Cyberhelden 69 - Luisteraarsvraag: Carrièrepaden in cybersecurity

Welkom bij alweer een nieuwe aflevering van Cyber Helden, de podcast waarin ik in gesprek ga met mensen die zich bezighouden met de digitale dweiging. En vandaag zit ik weer aan tafel met Marco Kuipers en Jelle van Haaster.

Goedemorgen. Vandaag doen we iets anders dan normaal. We hebben een vraag van een luisteraar die bezig is met een cybersecurityopleiding en die zich afvraagt... een beetje raar moment misschien om je dat nu af te vragen, maar die vraagt zich af op welke kanten kan ik eigenlijk op? Meestal doe je dat voor je een opleiding gaat beginnen. En eerlijk gezegd, wij vinden dat ook wel een hele leuke brede vraag en we willen het daar graag over hebben. Dus we gaan jullie vandaag meenemen door de hele wereld van de cybersecuritycarrières. We gaan daarbij ook al veel vergeten, dus sorry alvast.

Maar voordat we daarmee beginnen, eerst hoe gaat het allemaal met ons? Het gaat met mij hartstikke goed. En ik ben tot de conclusie gekomen, mijn katten zijn hackers. Hè? Ja, ik zal een beetje context geven. We hebben al die voerbakjes, die gaan open op de RFID-chip die in hun nek zit. En die zijn... Heb je die geïnclant met een naald? Nou ja, dat heeft ze dier uitgedaan. Tegenwoordig is de chip volgens mij een beetje verplicht. Maar ja precies. En in principe, elke kat heeft zijn eigen bakkie. Alleen die katten hebben ontdekt dat als dan één kat hem open doet, daarna wordt niet meer

de authenticatieflow gecheckt. Dan is het alleen maar er is een chip aanwezig. Dus dan wisselen ze snel van positie. Shit. En dan pleist die bak gewoon en kan die andere kat eruit heten. Het is echt hilarisch om te observeren. Maar het is wel een beetje insider threat, want ze helpen elkaar wel hiermee zeg maar. Ze doen ook wisselen zeg maar. Zijn beschikking begint bij jezelf. Maar krijgt de ene kat ander voer dan de andere kat? Nee, nee. Maar eentje is gewoon wat... Die heeft gewoon meer honger. Die heeft gewoon meer honger. Ik heb eindelijk mijn eigen paard hier op stal staan.

Dat is zo fantastisch. Lekker met een westernzadel heb ik erop. Beestje is ook helemaal western gereden. En daar kan iedereen op zitten. En je hoeft alleen maar te kijken waar je heen wilt gaan met een beest snappen. Ik ben nu op zoek naar een paar mooie leerde zadeltassen. En dan ga ik dat vullen met wijn, stokbrood en lekker ding. En dan gaan we picknicken. En wat leuker is, dat snappen ze allemaal niet. Het is best wel Engels hier allemaal. Maar ik ga gewoon in mijn korte broek en in mijn veldskoenen. Dat is... Afrika is goed. Dat kan je ruiken. En verder.

Ja, de kinderen zijn vrij. Dus ik heb niet heel veel met cloud gespeeld. Oh ja, maar ik heb wel, dat kon ik niet laten, gamma 4 voor. Nog eventjes geïnstalleerd. Om mijn telefoon nog vast. Het offline model van Google. Dat 80 procent kan van wat cloud gaan. Ik vind het heel mooi, maar ik merk wel, ik vind het ook heel fijn dat mijn model wel verbinding met de buitenwere kan maken. Dus dat ik een vraag kan stellen van... Nou, ook in voorbereiding met deze podcast, dat horen jullie straks wel. Dat zijn allemaal door modellige, gegenereerde teksten die wij straks gaan voordragen.

Maar dus dan is het wel fijn dat ze een beetje op het web ook kan zoeken en dan een tekst maakt. Maar goed, dat moet ik denk ik even opentrekken nog. En dan is het echt wel heel leuk om te zien wat je dan allemaal lokaal kan doen. En dat is nu eindelijk al die bedrijven die ik spreek, die doodeeng vinden om AI te gebruiken. Ja, nu kan het gewoon echt lokaal. Zet zo'n Mac Mini neer, zet zo'n modelletje erop en zeg tegen je IT-boer van, fix this voor mij. En dan moet het kunnen. Ook voor de notaris en zo, die ik laatst aan de Lein had. Die opeens vroeg, kan ik wel AI gebruiken?

Het is zo link. Ja, het kan echt. Zeker. En het is ook een hele vette UI. Ja, sorry, AI nerd ons hobby volgens iedereen. Maar dat je ook nu die open web UI hebt, die je overal overheen kunt plakken. Dus krijg je een beetje zo'n GPT-UI. Maar dan kun je gewoon je eigen modellen onder en in hangen en zo. Dus dat is wel echt heel, heel dik aan het worden. Ja, wat is dit? Je nieuwe look? Dit is mijn nieuwe look. Nee, ik ben aan het klussen. Dus we hebben de box uit huis gedaan. Dus dan heb je die vierkante meter weer over in je woonkamer. Toen dacht je, ja, oké, dan moeten we ook wel weer een keer de woonkamer updaten.

Dus dat aan het doen in ons paasweekend. De woonkamer updaten. Hoe een nerd beschrijft het. Patch management op je woonkamer. Zeker. De GUI moet opnieuw. Ja, oké. Nou, we hebben even een paar nieuwtjes. Maar dat gaan we wat rapper doorheen dan normaal. Marco, schiet op. Ja, stel je voor dat je een vrijwilliger bent. En je onderhoudt in je vrije tijd een stukje software waar je trots op bent. Millionair developers wereldwijd gebruik hebt.

En dan krijg je een uitnodiging van een Teams call. Van een bedrijf dat je interesseert lijkt in samenwerking. Dat bedrijf heeft professionele LinkedIn pagina's. Slack workspace met collega's. En alles lijkt te kloppen. En tijdens de call geeft je scherm een foutmelding. Er is een update nodig. Ja, je installeert hem. En dat was het moment waarop de Noord-Koreaanse inlichtingdiensten de controle over namen over actieos uit de woonkamer hebben. Dat is voor wie het niet gemist heeft. Maar in de afgelopen weken is actieos, daar is een supply chain-aanval op geweest. Dat is een Java's Crep bibliotheek.

Dus voor websites bouwen, laten we dat even houden. En die verstuurt Http-verzoek. Oftewel die kan communicatie doen met andere systemen. En dat is geïnstalleerd in zo'n 80% van de cloud-omgeving wereldwijd. Een vrij zwaar gebruikte package. Met 100 miljoen downloads per week. Ja, dus de kans dat jouw organisatie dat gebruikt is best groot, zeg maar. En de aanvallers die door Google Threat & Tell wordt gevolgd als UNC 1069. Daar hebben we hier echt heel veel voorbereiding in gestoken.

Want ze hebben dus de identiteit van een echte bedrijfsoprichter gekloond. En een volledig netbedrijf nagebouwd. Met Slack Workspace, netmedewerkersprofielen en LinkedIn-kanalen. En zo plannen ze dan van daaruit een Microsoft Teams call met, ja, wat leek dan op een compleet team. En zo hebben ze tijdens die Teams call, hebben ze dus die hele update flow met die package-onderhouder uitgevoerd. Dat is ongelooflijk, ja. Ook gewoon een man die echt snapt hoe het wel werkt uiteindelijk. Die trapt er dus ook gewoon in. Ja, ja. 100%. Dat valt echt op.

