Melanie Rieback (35) test met Radically Open Security hoe veilig IT is voor aanvallen van buiten. Haar bona fide hackers doen dat op een radicaal andere manier dan de gevestigde orde: ‘Bij alles wat wij doen, mag de klant over onze schouder meekijken. Uiteindelijk wil ik de security-industrie dwingen tot eenzelfde openheid.’
‘Het idee voor Radically Open Security is geboren in mijn tijd bij ING. Daar was ik tot begin 2014 verantwoordelijk voor de response op cyberaanvallen. Daarvoor schakelden we ook security-experts van buiten in, maar ik werd kwaad over de manier waarop die te werk gaan. Ze komen binnen met een air van: ‘wij nemen de boel wel even over, we gaan niet uitleggen wat we doen want dat is toch veel te ingewikkeld om te snappen.’
Nou, dat valt wel mee. Ik programmeer zelf al vanaf mijn 7de, studeerde informatica in Miami, Delft en Amsterdam. Ik ben aan de VU gepromoveerd op de veiligheid van RFID, de draadloze chips die onder meer in de OV Chipkaart zitten. Ik ben er ook jarenlang Universitair Docent geweest, tot ik het eindeloos schrijven van subsidievoorstellen om onderzoeksgeld binnen te halen zat was en besloot over te stappen naar het bedrijfsleven.
Bij ING kwam ik terecht na een jaar bij Citrix in Canada gewerkt te hebben – ik miste Nederland gewoon te erg. Als securitymanager bij ING leek het me wel zo verstandig om mee te kijken hoe die security consultants de aanvallen aanpakten. Ik zei: ‘ik wil zo veel mogelijk van jullie leren’. Nou, dat vonden ze niet leuk. Ze ‘vergaten’ me toegang te geven tot hun logbestanden, ze probeerden hun werkwijze te verbergen. Terwijl ik ervan overtuigd ben: alleen als je een klant laat zien wat je doet en ook hoe je het doet, kun je hem leren hoe hij zelf zijn systemen veiliger kan maken.
Ik vroeg collega’s bij andere bedrijven wat ze vonden van die geheimzinnigheid. Hun antwoord was meestal: ‘ik vind het ook niks, maar wat moeten we anders?’ Dat bracht me op het idee voor Radically Open Security. Ik legde het plan voor aan een vriend, die meteen enthousiast was. Binnen twee weken besloot ik mijn baan bij ING op te zeggen en startten we Radically Open Security.
De naam voor het bedrijf en onze 5 kernwaarden had ik al op dag twee bedacht: ik ben echt begonnen vanuit het why. Heel belangrijk voor ons is het teach to fish-principe: geef iemand een vis, en hij heeft een dag te eten. Leer hem vissen, en hij heeft de rest van zijn leven te eten.
Vervolgens stelde ik mezelf de vraag: wie zijn de beste hackers die ik ken? Ik ging ze stuk voor stuk langs, en ze wilden bijna allemaal meedoen. Binnen anderhalve maand na mijn vertrek bij ING hadden we onze eerste klant voor onze pen-testen, dat zijn de penetratietesten waarmee we – met toestemming natuurlijk – proberen in te breken in de systemen van onze klant. Dat is voor 10 procent een kwestie van software, maar 90 procent is menselijke creativiteit.
Vanaf de start ging de groei eigenlijk vanzelf – aan sales doen we niet, mond tot mondreclame doet zijn werk wel en ik spreek regelmatig op congressen.
We hebben snel een reputatie opgebouwd. Wat we doen valt ook nogal op in de IT-wereld, want we zijn echt radicaal anders. We zijn om te beginnen het enige not for profit securitybedrijf ter wereld. We zijn een fiscale fondsenwervende instelling: we schenken onze winst onbelast aan een maatschappelijk doel. In Nederland werkt bijvoorbeeld Regina Coeli zo, beter bekend als de Nonnen van Vught. In ons geval gaat 90 procent van de winst naar stichting NLnet, dat maatschappelijk relevante open source- en onderzoeksprojecten rond internet steunt. De overige 10 procent verdelen we over alle medewerkers, naar rato van de uren die ze hebben gedraaid.
De medewerkers van ROS zijn allemaal freelance: van de administratie tot de hackers, van de mensen die de rapportage schrijven tot de businessmensen: iedereen is zzp’er. Mensen die eraan hechten zelf te bepalen waar en wanneer ze willen werken. Ik ben net zelf twee weken in Zuid-Afrika op reis geweest en werk het liefst vanuit huis. We zijn wat je noemt een distributed online organisatie: onze experts werken vanuit de hele wereld en houden contact met elkaar via ons eigen online samenwerkplatform.
Maar onze open aanpak is natuurlijk wat ons echt onderscheidt: bij elke stap die we zetten, elke regel code die we checken of bouwen voor de klant, mag die meekijken. Hij krijgt toegang tot ons chatplatform en het platform waarop we software ontwikkelen, zodat hij alles kan volgen. De software die we gebruiken, is open source en kan hij zelf ook gebruiken. Wij doen niet geheimzinnig, we zetten nergens een black box neer die dingen met je data doet waar je geen zicht op hebt. In principe zou de klant zoveel van ons kunnen leren, dat hij zonder ons kan. Maar de ervaring is dat ze allemaal regelmatig terugkomen.
