Computerwetenschapper Melanie Rieback: “Cybersecurity in je bedrijf is een continu doorlopend proces”

Het internet is niet meer weg te denken uit onze samenleving, maar deze afhankelijkheid brengt ook risico’s met zich mee. Scammers, phishers, hackers en andere online vandalen zijn uit op gevoelige informatie, waardoor er een eindeloze wapenwedloop plaatsvindt tussen security-bedrijven en verschillende onverlaten. Een probleem is dat zelfs de ‘good guys’ er soms dubieuze praktijken op nahouden.

Het was computerwetenschapper Melanie Rieback een doorn in het oog. In 2014 begon ze Radically Open Security (ROS); een non-profit online security-bedrijf, vanuit de overtuiging dat cybersecurity tegenwoordig van enorm maatschappelijk belang is.

Eerlijk werk

Radically Open Security (ROS) werkt eigenlijk voor het publieke belang. “90% van onze winst gaat naar goede doelen, en we hebben ons werk losgekoppeld van invloeden van buiten, zoals aandeelhouders en dergelijke.”

ROS is een fiscaal fondswervende instelling en is daardoor zelfs verplicht om 90% van de omzet uit te keren aan een ‘algemeen nut beogende instelling’. Een belangrijk principe van Radically Open Security is verder dat ze geen verdachte opdrachten aannemen zoals het bouwen van surveillanceprogramma’s of samenwerken met geheime diensten. Dubieuze klussen verwijzen ze resoluut naar de prullenmand.

“We zagen een gat in de markt, omdat deze bewuste manier van ondernemen vrij uniek is, en als reactie op de wat dubieuze praktijken die cybersecurity-bedrijven er soms op nahouden. Wij willen onze klanten meegeven dat cybersecurity vooral een mindset is; een doorlopend proces, waar je niet alleen mee bezig bent als het fout gaat.

In plaats van telkens terug te komen als er een probleem is, proberen we cybersecurity integraal op de kaart te zetten. In plaats van dat we telkens een vis brengen, is het de bedoeling dat we onze cliënten zélf leren vissen. Onze business case is dus erg aantrekkelijk; klanten zien hier gelukkig de meerwaarde van in.”

Radicaal openbaar

“Dat past binnen onze filosofie van ‘responsible disclosure’. Vorige week hebben we nog een beveiligingslek gemeld aan een grote partij, die er gelukkig snel op reageerde. Helaas zijn er ook bedrijven die handelen in dit soort ‘zero days’ (onbekende beveiligingsproblemen, red.), of ze pas na betaling bekendmaken. Zo willen wij absoluut niet te werk gaan en omdat we een non-profitbedrijf zijn, hebben we hier ook geen enkele aanleiding toe.”

Riebacks bedrijf deelt zoveel mogelijk informatie over beveiligingsrisico’s en zet alle ontwikkelde tools online. Veel techbedrijven blijven op hun informatie en hun tools zitten, maar volgens Rieback is dat voor klanten eigenlijk nadelig.

Vaak is totaal onbekend wat er met onze data gebeurt. Technologie wordt gebruikt door veiligheidsdiensten, internetnetwerken kunnen je locatie makkelijk volgen en Smart Home-applicaties luisteren mee naar wat er zich in je huis afspeelt.

“Veel technologie en software is een soort ‘zwarte doos’, waarvan gebruikers niet precies weten hoe het werkt. Wij willen zo open mogelijk werken, delen zoveel mogelijk informatie zodat iedereen ons kan controleren. We gebruiken om die reden ook Open Source-software.”

Ouderwets netwerken

Radically Open Security werkt met een internationaal team. De instelling is gevestigd in Amsterdam, maar heeft geen kantoor: in de praktijk wordt er alleen online samengewerkt. Om de samenwerking gesmeerd te laten verlopen, gebruikt ROS verschillende communicatietechnologieën, op Open Source-basis. “We maken gebruik van RocketChat, een chatprogramma, voor veel van onze interne en externe communicatie. Verder kunnen we niet zonder e-mail, de ouderwetse telefoon en de versleutelde communicatie-app Signal.”

Dat zijn overigens niet de kanalen waarmee de meeste nieuwe klanten worden overtuigd. “Ik houd regelmatig presentaties op tech-bijeenkomsten en ik merk dat onze boodschap daar weerklank vindt. Tevreden klanten raden ons ook aan voor nieuwe opdrachten, dus via-via komen mensen bij ons terecht.”

Zelf maakt Rieback niet veel gebruik van social media. “Ik gebruik LinkedIn regelmatig om te communiceren en presentaties te delen met mijn netwerk. Social media gebruik ik voornamelijk professioneel; ik zit niet op Twitter of iets dergelijks. Dat kan zó tijdrovend zijn, en zo veel tijd heb ik niet!”

Rieback heeft niet per se iets tegen sociale media, maar hoopt wel dat gebruikers nadenken over wat ze precies online delen. “Vooral jongeren delen bijzonder veel online, zonder dat ze beseffen dat posts ze later nog kunnen achtervolgen.”