En wat dus ook opvalt, is dat die man die ze dus gepakt hebben, die had dus ook alles. Dus alle NPM-credentials en alle publicatierechten. Dus via zijn pc hadden ze alles wat nodig was om dus eigenlijk die supply chain-aanval uit te voeren. En ja, wat ook wel interessant was, is dat ze 18 uur eerder al alles klaar hadden gezet. Dus ze hebben echt heel goed voorbereid om dan uiteindelijk alles klaar te hebben staan. Allemaal weer varianten voor Mac OS, Windows en Linux. Omdat op het moment dat ze konden gaan publiceren, plop, stond er een keer alles klaar.

En ja, en dan wat eigenlijk dat spul doet, is die op het moment dat er een infectie plaatsvindt, stelen ze alle gegevens, alle secrets van het systeem af. Dus alle wachtwoorden om te kunnen publiceren. Dus die hebben ze al wel gewerkt, dat ze er alle wachtwoorden voor waren er even ingelogen moeten worden of SSH-sleutels. En dan verwijderden ze de malwaarsing zelf weer. Dus dat is ook best wel goed over nagedacht. Maar echt wel een pittige voorbereiding voor iets waar je niet eens weet of het gaat lukken uiteindelijk. Om dat het lukt om die ontwikkelaar te hekken. Ja. Meestal lukt het meer niet dan wel natuurlijk. Dus ze durven nogal te investeren.

Ja, zeker. Ja, en misschien dat hier ook tussen de overheid gelinkt, he. Ja, daar zit vaak meer geld en tijd achter dan in gemiddelde andere instantie. Dus ik denk dat ze daar best wel wat tijd voor hebben kunnen vrijmaken, zeg maar zeggen. Ja, en het is best wel een bizarre aanval. En het is ook niet een eenmalig incident. Het lijkt alsof dezelfde aanvallersgroep ook verantwoordelijk is geweest voor onder andere LIDL, LLM en andere packages, zeg maar, die hierin voorkomen. Dus het is ook echt een chain aan aanvallen. Ja, het lijkt ook maar weer dat...

Ja, hoe noem je dat? Het zijn allemaal open source packages. Heel veel mensen doen hier met heel veel liefde en aandacht tijd in stoppen. En opeens ben je dan doelwit van Noord-Koreaanse inlichtingdiensten. En wie weet hier nog meer. Het is best wel heftig. Gaat ons hier gebeuren? De perfecte poging gaat ons ook naaien. Maar het heeft niet heel lang online gestaan, he. Nee, klopt. Dus inderdaad, na ongeveer drie uur zijn de packages onderkend. Dus toch wel drie uur. Ik heb even geen getallen over hoe vaak het gedownload is, de malicious versies.

Kijken, een bedrijf heeft 3% van de gescande omgeving. Maar ja, dat zegt niks over het geheel van totaal aantal. Maar ja, toch dat er drie uur daar eerst kunnen staan voordat het opgepikt werd. Ja, aan enkele kant is heel snel, heel knap ook dat bedrijven dat zo snel uit. Dus er zijn allerlei bedrijven die zich bezig houden met allemaal scannen op malware enzo, in de repost stories. En toch, in drie uur kan er ook schade aangericht worden. Maar toch, voor mij waren het honderden miljoenen downloads, he. Of in ieder geval honderden miljoenen of zo. En in ieder geval de package zelf honderd miljoen per week. Alleen hoeveel dus in die drie uur, daar heb ik even geen getallen over.

Ja, oké. Oké, ja, ik was gestruikeld over een verhaal over Quantum. Dat is toch wel mijn oude, nou, niet oud, maar mijn hobby. De cryptografie eromheen en alles. En ik was altijd wel redelijk gematigd. Ik vond eigenlijk alle ophep om het te ontbouwen. Dus de migratie naar post-Quantum. Misschien nogal gevaarlijker dan de Quantum realiteit zelf. Maar misschien naar dit verhaal gelezen te hebben, moet ik dat ook weer terugtrekken. En heel kort even voor de luisteraar.

Dus met Quantum computers, het idee daarvan is, dat heeft meneer Schor in 94 al laten zien, dat hij ontzettend snel kan factoriseren. En snel factoriseren betekent dat je een heel groot getal, bijvoorbeeld wat we gebruiken in de encryptie van Quantum RSA en een 2.048 bits, dat is zo'n 600 cijfers lang. Dat je dat kan terugontbinden in twee primgetallen. Dus als je die met elkaar vermeden of hulpen, krijg je dat getal van 617. Het is heel moeilijk om die twee getallen te vinden. En dat is waar de hele crypto op hangt. Maar dat blijkt dus nu dat met een Quantum computer dat je dat wel vlot kan.

Maar ja, en een Quantum computer heeft Quantum bits nodig. En met die bits kan je dan, nou ja, dan heb je je computer. Maar Quantum bits ook echt daadwerkelijk kunnen gebruiken in een computer. Dat vinden de VCC die er mee bezig zijn voor de wiskundigheid. Dat is allemaal simpel, maar voor de VCC die hebben altijd issues. Die krijgen het maar niet mooi stabiel en goed werkend. En er werden altijd al gezegd, in 2012 dachten onderzoekers dat je een miljard qubits nodig zou hebben. En toen in 2021 hadden ze al gezien dat het dus nog maar 20 miljoen was.

En dan hadden we vorig jaar in mei, kwam Craig Wittkidney, dat is een man die er altijd mee bezig is, die kan er vorig jaar zeggen, nou, het moet wel met een miljoen lukken. En wat aan de andere kant, wat lukt het nu de hardware industrie om chips te bouwen? IBM heeft zo eentje met 1100 qubits ondertussen. Google heeft een chip, die heet Willow, die zit rond 105. Maar, en dat is weer een extra complexiteit, die heeft veel betere kwaliteit dan die IBM. Die zit, daar zit zeg maar meer ruis in.

En uiteindelijk heb je dus meer bits nodig dan je algeveer het me eigenlijk verlangt, omdat er foutjes in zitten. En dan heb je ook nog verschillende quantum computers, chips ook met een neutrale atoomarray. En Kaltag heeft er eentje van, 6100 atomen. En toen een week geleden, dat was één dag voor 1 april, dus ik dacht eerst, nou, ik ga het gewoon niet lezen, dus ik kan niet kloppen, kwamen er twee papers in de cryptografische wereld naar boven. Maar niemand heeft het nog onderuit gehaald, sterker nog, het is gewoon te bewijzen dat het klopt.

En het gaat trouwens niet alleen om RSA kraken, maar ook SSC. En SSC, dat gebruiken we weer in de blockchain heel veel voor cryptocurrencies, dus om onze bitcoins en ether te beschermen. En dat is een kleiner en efficiënter algoritme, maar voor een quantum computer nog makkelijker eigenlijk weer te kraken dan RSA. En Google, die publiekeerde dus een white paper. En die hebben we onderzoek gedaan samen met Ethereum Foundation en Stanford. En dan specifiek om dat SSC-256 te kraken, dus het algoritme van de blockchains.

En in 2023 dachten ze nog dat je dan 9 miljoen qubits nodig zou hebben om te kunnen kraken. En Google bracht dat dus terug naar minder dan 500.000 qubits. Dat is een 20-voudige verlaging in drie jaar. Een enorme verlaging. Ja. Een andere paper is Oratomic, dat is een bedrijf dat werkt met neutrale atomen. De andere quantum computer is dus op basis van supergeleiding. Dus als je iets heel koud maakt, 0 Kelvin, min 273, hoeveel graden?

Koma. Ik dacht min 2,3. Geen fysiotheek. Zet je dit uit je ogen, weet je? Die publiekeerde op dezelfde als de tweede paper, met nog een verbluffende getal eigenlijk, dat ze 10.000 qubits zijn voldoende om source algoritmen te draaien op cryptograafisch relevante schaal. En dat is dus echt geen 1 april grap. Je ziet nu dat er ontzettend veel research opeens komt. En met enorm veel impact gaat het hebben. En Google heeft dus nu ook gewoon keihard gezegd, jongens, dit is niet meer iets van de toekomst.