Toch blijft het een principieel verschil tussen ons en de gevestigde orde: ons doel is onze klanten en de maatschappij tot nut te zijn, bij de meeste concurrenten is de klant het middel, maar geld het doel. Wij zijn idealisten, en werken bijvoorbeeld tegen kostprijs mee aan projecten als de NetAidKit, een veilige wifirouter die wordt ontwikkeld door Free Press Unlimited. (zie kader)
We zijn nu met 40 man en hebben meer dan 20 klanten, uit de energiesector, het onderwijs, de verzekeringswereld, de overheid en de non-profitsector: dwars door alle branches heen. We hebben op dit moment een stuk of 15 offertes in de pijplijn en winnen ongeveer de helft van alle aanbestedingen. Onlangs heb ik getekend met een klant in de VS, die alleen al goed is voor een omzet vergelijkbaar met wat we in 2015 in totaal hebben gedaan.
Winst maken we nog niet, deels doordat we veel tijd investeren in onze interne infrastructuur en processen. En onze snelle groei kost ook geld. Ondanks dat we niemand op de loonlijst hebben: je moest eens weten hoeveel tijd het kost om alle offertes en testrapportages op te stellen!
Maar we zijn superschaalbaar doordat we met freelancers werken. Hackers kennen ons goed en we zijn een aantrekkelijke partij om voor te werken. Opdrachtgevers genoeg, maar de community is het een beetje zat te werken voor securitybedrijven die zich ook laten betalen door overheden die de burger bespioneren. Als ik een extra kracht nodig heb, is dat hét moment om ons netwerk weer eens uit te breiden.
Op korte termijn wil ik ROS tot een stabiel en productief bedrijf maken. Op middellange termijn wil ik de securitymarkt disrupten met onze aanpak. Ik hoop dat ons succes ertoe leidt dat de rest van de branche de lat gewoon hoger legt, ik wil ze dwingen zélf opener te worden.
Maar mijn grootste droom is dat Radically Open Security als not for profitbedrijf een schoolvoorbeeld wordt voor andere ondernemers die, in welke branche dan ook, maatschappelijk nuttige doelen willen koppelen aan hun bedrijf. Ergens in de geschiedenis is het verkeerd gegaan en begon alles om het geld te draaien. Maar in mijn ogen was een onderneming ooit bedoeld als een samenwerkingsverband om de maatschappij te dienen.’
NetAidKit
Vraag het maar aan Snowden: zodra je internet gebruikt, ben je niet zomaar veilig voor meeloerende overheden. Rieback en de haren zijn nogal voor individuele vrijheid en werken daarom met ROS mee aan de ontwikkeling van de NetaidKit. De wifirouter die ook digibeten in staat stelt onbespioneerd gebruik te maken van internet is een initiatief van Free Press Unlimited, dat zich ermee richt op journalisten en bloggers die onder moeilijke omstandigheden hun werk moeten doen. De open source software is af, de handzame router zou elk moment leverbaar moeten worden.
De 5 principes van ROS
Geen schimmig gedoe
We bouwen geen bewakingssystemen, gaan niet achter activisten aan, verkopen geen lekken aan veiligheidsdiensten. Als een klus ethisch gezien ook maar enigszins twijfelachtig is, doen we hem niet.
Leer vissen
We delen niet alleen onze resultaten met onze klant, maar beschrijven ook stap voor stap hoe je zonder ons dezelfde audit of procedure kunt doorlopen. Wat we doen is geen rocket science, en we willen echt helpen je bedrijf veiliger te maken… zelfs als dat ons toekomstige omzet kost.
Open source
Alle software die we bouwen zetten we als open source op onze website.
Gratis IOC’s
We zetten alle tekens die wijzen op een veiligheidsinbreuk, de zogeheten Indicators of Compromise, in een gratis te gebruiken database.
Zero days
We verkopen geen zero-days, de lekken in software die onmiddellijk moeten worden gedicht. We nemen onze verantwoordelijkheid en maken ze openbaar!
Facts & fugures
Wereldwijd wordt 75 miljard dollar uitgegeven aan IT-beveiliging, aldus marktonderzoeker Gartner, 4,7 procent meer dan het jaar ervoor.
Verzekeraar Lloyds schatte de directe en indirecte schade van cybercrime (in 2015 wereldwijd op 400 miljoen dollar.
Bij een van de grootste cyberaanvallen van 2015 kwamen de persoonlijke gegevens van 37 miljoen gebruikers van Ashley Madison, een datingsite voor vreemdgangers, op straat te liggen.
De 85 miljoen schade die Sony Pictures leed nadat hackersgroep Guardians of Peace eind 2014 vijf films, het script van de nieuwste Bond-film en massa’s e-mails buit maakte en verspreidde, was verzekerd. Het gezichtsverlies, mede door mails met foute grappen over Barack Obama en gescheld op Angelina Jolie, was onherstelbaar en kostte Sony-baas Amy Pascal de kop.
