‘Over privacy zijn veel spookverhalen’

Zijn bedrijf beveiligt staatsgeheimen en hackt grote bedrijven om hun digitale weerbaarheid te testen. Toch is internet in zijn ogen niet alles. “Als internet uitvalt, hebben we geen plan B.”

U bent alumnus van het jaar en komt als eerste op de walk of fame van de TU. Blij?
“Het is een verrassing en ik ben er best trots op. Blijkbaar spring ik eruit. En dat terwijl ik me geen superstudent heb gevoeld. Ik heb acht jaar over mijn studie gedaan. Ik was bezig met andere dingen: de politie afluisteren en softwarepakketjes kraken. Ik woonde expres op de veertiende verdieping van de Ronald Holstlaan, want dan kon ik mijn antennes hoog aan de balustrade hangen. Vanuit daar kon ik half Nederland onderscheppen.”

Ging u wel braaf naar college?
“Nee, helemaal niet. Ik ging heel vaak ’s nachts door met luisteren naar de politiescanner. Ik had weinig contact met andere studenten, ben geen lid geweest van een studenten- of studievereniging. Ik zat in een ander netwerk. Mijn vriendin werkte al en ik hobbyde er een beetje naast. Hoorde ik rare piepjes ergens op de frequentieband, dan wist ik: dit is interessant, hier probeert een observatieteam zichzelf te verstoppen. Dat maakte het heel makkelijk om ze uit te peilen. Hun geheim is toch niet zozeer wat ze zeggen, maar achter wie ze aanrijden.”

U reed als student met uw deux-chevauxtje achter zo’n busje aan om te kijken wie ze volgden?
“Ik had een Honda Civic. En nee, het was geen busje. Het waren soms wel twaalf auto’s en een helikopter. Dat vind ik het fascinerende: er zijn geheimen die dagelijks op straat gebeuren waar mensen geen weet van hebben. Ik vind het boeiend om te kijken of ik die naar boven kan halen. Ik ben wel eens gepakt. Ze vonden het niet leuk wat ik deed, maar het was wel goed voor ze om een beetje scherp te blijven. Als ik het kon zonder kwade dingen in de zin, dan konden criminelen het ook. Dat bleek ook later toen ik bij de voorganger van het NFI (Nederlands Forensisch Instituut, red.) werkte. Criminelen hadden grote lijsten met politiekentekens. Ik verzamelde die informatie als student als Spielerei, maar bij het NFI kwam ik erachter dat er een heel team zat op het voorkomen daarvan.”

Het klinkt alsof u van uw hobby uw werk heeft gemaakt. Had dat gekund zonder die studie aan de TU?
“Je hoeft niet per se gestudeerd te hebben om goed te kunnen hacken. Bij Fox-IT zitten veel van zulke jongens. Ik vind het wel jammer dat bij andere bedrijven in ons vakgebied een academische studie vereist is. Natuurlijk, academici heb je nodig. De klant wil nette rapportages en we moeten een vertaalslag kunnen maken naar de reële wereld. Maar je hebt ook een paar mensen nodig met gouden handjes. Zelf heb ik in Delft vooral geleerd methodisch en analytisch te denken. Je hebt ook een common language met elkaar.”

Zou u ooit zelf professor willen worden?
“Misschien, maar dan niet heel technisch. Wat ik nu erg interessant vind is de publieke bestuurskundige kant van cyber security. Ik ga in de zomer naar Harvard, om een summer school te doen over cyber security and policy making. Hoe moet je als overheid grip krijgen op de digitale wereld? Dat heeft nu mijn persoonlijke interesse. De wijziging van de wet op de inlichtingen- en veiligheidsdiensten is bijvoorbeeld maar een puntoplossinkje. Je moet veel grotere agenda’s hebben. Nu draaien we een beetje aan de knopjes. De wereld verandert en de dingen die we hebben, passen we een beetje aan. Terwijl je misschien wel veel rigoureuzere aanpak nodig hebt. Dat kan nog wel eens een mooi promotieonderzoek zijn. Hoewel, mezelf kennende heb ik daar te weinig discipline voor.”

Kan de universitaire wereld die van het internet bijbenen?
“Ik verbaas me er wel eens over hoe vaak de overheid kijkt naar de universiteiten als ze met een security-probleem zitten. Maar het is een empirisch vakgebied. Het is moeilijk een lab in te richten en een situatie na te bootsen waarin Noord-Korea Sony hackt. Uit de academische wereld komen op punten heel goede ontwikkelingen. De TU Delft is bijvoorbeeld goed bezig met quantum cryptografie. Dat is een bouwsteen waar we veel aan gaan hebben. Maar ik heb ook huilende studenten gehad, jongens die hier parttime werkten en wilden afstuderen op een ontzettend gaaf en academisch waardig vakgebied. Maar dan zegt de hoogleraar ‘nee’ en komt hij aan met iets heel theoretisch. Het is hier geen Leiden. Je hebt Fox-IT aan de andere kant van de snelweg, maak er gebruik van.”

U hebt het steeds over jongens. Zijn het nooit meisjes?
“Heel soms, maar zij zijn dan vaak erg zoekende wat ze willen. Ze hechten misschien toch meer aan een sociaal leven.”

Heb je dat niet als je voor Fox-IT werkt?
“Jawel, maar veel jongens kiezen ervoor om bij grote projecten nachtenlang door te gaan. Zij zitten on site, kruipen in een hotel. Ze willen niet stoppen. Dat is hackers eigen. Je zit middenin een probleem. Als je in bed ligt, denk je er nog aan. Dan kun je beter achter het toetsenbord gaan zitten.”