Binnen drie jaar gaat het gewoon gebeuren nu. Dat we serieus shit krijgen. En ja, ik zat te denken van we hebben allemaal natuurlijk onze crypto-walletjes. En die komen nu al in gevaar. Behalve als je de publieke key niet hebt als aanvaller, want dan valt er ook niks te factoriseren. Dus dacht ik, nou dan moet ik gewoon mijn bitcoin in mijn eigen andere wallet stoppen, die ik alleen maar offline heb, waarvan de publieke key ook alleen maar in mijn eigen appart laptopje zit, die in die kluis hier rechts in de hoek staat. Dat weet iedereen ook te vinden.

Maar, nee hoor, er zit weer vier echte crypto's overheen, dus daar kom je niet aan. Maar toen dacht ik, ja, maar op het moment dat je het gaat uitgeven, moet 10 minuten lang door die blockchain heen om goed gekeurd te worden, dan moet ik mijn publiekie prijs geven. En die 10 minuten, dat is genoeg voor een ander om ook die sleutel te kraken. Dat is zelfs ook niet genoeg. Het is paniek jongens, paniek nu. Al je bitcoins verkopen, nee ook niet. Haha. Oké, wel een complex verhaal, maar ja, wat ik ook wel relevant vind, is dat Google niet heeft prijs gegeven wat zij hebben ontdekt.

Ze hebben een zero knowledge proof van gemaakt, dat ze alleen maar laten zien op afstand dat ze het kunnen. Maar ze vinden het zo eng wat ze ontdekt hebben, dat ze denken dit moeten we maar niet met de wereld delen. De vraag is hoe lang blijft het iets geheim? Maar ze laten in ieder geval wel zien dat ze het kunnen. En ja, ik snap ook niet dat dit niet veel groter het nieuws is geweest. Ik lig hier wakker van. Dus ik hoop nu dat het dan misschien wel op meer land. Ja, wat zou je ermee moeten? Ja, toch echt wel gaan investeren in die post-quantum wereld. En zeker als je, ik weet dat de banken zo die doen het wel.

Voor een gemiddelde gebruiker kan je helemaal niks, want al die algoritmes zitten hardwarematig in je iPhone en je computer tegenwoordig. Dus die leveranciers moeten als we gek aan de gang gaan om die, nou ja, volgens mij bijna door nist goed gekeurde algoritmes er ook maar in te gaan zetten. Maar goed, dan komen we in die fase, voor mij ook dat eerder aangestipt, dat ik bang ben dat er allemaal implementatiefouten naar boven komen. En dan zou ik willen, wat dus een beetje het Europese model is, dat we een gelagte encryptie doen.

Dus zowel het oude als het nieuwe over elkaar heen. Als een van de twee gekraakt is, heb je de ander tenminste nog. En dan accepteren dat al onze throughput en onze internet snelheid allemaal halveert en dat de gebruikservaring even... Nou, het is alleen maar een beetje een sleuteluitwisseling, want daarna wordt het symmetrisch. Dus in het begin is het even traag, maar de meeste crypto die we gebruiken is gewoon de symmetrische crypto. Dat heeft vrij last van Quantum. Jelle, jouw nieuwtje. We hebben afgelopen week bezig geweest met de Threat Intelligence Conferentie. Dat is een leuk club mensen die een conferentie organiseert 30 juni, 26 in Den Haag,

met eigenlijk allemaal Threat Intelligence verhalen. Dus vanuit de overheid, vanuit de private sector, vanuit de academische sector. Dus gewoon een gezellige Threat Intelligence Conferentie in Nederland. Besloten publiek, niet al te veel mensen, geen grote hallen vol met banners en zo. Gewoon met elkaar een klein beetje kunnen praten over verhalen. Veel leuke submissions binnen. Ja, zeker. Dus dat is wel vet om te zien. Dus af en toe heb je dat soort conferenties dan heel erg naar Russen, Chinezen of Iran neigt. Maar dit zitten echt totaal ook weird submissions in over... ...nucliëre aspecten van cyber, chemische aspecten en zo.

En dan ook Russen, Chinezen, Noord-Koreanen. We hebben echt een line-up met elk thema bijna wel iets. Dus dat is wel eens leuk om te zien. Ook al van Quantum? Eh, nee, niet. Indirect wel. Wel over Trends Technologies en dat en Quantum, dat een impact gaat hebben. Maar niet over dit. Maar hoor ik hier nou stiekem een submission van jou? Nee, nee, nee. Ik ben niet in het land dan op de vallig. Jammer. Ik krijg dat veel verzoekers, maar heel fijn kan ik altijd nu zeggen... ...nee, ik ben er gewoon niet in. Dat is moeilijk om mee te zeggen normaal. Oké, dan gaan we het nu hebben over die vraag van onze luisteraar.

En ik denk dat het handiger is als we het landschap een beetje opdelen. Want als je zegt, ik wil de cybersecurity in... ...ja, dan is dat een beetje alsof je zegt, ik wil de geneeskunde in. Maar ja, wil je dan huisart worden, chirurg of onderzoeker? Of nog saaier, beleidsmaker bij het RIVM? Ja, sorry. Oké, Jelle, jij gaat het voortaan nemen. Jelle, voordat we erin duiken, ik moest in aanloop naar deze aflevering... ...veel over na moeten denken. Ik vind het altijd een lastige onderwerp.

Wat is carrière en hoe groei je in het cyberwereld? Dus ik dacht, misschien goed om wat dingen te behandelen als... ...wat is de nut en noodzaak van de opleiding en welke aspecten help je daar nou aan... ...in je carrièrepad? En welke rol mindset zich daarin heeft? En ook, het digitale wereld gaat zo snel als je dan nu een specifieke opleiding doet. Maar je werk wordt grotendeels overgenomen door Claude en zo. Omdat natuurlijk het hele sok ongeveer wel agentic maken. Hoe positioneer je dan jezelf daarin?

Dat is wel lekker filosofisch, Marco. Ja, misschien moeten we dit hele onderwerp maar niet meer bespreiden. Dat is echt niet meer nuttig. Sorry jongens. Stop nog met de opleiding. Ik denk wel een vet punt is inderdaad. Misschien meer dan ooit moet je jezelf heruitvinden gedurende carrière. Want inderdaad met technologie, met wat Ronald net noemt over quantum en zo. Als je over drie jaar alleen nog maar... ...als de verbindingen kut zijn, je werk wordt gedaan door EHAI... ...wat is dan nog de rol van de mens? Maar dat is een hele grote vraag natuurlijk. En daar heb je misschien niet zo heel veel aan als je een opleiding aan het doen bent.

Maar wel wat je zegt, cruciale competenties of cruciale gedragingen of dingen die je moet doen... ...die zijn wel heel interessant, denk ik. En dan noem je daar eentje van. Dat dat het kansloos nerd is waar wij ook allemaal van houden. Maar wat ook een beetje een leervermogen is, toch? Dus dat je nieuwe dingen kunt aanleren of doen. Ja, en wat mij denk ik heeft geholpen bij een opleiding... ...dat is dat ik daar best wel veel les op gehad in goed onderzoek doen. Goed documenteren in Nederlands en Engels. Dus dat je een goed stuk kan schrijven, zeg maar.

Wat in onderzoeken toch wel relevant is. En het klinkt misschien een beetje apart, maar ook filosofie. Dat je eigenlijk zaken vanuit een ander perspectief leert beschouwen. Even je eigen referencekader loslaten, daaruit stappen. Dat helpt ook in de techniek. In ieder geval als je vanuit de aanvallersperspectief denkt. Dat je normaal zegt, nee, maar mijn toetsenbord dient hier toe. Oké, maar doe even een stapje terug. Daar zit ook een paar wijze van breken. Een halve computer in. Dat kun je ermee. Maar goed, dat zijn allemaal soort basisvaardigheden. Die kan je gebruiken in elke richting natuurlijk. Ja, 100 procent. Dat je goed kan documenteren en een goed stuk kan schrijven.

