Onze afhankelijkheid van informatie is de gouden eeuw voor de beveiligingsindustrie. Door stevig op het intellectueel eigendom te gaan zitten, is het mogelijk hetzelfde trucje keer op keer te herhalen. Door juist transparant te zijn en alle tools beschikbaar te maken, wil Radically Open Security de industrie veranderen en beveiliging naar een hoger niveau tillen.
“We hebben twee soorten geheimen in onze organisatie: de klantgegevens en de persoonsgegevens van onze freelancers en medewerkers. We kennen geen intellectueel eigendom”, zegt dr. Melanie Rieback (36), CEO van Radically Open Security. Vol trots toont ze software om rapportages te maken. “Als ik een tool maak, stel ik die beschikbaar. Wanneer iemand anders dat gebruikt, heb ik daar geen last van. Het levert goodwill op en nodigt mensen uit om te helpen de tools te verbeteren. Uiteindelijk kom je zo op een veel hoger niveau.”
Hackersmentaliteit
Rieback, actief in de hackersgemeenschap, is doordrongen van de hackerethiek en wil die uitdragen. Er is niets intelligents aan hetzelfde werk iedere keer op dezelfde manier blijven doen, vindt zij. “Goed hackergedrag betekent dat saaie of ingewikkelde taken zoveel mogelijk worden geautomatiseerd, om daarmee het leven eenvoudiger te maken en de aandacht vervolgens te richten op het simpeler maken van weer andere taken. Het resultaat komt voor iedereen beschikbaar om daarmee de wereld naar een hoger plan te trekken. ”
Precies dat is ook de filosofie van haar bedrijf. Dus zijn de modellen voor algemene voorwaarden, contracten voor freelancers en vrijwilligers, penetratietestenrapportages, standaardovereenkomsten en offertes juridisch goed uitgezocht en nu voor iedereen onder een open licentie beschikbaar gesteld. Wie zelf aan de slag wil in de beveiligingsindustrie, kan de documenten meteen gebruiken.
Ook administratieve systemen die worden verbeterd, komen beschikbaar. Daarmee is er weinig geheimzinnigs aan de bedrijfsvoering. “Veel bedrijven functioneren als een blackbox en dat wil ik niet.”
Penetratietesten
Bij het uitvoeren van penetratietesten om zwakheden in systemen te vinden, wordt ook gestreefd naar standaardisatie. De betrokken experts, uit voornamelijk Nederland en Duitsland, chatten met elkaar in vertrouwelijke kanalen om zo resultaten met elkaar te delen. Daarbij zitten ook de klanten in het chatkanaal, zodat ze continue de vinger aan de pols kunnen houden en kunnen meepraten.
Het gesprek is een belangrijk onderdeel van het logboek om de administratie bij te houden. “Momenteel werken we aan een systeem om standaardtests geautomatiseerd vanuit de chat te starten”, vertelt Rieback. “De resultaten komen ook via een tool binnen en kunnen automatisch doorvloeien naar de rapportage.”
Ook die rapportage is weer gestandaardiseerd met behulp van een XML-systeem. Hierdoor komt een groot deel van de rapportage geautomatiseerd tot stand. Dit maakt het voor de klant controleerbaar, en er wordt zoveel mogelijk gefocust op de toegevoegde waarde van de experts. De hulpmiddelen komen ook weer als open-sourcesoftware beschikbaar, zodat ook andere bedrijven of de klanten de tests later zelf kunnen herhalen. “De volgende stappen? Geautomatiseerd scans uitvoeren en cryptografie analyseren, om zo zwakheden te vinden”, zegt ze trots.
Het idee voor deze aanpak kreeg Rieback toen ze bij een bedrijf werkte dat last had van een beveiligingsincident. “Ik wilde over de schouders van de leverancier meekijken. Dat meekijken werd actief gefrustreerd, maar uiteindelijk lukte het me toch gedeeltelijk. Op dat moment zag ik dat de leverancier met de open-sourcetools werkte die we zelf ook gebruikten”, legt ze uit. “Het beveiligingsbedrijf probeerde een afhankelijkheid te creëren en zo een herhalingsbusiness op te bouwen. Dat wil ik doorbreken.”
