Elf jaar geleden opende Centric een kantoor in Roemenië en inmiddels werken daar zo’n 300 collega’s. Ik was er in augustus, om ons red team te bezoeken. Ik ontmoette er gedreven professionals, die de hackers-adventskalender een stuk sneller af hebben dan ik!
Ons kantoor staat in Iași, de op twee na grootste stad van Roemenië. Iași ligt in het noorden, tegen de grens met Moldavië aan, en is een interessante combinatie van gebouwen in sovjetstijl en orthodoxe kerken. Het is de historische, culturele en technologische hoofdstad van Roemenië, veel techbedrijven hebben er een kantoor., veel techbedrijven hebben er een kantoor. Ons red team bestaat uit acht ethische hackers, die al onze software testen, en waarvan het merendeel vanuit Roemenië opereert. Ze hebben een eigen, afgesloten ruimte binnen het kantoor. Met een fenomenaal uitzicht op het Paleis van Cultuur.
Als je bij hackers denkt aan mensen met capuchons op die in een zolderkamer zitten te werken, dan word je door ons red team zeker verrast. Er is weliswaar niemand die (midden in de zomer) een overhemd draagt en ze werken met nogal krachtige computers, maar ze zien eruit als elke andere collega. Wat wel echt anders is: ze vinden het geweldig om digitale dingen kapot te maken en ze houden enorm van raadsels en puzzels. Ik vond het leuk om te merken dat er een behoorlijke onderlinge competitie is over wie de meeste kwetsbaarheden weet te vinden.
Om hun kennis op peil te houden doen ze mee aan wedstrijden en spelen ze onderling games zoals Capture the Flag en King of the Hill. En ze gebruiken allemaal het trainingsplatform TryHackMe. Eén van de uitdagingen op dat platform is een adventskalender, waarin je in aanloop naar de feestdagen elke dag een kleine hackopdracht moet doen. Ik heb dat zelf het afgelopen jaar ook gedaan. Erg leuk, maar voor iemand met weinig hackers-vaardigheden is het behoorlijk pittig. Ik was er pas in april mee klaar!
Het red team test onze software en infrastructuur, van Public Sector Solutions en van onze andere afdelingen. Eerst wordt de software automatisch gescand op kwetsbaarheden. Daarna proberen de hackers of ze de gevonden kwetsbaarheden kunnen uitbuiten. Waarna de resultaten worden besproken met de applicatie-eigenaar. Dan wordt duidelijk welke bevindingen moeten worden opgelost en welke er op andere manieren worden afgevangen. Het red team geeft feedback gedurende de aanpassing van de software en daarna volgt, indien nodig, opnieuw een test. Bij elke nieuwe test kijkt het red team bovendien naar de voorgaande tests, om te controleren of wat er toen speelde, is opgelost.
Ik ging naar Roemenië om ons team daar beter te leren kennen. Daarvoor hadden we elkaar alleen online gesproken. Ik wilde weten hoe ze werken en waar ze tegenaan lopen. Ik merk dat onze collega’s in Nederland soms niet weten wat ze daar precies doen en dat kan ik nu beter vertellen. Ook richting onze klanten. Daarnaast wil ik dat het red team mij beter weet te vinden. Voor Public Sector Solutions ben ik het aanspreekpunt als het gaat om cyberveiligheid. Daarom wil ik goed op de hoogte zijn van wat er op dat vlak allemaal gebeurt in onze organisatie, ook bij onze Roemeense collega’s. Dat gaat nu eenmaal makkelijker als je de mensen kent.
Cyberveiligheid wordt steeds belangrijker. De dreigingen nemen toe en de regelgeving wordt strenger. NIS2 gaat op dit vlak veel veranderen, zie het blog dat ik hier eerder over schreef. Binnen Centric hebben we sinds vorig jaar een centraal securityteam, dat over alle afdelingen heen opereert. Ook het red team heeft zich verder ontwikkeld. Ze zijn onder meer verhuisd van een achterafkamertje naar de ruimte met dat mooie uitzicht. In dat Paleis van Cultuur zitten vier musea. Een van die vier heb ik mogen zien; een volgende keer dat ik in Roemenië ben, wil ik de andere ook bezoeken!
Nils Hoole, Privacy & Security Officer bij Centric Public Sector Solutions.