Wat heb je dan in je opleiding ooit geleerd? Of je denkt zo, en dan specifiek om. Nou, waar jij best wel goed in bent, dat is hacken. Of je denkt, ja, dat heb ik toen geleerd en daarom kan ik dit nu zo goed. Ja, ik denk wat mij het meeste heeft geholpen. Ik heb in mijn opleiding een sidetrack software development kunnen doen. En ik heb daarin specifiek elke keer gevraagd van, oké, maar kunnen we ook terug naar de basis? Hoe werkt het? Hoe werkt de computer? En dan komt aan de ene kant mijn mindset. Ik wil altijd het onderste begrijpen van hoe iets nou uiteindelijk werkt. Maar aan de andere kant heb ik daarbij dus ook veel les gehad in de fundamentals.

Dus hoe werkt de CPU? Hoe werkt memory? We hebben toen de hele Java Virtual Machine eigenlijk op elkaar getrokken om te kijken. Hoe werkt die assembly? En hoe maakt dit dan aanspraak op de pc? Daaronder zeg maar. Dus eigenlijk iedere keer terug naar de basis en zo diep mogelijk gaan naar de... Maar je had zelf wel die mindset dat je continu de vraag aan het stellen was. Ja, juist. Bij andere opleidingen mensen gewoon hier op de Java Gardener McCloy. En dat mensen niet afvallen. Die denken gewoon, oh, dat is lekker makkelijk, zeg. Wat daaronder zich allemaal afspeelt, dat interesseert helemaal niemand wat. Ja, dat is de indruk die ik ook af en toe heb. Dat daarin een stuk onderscheidend vermogen zit voor veel, in ieder geval technisch volk.

Maar ook niet technisch volk trouwens. Ja, en ik was ook benieuwd naar Ronald, omdat hij ook een technische opleiding heeft gedaan. Of je dan zo zelfde motivatie had om te snappen hoe de theorie achter alle fenomenen... Ja, kijk, mijn basismotivatie is dat ik altijd wil proberen zoveel mogelijk geheimen te achterhalen. Dat zie ik. GELACH Tijdens mijn studie was ik erg geïnteresseerd in, wat ik nu ook nog steeds heb, alles wat er door de lucht gaat. En een van de dingen die ik goed kon oppikken, dat waren de beveiligde verbindingen...

...die de politie gebruikte, observatieteams, als ze achter iemand aanregen de hele dag. Grote criminelen. Welkom. En dan wou ik wel te weten, wat zeggen ze nou eigenlijk? En later toen me dat lukte dus ondernuit te luisteren, hoorde ik alleen maar linksaf. Volgens de blikkslaften. GELACH Dus het was... Maar eigenlijk wist ik dat al, want ik kon ook gewoon de... Het was eigenlijk heel zinloos dat ze dat versleutelde trouwens, want je hoeft alleen maar uit te peilen waar ze zaten... ...en dan kon je ze zien op wie ze zaten en wat hun teken zwaar uitnodigd. Oké, effe. Ze zeiden toch geen straatnamen en dan zat het bij het caféetje waar we vorige week dit gekocht hebben.

Ze staan ook drie maanden lang op dezelfde persoon. Dus nou, even een lulverhaal. Maar ik dacht wel, ja, ik vind het balen dat je dit niet gewoon kan horen. En uiteindelijk, dit was tijdens mijn CWO-tijd, was ik er al een beetje mee bezig. En toen dacht ik, nou, ik ga gewoon met die geheimsliften aan de gang. En dat zit dicht bij wiskunde, dus heb ik wiskunde gekozen als vak. Want ik had toen ook het idee, cryptografie, dat is de ultieme beveiliging. Als je dat gewoon goed regelt, dan gaat het allemaal goed. En een grote desillusie toen ik daarna bij het Nederlands Forensische Instituut ging werken.

Mijn taak was om dingen te kraken. Nou, het is me echt één keer gelukt omdat de crypto slecht was dat ik een sleutel kon achterhalen. Dat is trouwens een hele grote zaak. Komt een andere keer iets met de eten. Maar alle andere keren waren het eigenlijk altijd implementatiefouten van programmeurs. Gewoon suck-offs die, dus heb je keurig, had het toen nog triple des en zo, helemaal netjes geïmplementeerd. Dat werkte allemaal goed en je moest er van het volgende wachtwoord invoeren om toegang te krijgen tot die versleutelde container. Maar dan had die man ook bedacht, ja, maar als dat wachtwoord niet goed is, dan kan ik niet zo'n container openen, want dan crasht alles.

Dus je moest even checken of het wachtwoord goed was. Dus hij zat helemaal aan het einde van die container, had hij dat wachtwoord nog een keer gezet, gezoord met eendjes. Dan schoor je op de bit van je pen en stond het gewoon het wachtwoord eigenlijk. Dat is hoe programmeurs crypto weten te verneuken. Maar dan had je dan heel klein beetje per focus, moest je dan ook reverse engineeren of de software? Ja, ja, ja, wel. Maar dat deed ik vaak, als het om cijfertexten ging, ook van buitenaf. Dus je hoeft eigenlijk niet eens heel erg die SMD of zoveelzijn te lezen.

Ik goorde gewoon known plaintexten in en known cijfers in en dan downed down keys in en keek er wat uitkwam. Maar hij stond ook wel reverse engineer, maar dat deden eigenlijk bij de NFI meeste andere jongens. Je hebt wel een team nodig met verschillende disciplines om dat goed te kunnen doen. Maar ik moet zeggen, rondom opleiding, jij zei net, je hebt heel goed leren schrijven en documenteren. Nou, als wiskunde geleer je dat niet. Je wordt wel verplicht naar één filosofievak gestuurd. Maar voor de rest, ik denk wel, het heeft me wel gebracht dat ik, ik denk, het op een bepaalde manier gestructureerd kan denken of zoiets.

Dat ik dat mee heb gekregen. Maar de vraag is altijd van heb je dat eigenlijk wel in je en kan je daarom ook wiskunde goed of leer dat naar thuis in studie? Maar ja, een beetje snel puzzelen over als je naar al het rythmisch kijkt van wat voor orde het is. Maar ja, je hoeft niet heel diepte wiskunde in. Dat zijn wel dingen die soms heel praktisch zijn als je bezig was met mijn werk. Cool. Ja, Jelle? Ja, ik vind uit opleiding uiteindelijk militair academie gedaan en zo. Voor altijd wel met computers bezig, maar academie is wel ook van leren samenwerken, zeg maar.

Dus als je dan hebt over werk in een team, denk ja, de basis functionaliteit waarin we allemaal gaan werken in de 21ste eeuw is het team. Ook al zitten we met de gen e-art tot de max dingen te doen. Je werk nog zegt in een team. Ja, precies. Ja, een team van agents zou heel, heel aardig lekker worden. Omdat je ook social agents ernaast moet zetten die tegen je zeggen van, je ziet er een beetje sip uit. Je hebt een beetje verf op je shirt. Wat is er? Wat ben je eigenlijk aan het doen met je leven? Nee, dus maar dat is dat wel dat over over ook als je een beetje moe bent, hoe ga je dan met elkaar op jezelf leren kennen? Dat hoe je reageert als je wat onder wat stress staat en zo.