Hackerethiek
Toen ze merkte dat ook bij de Raad van Bestuur onvrede bestond over de gang van zaken, realiseerde ze zich dat ze niet zo wilde doorgaan. “Daar kwam nog iets bij: in de hackersgemeenschap ontstond veel discussie over de ethiek van sommige bedrijven. Vooral oplossingen voor afluisteren zijn erg omstreden. Bij zulke bedrijven werken ook hackers die eigenlijk niet blij zijn. Dus je ziet dat zowel klanten als hackers eigenlijk niet blij zijn. Iedereen zoekt naar een alternatief: een open-one-stop-shop voor beveiliging. Kortom: een gat in de markt.”
Ethiek is belangrijk binnen het bedrijf. Over het bedienen van sommige klanten wordt fel gediscussieerd. Recentelijk speelde zo’n discussie over een opdracht bij een overheidsklant. Maar het project had ook grote kansen iets nieuws te ontwikkelen, dat vervolgens weer voor iedereen beschikbaar kon komen. Na lang beraad werd er bewust voor gekozen slechts een deel van de opdracht aan te nemen. Met als voordeel dat iedereen achter het besluit staat en dan ook enthousiast meewerkt.
Winst herinvesteren
Waar de economie altijd stelt dat de beloning voor de ondernemer de winst is, tart Rieback ook deze regel. Haar bedrijf stopt 90 procent van de winst in Stichting NLnet om daarmee open-sourceprojecten te ondersteunen, die beveiliging en digitale vrijheden centraal hebben staan. Zelf keert ze zichzelf het wettelijk minimum uit. “Ik verdien ongeveer de helft van wat ik verdiende in mijn oude baan en dat is voor mij voldoende.” Inmiddels is ze met freelancers in anderhalf jaar tijd gegroeid van zeven naar veertig medewerkers.
Volgens Rieback is de NetAidKit een belangrijk bewijs dat haar strategie werkt. Dat is een open source wifihotspot dat in opdracht van Free Press Unlimited is gemaakt. Omdat dit een project met een goed doel is, werkt het bedrijf tegen de daadwerkelijke kostprijs aan het project.
De software regelt niet alleen de beveiliging, maar maakt het ook mogelijk om journalisten in gebieden waar persvrijheid onder druk staat, toch hun werk te laten doen. De software is gratis en werkt op veel verschillende soorten hardware. Free Press Unlimited gaat nu ook een router tegen kostprijs aanbieden. Het project, dat inmiddels een innovatieaward van ISOC heeft gekregen, toont volgens de onderneemster de ware hackermentaliteit.
DDoS-aanvallen
Momenteel probeert Rieback in samenwerking met een consortium van vier universiteiten, twee internetproviders en een hardwareleverancier een oplossing te maken om DDoS-aanvallen slimmer en sneller te detecteren en te stoppen of af te remmen. Juist door wetenschap in te zetten, kan beter worden gezocht naar oplossingen voor deze problematiek. Om een oplossing te realiseren, is bij de Europese Unie een subsidie aangevraagd. Uiteindelijk moet de oplossing weer als open source beschikbaar komen, zodat iedereen dit soort aanvallen te lijf kan gaan.
Het inzetten van radicale transparantie moet volgens Rieback voorkomen dat geld verloren gaat door teveel te betalen voor kennis die al beschikbaar is. De energie kan dan worden gestoken in het naar een hoger niveau tillen van beveiliging. In een wereld waar criminelen samenspannen om aanvallen uit te voeren, zorgt dat er uiteindelijk voor dat ook de verdedigende krachten in de industrie samenwerken. “Dat trekt beveiliging naar een hoger niveau en daarvan worden we allemaal beter.”
