzoekwerk. Dat vond ik uitdagend. Op een gegeven moment ben ik een soort stalker-expert geworden.”

Van UX naar security

Stekelenburg begint haar carrière echter niet binnen de security, maar in UX-design. Ze studeert – na een korte omweg via een studie Engels – Communicatie en Multimedia Design in Utrecht, waar ze ook veel kan programmeren en met computers kan werken. UX-design bevalt haar omdat ze de interactie tussen mensen en computers interessant vindt. “Zeker het technische deel daarvan vind ik leuk: hoe klikt iemand door een website heen? Hoe programmeer je die interactie, zodat het allemaal goed werkt? Er zit natuurlijk een beetje marketing bij, want je gaat ook A/B-testen en kijken hoe je mensen naar een website toe kunt trekken. Je leert dus eigenlijk manipulatie, dat vond ik interessant.”

Na een aantal jaar in UX-design te hebben gewerkt, besluit ze een traject van Hyper Island te volgen. Hyper Island is een Zweedse school die onderwijs geeft aan de hand van real life cases en onderzoek, in plaats van via examens en lesstof. “Een oud klasgenootje van mij heeft dit ook gedaan en het trok me wel. Ik wilde dit gewoon ervaren.” Bij het traject hoort ook een traineeship en er was slechts één bedrijf dat een trainee zocht met online marketing-ervaring: beveiligingsbedrijf Zerocopter.

Het is bij dit beveiligingsbedrijf waar plots alle puzzelstukjes op zijn plek vallen. “Ik had nog nooit gehoord van ethisch hackers en dergelijke. Maar het klikte heel goed. Veel dingen die ik al jaren deed, bleken opeens vaardigheden te zijn waar je je werk van kunt maken.” Al snel gaat ze mee naar evenementen, overlegt ze met klanten en loopt ze mee op de triage, waar ze haar eerder verworven technische vaardigheden uitgebreid in kan zetten. “We controleren op de triage van elk rapport dat binnenkomt of het valide is. Dus of het echt om een kwetsbaarheid gaat, of we het kunnen reproduceren en of het al eerder is gemeld. Dat is ook hoe ik hacken heb geleerd. Je ziet opeens wat er gebeurt, wat anderen doen. En dat blijft hangen.”

Vele ballen in de lucht

Zerocopter is op dat moment nog een startup, wat betekent dat niet overal mensen voor zijn. Stekelenburg neemt het op zich om te zorgen dat er meer afdelingen komen en er mensen aangetrokken worden. “Op een gegeven moment moet daar een labeltje op geplakt worden. Dat werd Head of Operations. Maar toen we gingen groeien, werd dat eigenlijk te veel voor me. En ik was alleen maar dingen aan het managen, terwijl ik het technische deel veel leuker vind. Ik wilde weer lekker met mijn vingers in dingen wroeten.”

Ze moet dus een keuze maken en besluit inderdaad meer naar de techniek te bewegen. “Het werk met de researchers vind ik het allerleukste. Dus met hen communiceren, zorgen dat alles goed is geregeld voor ze.” Slechts vijf jaar na haar start bij Zerocopter wordt Stekelenburg dus Head of Researchers. Nog steeds stuurt ze dus veel aan, “maar de technische dingen haal ik wel weer ergens anders uit. En af en toe is er een projectje waar ik gewoon bij aan kan sluiten.”

Zo wordt ze vaste gast bij de Angrynerds Podcast, sluit ze zich aan bij de raad van toezicht van het DIVD en gaat ze dus bij de politie aan de slag. Ook start ze met andere vrouwen in de securitywereld WICCA - de Women In Cybersecurity Community Association. Niet alleen kunnen vrouwen zo samenkomen en zich verenigen, ook leren ze samen over exploits, hacken, incident response, forensics en meer.

WICCA

Veel van dit werk start ze echter tijdens de pandemie, als er verder toch weinig kan. Maar als er een einde komt aan de lockdowns en het gewone leven weer opstart, merkt Stekelenburg dat ze niet voldoende tijd heeft voor alles. In februari dit jaar besluit ze de politie te verlaten. Dat betekent echter niet dat ze haar werk met slachtoffers van stalking stopt. “Op een gegeven moment werden we ook bij WICCA benaderd door slachtoffers. Die zoeken dan een hacker of iemand met technische kennis die kan helpen. En een stichting voor vrouwen in cybersecurity, dat wekt op de één of andere manier vertrouwen.” De vrouwen zoeken meestal contact omdat er bewijslast moet komen voor de politie, voor er stappen genomen kunnen worden. De inmiddels ruim duizend leden van WICCA helpen daar graag bij in hun vrije tijd.

De organisatie is dan ook de grote trots van Stekelenburg. “Het is een enorme community en er worden echt hele mooie dingen gedaan. Ik hoop echt dat we dit nog heel lang kunnen doen.”