Maar dat vind ik dus wel wat ik ook altijd zocht dan in onze vorige job als je technique of teamleder zoekt. Vond ik dat wel een van de meest cruciale. Je kunt echt een die hard hardcore technique zijn die echt alles kan op technisch vlak. Maar als die vervolgens in een kamer zit, is eentje en helemaal niet wil samenwerken met collega's om zich heen en zo. Ja, dat vind ik ook iets. Er moet wel een basis van vaardigheden in samenwerken gewoon in zitten en een beetje kunnen communiceren. En dat vind ik dus wel zo'n basis die ik dan ook altijd heb meegekregen. Weet je, zorg gewoon dat je team ook bij je weet aan te haken.

Je hoeft het niet allemaal, ik hou ook het liefst misschien wel van computer in plaats van altijd sociaal doen en zo. Maar alsnog je zit in een team, dus je moet wel iets van jezelf laten zien. Dus ook al ben je zo introvert als de pest. Ja, weet je deze pok? Het is altijd jouw meest sociale moment van de week, of niet? Jazeker, dus ik wilde gewoon stiekem een muurtje schilderen in mijn eentje terwijl ik een podcastje aan het luisteren was. Maar nee, dit is hartstikke gezellig. Dus samenwerken, samenwerken, communiceren, dat hoort er ook bij. Is het zo? Ja, ik wil wel even een keer meegeven. Ik heb ontzettend veel mensen aangenomen vroeger al, ik ben heel veel wat ouder, in dit cybersecurity-landschap.

En wat ik altijd relevant vond, maar dat was een beetje ook waar we met u mee bezig waren, of je echt gewoon serieus kon hacken en zo. En ik heb ook heel vaak verzoeken gekregen, wat moet ik nu studeren, of welke opleiding kan ik doen om te leren hacken? En mijn conclusie is altijd, dat leer je dus niet, dat zit wel in je eigen basis. En dat is die interne kracht die je moet hebben om door te willen gaan tot het gaatje. Dat je er, als je om drie uur uiteindelijk naar bed gaat, dat je in bed ligt en erna een uur wakker wordt, dan denk je, fuck, dit is het. En als je je bed weer uitgaat en dat je gewoon verder gaat.

En dat zijn aspecten, denk ik, die je echt bij de tophackers ziet. En of ze nou een studie hebben gedaan. Ja, het helpt soms wel om wat shortcuts te vinden, of zou je een oplossing. En als je wat zware dingen tegenkomt, als misschien als scripten of zo, of je moet echt wat coden, dan is het echt wel handig als je een goede baasdaffer hebt. Maar dat is nou niet meer nodig. Nu is het denk ik gewoon een goede hacker, iemand die heel goed kan prompten. Want code hoef je niet meer zelf te doen, reverse engineer, want dat wordt allemaal voor je gedaan. Uiteindelijk gaat het om drive here. Dat is volgens mij echt het samenvat.

Maar de wereld van cybersecurity is ondertussen, omdat het zo relevant is geworden, veel breder geworden dan alleen maar hackers, gelukkig maar. We hebben er heel wat mensen omheen nodig. Jelle, jij had een heel mooi plaatje bedacht. Ja, zeker. Wat we wel wilden natuurlijk is eerst even in op die mindset-ding. Want we denken inderdaad met die mindset die wij net noemen, de dingen die we allemaal meenemen uit opleidingen, dat is natuurlijk hetgeen waarmee de opleiding niet zo boeit, de functie boeit niet zo veel. Met die eigenschappen kun je eigenlijk een heel leuk leven in cybersecurity hebben. Maar als je dan kijkt naar de formele paren die er zijn,

dan kwamen we wel op eigenlijk, ja, je hebt een aantal paren richting beleid. Dus wat zijn beleidsmakers? Wat Ronald net al in de intro zei, misschien niet het meest sexy beroep als je naar cybersecurity denkt, maar we hebben er wel heel veel van nodig, want goed beleid kan er wel voor zorgen dat er in Nederland op overheidsniveau en met bedrijven dingen veranderen. Dus dat pad heb je, beleidsmedewerker. Dan de uitvoering, die bestaat eigenlijk ook gewoon de mensen die hands-on-keyboard-tingen aan het doen zijn. En dan de toezichthouder, of toezicht als functie.

Ja, daaronder zijn gewoon heel veel paren, en dus dit wordt een lange lijst. Dus je hebt bijvoorbeeld beleid en strategie. Ja, dan kun je bij elk ministerie aan de slag. Maar ook bij grote bedrijven, die hebben ook een strategiepoot vaak waar ook documentatie moet geschreven worden. Maar binnen de overheid denk je hier al snel aan, als je, ja, dan moet ik nu even oppassen, maar leuke cybersecurity-beleidfuncties, dan voor mij zou dat al snel zijn. BZK, dus binnen al het zaken Koninkrijkselaties, die hebben heel veel wat ze doen op digitale samenleving. Hoe zorgen dat die digitaal geletterd zijn.

Defensie, daar kom ik vandaan, dus bias as fuck, maar ja, dat gaat over nationale veiligheid. En dat vind ik altijd wel heel interessant. Ja, en EZK, dus economische zaken en klimaat, zie je natuurlijk ook heel veel relevant bedrijf, met name richting onze bedrijfsleven zie je daar. En dan heb je JNV, Justitie en Veiligheid. En daaronder zit een aantal zaken zoals NCTV, maar ook het Nationaal Cybersecurity Center. En daar gebeuren gewoon heel veel interessante dingen ook voor mensen die...

Eigenlijk, want je hebt saai beleidschrijven, vind ik altijd, zeg maar, dus beleid over fenomenen over vijf tot tien jaar. En je hebt gewoon concreet beleidschrijven om een probleem te fiksen. En voor mij is het, nou, dat is een van mijn drijferen dan, problemen fiksen zo snel mogelijk, zeg maar. En dat zie je bij die ministeries die echt bezig zijn met nationale veiligheid, zie je dat wat sneller, dat die actiegedrevenheid wat hoger is. Dat zou ik dan leuke beleidsfuncties vinden. Ja, maar uiteindelijk vind ik wel, we zijn nu te laat misschien wel met quantum aan de gang gegaan. Dat is toch wel E&Horizon van tien jaar geleden al het moet hebben.

Maar ja, probeer in dit politieke klimaat maar eens iets voor elkaar te krijgen... wat over tien jaar belangrijk is, kijk maar naar het milieu. Dus dat doet toch allemaal niet, dus dat zijn inderdaad dan ook niet de leuke functies. Maar ja, hoe kom je nou in zo'n beleidsrol? Ja, het zijn denk ik vaak niet de mensen die je tegenkomt op een hackersconferentie. En het zijn eerder, ja, ik ben ook een beetje bang dat soms mensen ook wel toevallig op zo'n stoel terechtkomen. Niet omdat ze altijd gedacht hebben, ik vind dit werkveld super gaaf. Ik ken er wel een paar die dit echt wel uitgezocht hebben, maar het zijn mensen die iets van de politicologie gedaan hebben of bestuurskunde of internationaal recht,

wat echt hele leuke studies zijn, vooral die laatste denk ik. Maar ik zie ook wel mensen die vanuit de techniek komen, die toch die overstap maken. En soms uit frustratie, dat ze denken, nou, ga ik het zelf wel doen? En ze begrijpen het toch niet. En ik moet eerlijk zeggen, daar ben ik altijd wel gechameerd van, want die mensen leven in tweeëntig in de werelden. En die kunnen dus hun beleidsfunctie misschien beter doen, als je er op afstand van staat en je kopieert eigenlijk gewoon wat je gedaan hebt bij een heel ander domein, omdat je gewoon een schaal hoger kon krijgen, je kon ook geen senior beleidsadviseur worden, cyber security.