Met welk idee startte u in 1999 Fox-IT?
“Ik squashte veel met Menno, mijn compagnon en goede vriend. Hij zei: zullen we mar een bedrijf beginnen? Een doortimmerd plan hadden we niet. We wilden ons vooral richten op forensisch onderzoek. We hebben de politie geleerd hoe je digitaal kunt rechercheren en journalisten les gegeven. Trainingen geven is ideaal voor een startend bedrijf; je hebt weinig kosten en meteen cash flow. Daarna kwam de politie bij ons met de vraag of we hun data konden helpen beveiligen. Zo is het opbouwen van security expertise begonnen.”

Ziet u bij YesDelft wel eens start-ups die interessant zijn voor u?
“Ik heb een zakcentje binnengekregen na de overname van Fox-IT (in 2015 door de Britse NCCGroup, red.) en zit te kijken met welke start-ups ik me zou kunnen bemoeien. Ik moet zeggen: het is verdomd moeilijk te zeggen welke kans maakt op succes. Voor Fox-IT kan ik de succesfactoren ook moeilijk aanwijzen. We zijn meegegaan op wat de markt vroeg. De internet bubble is in onze starttijd gebarsten. Security werd daardoor belangrijk.”

In de media schetst u vaak doemscenario’s, van hackers die de sluizen openzetten bijvoorbeeld. Sorteren uw waarschuwingen al effect?
“Volgens mij zijn het realistische scenario’s. Wij doen penetratietesten bij sluizen en die lukken altijd. Ik zie heel langzaam iets veranderen, al weet ik niet of dat door mijn waarschuwingen komt. Misschien is het reëel dat men pas in actie komt als het mis gaat. Je moet ook niet overbeveiligen.

Het grote punt is hoe afhankelijk we ons maken van internet. Dat is geen heel hard securityprobleem in de zin dat de Iraanse overheid ons een keer uitschakelt. Maar als een keer goed de stroom uitvalt, valt het internet uit en dan zullen we ontdekken, ‘shit, we zijn nu wel heel digitaal en we hebben geen plan B’.”

Wat zou een plan B kunnen zijn?
“Dat we nog contante geldstromen hebben. Als het internet uitvalt, kun je niet meer elektronisch bankieren, kun je je boodschappen niet meer betalen. Of camerasystemen op de snelweg werken niet meer, waardoor Nederland vastloopt. Wij beveiligen de communicatie van ambassades. Ik zie dat de Duitsers nog altijd grote radioantennes op de daken hebben staan. Dus hebben ze in tijden van crisis een back-up. Wij hebben dat allemaal wegbezuinigd, ook bij Defensie. Ons leven is echt stuk als internet niet meer werkt. Daar moeten we over nadenken. Of met open ogen accepteren dat dat het risico is.”

Een ander risico van een digitale samenleving is dat online surveillance onze privacy ondermijnt.
“Nu schenden allerlei foute lieden onze privacy. Dan heb ik liever dat de overheid wat meer ruimte krijgt om online een vuist te maken. Natuurlijk moeten daar goede waarborgen omheen zitten, zodat de overheid inderdaad onze privacy niet schendt. Daar zijn veel spookverhalen over. De politie heeft heus geen zin om bij Jan en alleman een tap te zetten.”

Hoe weet je als burger wat de overheid uitspookt?
“Burgers moeten weten wat overheden digitaal kunnen, welke privacy-ingrijpende middelen er zijn en op welke momenten die worden ingezet. De overheid moet transparant zijn. Dat geldt ook voor de inlichtingendiensten. Het is toch van de zotte dat ik elke keer moet opdraven om uit te leggen waarom het voor de AIVD belangrijk is dat ze meer bevoegdheden krijgt? Waarom doen ze dat zelf niet?”

Waar ligt de grens van die bevoegdheden?
“Ik vind dat er een balans moet zijn tussen de vrijheid van burgers en wat de overheid aan techniek kan inzetten. Met techniek kun je zo ontzettend krachtig zijn dat je als burger geen kans meer hebt om een keer een foutje te maken. Het moet niet zo zijn dat je bij iedere wetsovertreding automatisch gepakt wordt. Dan leef je in een politiestaat. Er moet altijd speelruimte zijn en ruimte voor eigen verantwoordelijkheid.”

Bent u wel eens onder de indruk van criminele hackers?
“We hebben wel eens buitenlandse inlichtingendiensten ontdekt, ook Westerse. Dat is smullen. Het is zo gaaf om in zo’n onderzoek te zitten, zeker als hackers ons door hebben en hun sporen beginnen te wissen. En dat alles terwijl systemen door moeten draaien en er allerlei belangen door elkaar gaan lopen. Dat is prachtig crisismanagement.”

Wat vindt u van hackers met goede bedoelingen?
“Ik heb er moeite mee hoe Nederland met hen omgaat. In het responsible disclosure-beleid staat dat hackers wat ruimte moeten krijgen. Waarom dwingt de overheid niet af dat deze hackers zich verenigen in bedrijfjes en dat ze betaald krijgen voor hun werk? Ga niet zitten hopen dat ze middenin de nacht een keer zin hebben om een ziekenhuis te hacken. Dat heeft allerlei nadelige gevolgen”.