Op de schaal 13 of zo. En ja, zo werkt het niet. Ik denk cyber is altijd anders dan de rest. Maar je ziet dat dit wel eens als commentaar, dat was heel leuk, een afdelingshoofd die in ons vorige job, die zei altijd van, hey, je mag best zeiken op de staf, dus de beleidsmedewerkers en de centrale staf, maar zolang jullie mensen uit de uitvoering niet op de staf gaan werken, mag je niet zeiken. Als jullie geen tijd hebben om ze uit te leggen, hoe cyber security werkt om die mensen mee te nemen, dan mag je ook niet zeiken. Dat zij doen werken wat jullie niet leuk vinden, dat vond ik heel terecht.

Wat ik vaak niet terecht vind, is dat de mensen in de uitvoering, die technische mensen, waarvan die eigenlijk schaar zou zijn denk ik, dat die vaak schalen minder hebben dan die mensen die op beleid zitten. Dan wordt toch hoger geapprecieerd of zo, op een of andere manier historisch. Volgens mij is dat ondertussen wel een klein beetje gecompenseerd met arbeidsmarkt- toelagens, en zo bestaat dat nog, maar dat is niet van een interne waardering, van ik vind dat je beter bent of belangrijker bent, maar dat is meer, ja, anders raken we je kwijt, omdat de markt aan je zit te trekken en je veel meer geld ergens anders kan verdienen. Dus ik vind niet kloppen, ze hadden gewoon niet die toelagens moeten,

en we moeten die mensen ook in hoger schalen, we moeten gooien. Ja, uitvoering, dat is natuurlijk waar het heel breed wordt. Misschien moeten we dat heel even bewaren voor later, voor deel 2 van dit verhaal. We hebben nog wel toezicht eerst nog, wat toch echt anders is dan beleid. Ja, maar dat heb jij gedaan, dus ik ben heel benieuwd hoe jij dat vond, maar als je kijkt breder naar het hele toezicht, landschap in Nederland, en je zit op cybersecurity, dan is er eigenlijk eentje die nu heel bekend is of bekend aan het worden is. De nieuwe naam is niet zo bekend, die spreek ik gedurende deze podcast, heb ik deze op vier varianten uitgesproken, maar ik heb me even opgeschreven, de Rijksinspectie Digitale Infrastructuur, de RDI.

Dat zegt met een toezichthouder onder eigenlijk op alles op cybersecurity vlak in Nederland, als een van de grotere bij elkaar geveegden. Ja, dan heb je de Autoriteit Consumentenmarkt, toezicht op digitale markten enzo. En natuurlijk veel nieuws geweest, de Autoriteit Persoonsgegevens, dus waar je de data lek zou moeten melden, die ook heel veel nieuws zijn geweest over personeelsdekorten, denk dat die mensen kunnen gebruiken. Ja, en dan de twee toezichthouders bijvoorbeeld ook als voorbeeld hier even. De Toetsingscommissie Inzet Bevoegdheden, de TIP,

die toets vooraf of inlichtingendiensten hun bevoegdheden mogen inzetten, en de CETE-IVD, die toezicht achteraf en ook tijdens de inzet van inlichtingendiensten doet. Ronald, jij hebt een tijdje bij de TIP gezeten toch? Hoe heb jij dat ervaren? Ja, nou dat is zeker niet de saaiste pad geweest, maar misschien ook wel een iets andere rol in toezicht dan de andere. Want het zit heel dicht, ja dat mag ik eigenlijk niet zeggen natuurlijk, maar het zit heel dicht op de uitvoering. Je zit mee te kijken in operaties die plaatsvinden, ja en voor jongetjes als ik, wat is er een mooier plek dan dat natuurlijk.

Om ook een heel breed beeld over alle teams heen waar jullie allemaal compartmentering hadden. Er waren vijf mensen in het land die alles op één grote hoop voorbijzagen kwamen. En ja, ontzettend interessant werk was het eigenlijk. En wat ik heel waardevol vond, is dat toen de Kamer ook al had gezegd, van ja, laten we niet alleen maar wat rechters er neerzetten, maar ook iemand van statuur die de techniek ook begrijpt ernaast te zetten. En ik heb ontzettend leuk gevonden dat te doen.

Maar ik heb er twee jaar gezeten en vooral die beginperiode was denk ik erg boeiend, want dat was ook de eerste moment dat die tip er was. Dus we moesten ook een beetje neerzetten van hoe werkt dat dan zo'n tip. En dat was natuurlijk doodeng voor de inrichtingdiensten om opeens een partij te hebben die kon zeggen, nee, je gaat dit niet doen. Ook omdat je het niet goed opgeschreven had. En dat is dan wel weer het vervelende. Het is een hoop papier en papier is ontzettend lastig om te verwoorden wat er daadwerkelijk gebeurt en uiteindelijk om zo'n kritische afweging te maken.

En dan is het ook nog zo ingeregeld dat je eigenlijk niet eens een goede interactie kon hebben met de dienst. Omdat je ging uitleggen wat ga je nou precies doen. We konden wel een presentatie vragen, maar dan zouden jullie de hele week bezig zijn met presentatie geven in plaats van het hekken. Ja, en wat ik ook lastig vond aan die toestemmingen is dat je de techniek heel erg juridisch moet uitleggen aan de juridische wet. En die, zeker als je daar in het begin nog niet zo bevlogen bent, dan lijkt het zo ver uit elkaar te staan. Dus je moet continu die vertaalslag proberen te maken op de juiste manier en dan hopen dat de insportatie is zoals die is.

Maar die technische werkelijkheid uitleggen in juridische taal vond ik altijd een van de grote uitdagingen. En andersom moest ik weer proberen, wat heeft-ie nou proberen, wat gaat-ie nou daadwerkelijk doen? Oh, hij gaat gewoon dit doen om daar naar binnen te komen. Schrijf, zeg dat dan in plaats van wat is het lastige in je taal? Haha! Ja, maar dat moest dan op niveau, dus dat moest je zeggen van een voorziening treffen in een geautomatiseerd werk ten einde. Dat data, dat mocht er in een gegevens op te halen. We hadden ook een modus kunnen afspreken dat jullie gewoon zouden opschrijven

in jullie taal wat je zou doen en dat wij het wel langs de juwilige lat zouden leggen en dat wij die vertaalslag maar moesten maken. Dat lijkt me een stuk effectiever eigenlijk achteraf. Toezicht is op zich wel heel interessant, denk ik. En zeker als je het in een best operationele setting doet. Die RDI die wordt nu ook op pad gestuurd om naar Odido te kijken voor wat is daar nou gebeurd, wat er mis is gegaan. AP gaat ook naar kijken. AP vind ik zelf wel niet zo heel erg... Ik wil niet zeggen dat privacy niet relevant vindt, maar hun aanwezigheid en de grootte die ze hebben, vraag ik me af of dat nou zich vertaalt in dat ze daadwerkelijk

privacy beter doen in Nederland. Dan zou ik eerder andere instituten verwachten die... Dan denk ik dat zo'n RDI bijvoorbeeld veel meer invloed kan hebben door gewoon vooralval te kijken. Heb je technisch daadwerkelijk goed ingericht en alles. Oké, maar daarvoor hebben we dus ook die nieuwe wet. Maar laten we dat nou niet gaan bespreken. Het ging over opleidingen en leuke functies allemaal. Ja, dus voor toezichthouders zeggen we eigenlijk van joh, je ziet heel veel bedrijven, je komt op heel veel plekken waarschijnlijk. En het ligt een beetje aan type toezichthouder over hoe operationeel je bezig bent.

Wat voor ons drie natuurlijk operationeel bezig zijn heel leuk. Daarom zetten we er denk ik zo in. Ja, zeker. En dan hebben we privaten sector. Daar zitten jullie nu beide in. Dus die geef ik vooral aan jullie. Ja, privaten sector natuurlijk ook heel breed op cyber gebied. En uiteindelijk kan je denk ik ook een beetje vertalen in het soort product wat je levert, zijn het rapporten. En dan kan je naar de Big Four kijken, dus de KBPG's en Deloits. Maar ook daarvan hebben we boetieken. En ik vind het al heel erg jammer dat,

ik denk, laat ik maar gewoon bout zijn, dat ik soms de boetieken beter vind dan de grote Big Four, want er zitten nogal veel juniors. En boetieken zijn nog wel koper ook soms. Maar je komt er niet mee weg met een rapportje van een partij waar nog nooit iemand van gehoord heeft. Het is wel een rapport van KBPG. Dat heeft impact, want die naamkennis. En ik vind het jammer dat de top of mensen die er naar willen kijken, of die een rapport aanvragen, dat die dat belangrijker vinden soms dan de inhoud. Maar zij zijn ook niet in staat om in te schatten. Wat is nou een goede inhoud, of niet?

Maar dan moeten ze maar hiernaar luisteren, weet je het. Dan heb je managed services. Rondop cybersecurity kun je natuurlijk heel veel doen en zelf mensen proberen neer te zetten die 24 uur per dag gaan kijken of je gehackt wordt of niet. Nou, ondanks dat er veel gehackt wordt, toch vind je niet elke dag een hackplaat. En ook als je een goede sokoperator bent, dus iemand die in zijn meldkamer zit. Ja, het wordt best saai als je elke dag niet gehackt wordt. Tot eens in de drie jaar die ene dag wel, dan is het leuk.

Maar dan vond je het al zo saai dat je weg bent gegaan naar een bedrijf die niks anders doet dan er naar kijken. Want die hebben elke dag wel een paar hacks die bijna wel of net niet plaatsvinden. Wat dus uiteindelijk veel interessanter is. En dus mensen die dat erg gaaf vinden om, behalve bij een bank of zo, er gebeurt genoeg, of bij de diensten, die worden altijd wel aangevallen. Maar bij de meeste bedrijven is het denk ik gewoon zinloos als je het zelf gaat zitten doen. Besteed dat lekker uit. En ook voor de mensen die zo'n baan zoeken, ga bij een specialist zitten en ga niet bij een corporate zitten die ook een sok wil hebben.

Ja, dan heb je intel leveranciers. Mensen die hard bezig zijn om in kaart te brengen wat er allemaal gebeurt. En die verkopen die data en dat wordt dan weer gebruikt om alle apparatuur van die managed security providers weer te tunen en te zorgen dat er naar de goede indicators of compromise gekeken wordt. We hebben een bedrijf van als Record of Future, Mandiant, Eclectic. En die verkopen dat dus ook gewoon als een product. Gewoon alleen intel. Kan eigenlijk iedereen dat zo maar afnemen. Vond ik niet heel erg geodded of zo wie je nou precies bent, denk ik.

Maar het kost wel geld. Een serieus bedragen. En dat is voor zo'n leverancier wel lekker, want dat schaalt heel goed. Gewoon hetzelfde rapportje nog een keer en weer. Ik denk dat is consulting dit. Ja, consults proberen nog iets meer te fine tune, hoop ik. Ja, het logo veranderen. En dan heb je de hackers, de pen testers en de red teamers. Ja, dat is een beetje semantisch waar dat onderscheid zit. Pen test is meer denk ik, waar je heel erg naar een product kijkt wat gelanceerd gaat worden.

Van is dit veilig? En red team, dan kijk je met wat bredere context. Zoals een hacker ook kijkt. Hoe kom ik hier naar binnen? En dan pak je eventueel ook supply chain mee. Al eigenlijk is dat vaak uit de scoop. Ja, of de fysieke space. Of fysiek. Ja, dat je gewoon naar binnen gaat en USB-stickjes in de computer stopt. Bij alle politiebureaus waar je aangifte doet, zit je altijd tegen het achterkant van de computer aan te kijken. Dat is heel verleidend. Het ziekenhuis ook, bedenk ik me nu, nu je dit zegt. Ja, het ziekenhuis ook ja. Ja, ja. Dus incident response vind ik een interessante sector.

En bij al mijn bedrijven vind ik dat een heel belangrijke afdeling. Dat is eigenlijk zeg maar waar je door je gegarandeerd op de nieuwste aanvallen zit. Je kan ook niet iedereen op afsturen. Je moet echt wel een paar jaar al rond hebben gelopen in dit veld, om dat serieus goed te kunnen doen. En dat werkt dan twee kanten op. Je moet aan de ene kant het management goed begeleiden. Dus dat is iets meer beleidsachtig misschien een rol. Niet zozeer technisch, maar je moet de bedrijven helpen. Van hoe moet ik hier met omgaan in mijn bedrijf doen? En aan de andere kant is het super technisch.

Je leert nieuwe dingen waarvan je heel lang je mond moet houden. Maar het is wel, en dat is vaak een beetje commerciel gedacht, maar het is ook de beste lead naar een nieuwe klant als je incident response kan. En je ziet heel vaak dat die consultancypartijen, die hebben dus geen mensen op de bank zitten. Het voordeel van bedrijven zoals Xonderbouw is dat ze zorgen dat er mensen zijn die ook bezig zijn met product development. Die kunnen ook wel even een weekje naar buiten toe. Incentivesponsoren. Dat is ook leuk.

Dat is ook hartstikke leuk. En dan duurt het maar een week langer voor dat je eigen interne product klaar is. Maar dan heb je bijvoorbeeld de capaciteit dat je naar buiten kan sturen. En wat je nog hebt in Nederland en in Europa eigenlijk te weinig zijn de organisaties die echt producten bouwen, tooling bouwen, die dan weer verkocht wordt of soms via Saas. Maar dat is eigenlijk ook de commerciel gezien het meest interessante, want dat schaalt heel lekker natuurlijk. Je kan ze tienduizend keer hetzelfde verkopen. Dat is gewoon even maar één keer te investeren. Dat is het beste multiple die je kan hebben. Dan bouwen securityproducten.

Ik vind het altijd erg jammer dat we dat iets te weinig van in Europa zien. En dat is altijd vechten tegen de Amerikaanse marketing. Het is heel duur voor een bedrijf om dit op te bouwen. Je bent heel veel geld aan het verbranden in de hoop dat je het mooiste maar product maakt, wat er op dat moment geïnlanceerd gaat worden. Maar je moet ook minstens zoveel geld aan sales en marketing ook nog weggooien om het verkocht te krijgen. En dat is wat ik zelf ook conservatief in geweest ben, denk ik. En heel veel andere bedrijven ook. En waar heel moeilijk is om tegen Amerikaanse bedrijven op te boksen.

Maar wel heel leuk om te doen als je toch een plek weet te vinden in Europa. Academische wereld gellen. Wat hebben we daar allemaal? Ja, je hebt gewoon de universiteiten waar je in de slag komt. Je kunt natuurlijk de HBO's, de MBO's waar je van alles en nog wat kunt doen. Je ziet op de universiteiten verschillende rollen eigenlijk. Dus je hebt het hele onderzoeksdeel en je hebt het onderwijsdeel. En vaak op de universiteiten en de HBO's is dat gekoppeld. Dus je hebt hetzelfde dat iemand 100 procent onderwijs aan het doen is. Dus of 100 procent onderzoek. Die zijn er wel, maar dat zijn schaarse jobs vaak. Dus je ziet vaak een combinatie.

En dat is heel breed natuurlijk. Want we hebben heel veel universiteiten in Nederland, de TU's, maar ook gewoon de wat meer alpha universiteiten gericht op internationale betrekkingen. Cybersecurity, security studies. Dus je hebt gewoon heel veel keus hierop. Het carrièrepad wat je hier zou kunnen doen is docent worden. En daar merk je wel dat de HBO's en universiteiten wel steeds meer willen dat je iets van ervaring erin hebt. Een paar jaar geleden zagen we dat docenten die zelf nog nooit echt serieus gedaan hadden. Nee, zeker. En dat zie je op de HBO's dat je daar ook tegenwoordig als ZZP'er

op een cybersecurityopleiding ingehuurd jezelf kunt laten inhuren als je in de praktijk werkt. Dat is voor, wat is het, van 4 uur tot 16 uur. Ja, zeker. Dus dat merk je wel op de HBO's zeg je moet wel iets kunnen voor, wil je daar voor de klas staan. Op universiteiten heb je natuurlijk ook gewoon het pad van je doet je bachelor, je doet je master, je doet je PhD-candidate. Dus je gaat je proefschets schrijven, je grote stuk of je artikelen. En dat je daarna in een carrièrepad komt op een universiteit. En die rol vind ik dus heel leuk. Ik zit er nu in, dus ook weer biased as fuck dat ik dit vertel natuurlijk.

Maar wat ik er leuk aan vind aan het werk is dat contact met die studenten, weet je. Dus constant geconfronteerd worden met je eigen gaps in je verhaal en zo, vind ik leuk. Dan het onderzoek doen, dus dat je stukjes kunt schrijven vanuit academische vrijheid, maar ondertussen die stukjes wel relatief relevant kunt schrijven voor defensie of voor nationale veiligheid. Maar zijn al die studenten wel leuk dan? Ik kan me ook voorstellen dat eigenlijk de helft het alleen maar doet, waar we het begin al een beetje over hadden, zonder die interne motivatie. En dan denk ik nou, het klinkt wel vet, dus ik wil dat doen.

Ja, exact dit. Maar dit is zo'n normaal verdeling, toch? Dus je hebt 5 procent die is gewoon slecht, die kan het niet. En dan heb je 80, nee wat is het, 90 procent zit in het midden. En dan heb je die 5 procent die interessant is, want de mensen die het niet kunnen en die over de lijn trekken, dus die laagste 5 procent, dat is vet als docent. En die top 5 procent die is ook vet. Als je echt zo iemand hebt die na 5 jaar in, weet ik wel, wakker ziet worden in Zoetermeer bij de Joint Secret Cyber Unit, omdat je zo'n soort spark in zijn hoofd hebt gedaan van, yo wist je dat er iets als hacken bestaat en dat die gedurende, ze kamer, Militaire Academie, weet ik veel,

eens in de maand komt van, yo ik heb nu hack de box uitgespeeld, wat kan ik nu doen, zeg maar. Ja, voor dat soort gevallen doe je door die 5 procent over de streep te trekken en die 5 procent die heel goed is, eigenlijk naar een volgende niveau te begeleiden. We hebben één held in Nederland, ik kan ook een cyberheld noemen eigenlijk, hij is de makelaar van alle cybersecurity mensen in Nederland, Fred Smulder die een aantal van jullie wel kennen, ik ken hem in ieder geval heel goed. Hij kent volgens mij echt iedereen in dit cybersecurity landschap en weet mensen op hele leuke inspirerende plekken ook altijd neer te zetten.

Maar straks, voordat we met Fred aan de gang gaan, is misschien toch wel leuk om Jelle te vertellen gewoon, hoe jouw pad nou is gegaan. Ja, en bij mij is het ook weer als je net waar startt dit, dat is gewoon met computeren. Ik ben begonnen met Flash dingen bouwen, ActionScript 3 daarin dingen bouwen, zeg maar. Dus die computer zat er altijd wel in. Toen dacht ik, joh ik wil naar Afghanistan, ik wil leiding geven in de meest moeilijke omstandigheden, meer Defensieacademie gedaan. En toen op een gegeven moment bezuinigingen en toen ben ik allerlei software weer gaan bouwen, omdat ik dacht van joh dat is leuk en ik moest een master doen.

En toen zeiden ze, yo, dit klinkt als cyber, in 2012 was dit. Dus software development, data engineering, data analytics. En toen ben ik hier ingerold, het is totaal random pad eigenlijk. En wanneer ben je toen alptenaar van het jaar geworden? Nee, dat was ik, even kijken, 2018. Oh ja, en wat was je toen aan het doen? Wat was je werk toen? Nou vooral, ik was toen PhD-kennende, dus ik was bezig met mijn promotieonderzoek, maar dat vond ik best wel saai, dat schrijven. Dus toen ben ik naar Mali geweest om met 360-grade camera's

en drones te experimenteren, data engineering dingen. Toen heb ik appjes gebouwd naast mijn proefsgist en toen zeiden ze, yo, moet je niet jong amptenaar van het jaar worden? En dat was mijn werk toen. Oh, en dat is niet helemaal het beeld wat mensen normaal hebben van een amptenaar. Nee, dat is het juist. Daarom zeg je van, yo, dit is anders. Marco, jij hebt een wat meer technische route, denk ik, gehad door jou in stap? Ja, bij mij eigenlijk delen vergelijkbaar met Jelle. Ik ben heel vroeg begonnen met softwareontwikkeling voor online spelletjes.

Ik had geen idee wat ik aan het doen was, maar achteraf vond ik code terug, was ik C-sharp aan het programmeren om dan van die NPC's in games tevoorschijn te laten komen en zo. Dat is wel geinig. Maar goed, dat heb ik op een gegeven moment wel een beetje losgelaten. Toen ben ik naar Defensie gegaan. Ook met die soort van maatschappelijk belang willen dienen en ook leiding geven. Maar gaandeweg toch tot de conclusie gekomen, dat had mijn technische hart eerst nog even wat, die begon snel te kloppen. Dus toen, een niet zo heel conventioneel pad bij Defensie eigenlijk bevandeld, waar ik als officier in de technische uitvoer heb gezeten. En van daaruit eigenlijk binnen Defensie de hele cyberspace ingerold.

Want ik ben mee gegaan met wat begon met Task for Cyber later, Defensie Cyber Commando en dus uiteindelijk naar DSU. En nu in de prizatenwereld. Ja, precies, ja. Ja, dus nu inderdaad de hele stap van Defensie weg en een hele andere kant op. En Watchman combineert een hele hoop. Dus aan de ene kant consultie, aan de andere kant een hele hoop interne ontwikkelingen. Dat is echt zo divers en dynamisch en super tof. En ergens ben ik ook weer meer gefocust op leiderschap. Dus er komt een hele hoop samen in allerlei rollen. Ja, eventjes zo'n dingetje wat mensen altijd denken.

Als je dan bij de overheid werkt, verdien je veel minder dan wat je nu verdient. En privaatbedrijf? Volgens mij zijn de salarissen heel marktconform. Oké, gaan we ook even vragen straks aan Fred. En Ronald, jij dan? Want je bent ooit begonnen met Fox IT, maar je hebt Fox IT opgericht en daarna heel een hoop andere dingen gedaan. Hoe kijk jij terug op je eigen pad? Ja, dat hangt vol met toevalligheden, denk ik. Ik heb gewoon altijd gedaan wat ik leuk vond. En dat heeft me heel veel gebracht met film Mazel. En ja, ik ben gaan studeren omdat ik nog geen zin had om te werken.

En ik vond het wiskunde heel leuk. Dus toen ben ik dat maar gaan doen. En als je dat kan, is het een hele makkelijke studie eigenlijk. Als je het niet kan, haal je het gewoon in. En ja, daarna, mijn vrouw werkt al bij het NFI. Bij de DNA afdeling. En die zei toen, hier is allemaal computers hier. Kun je eens komen kijken? Nou, toen kwam ik kijken en die weer weg gegaan. En toen was ik daar lekker bezig. En toen kwam de BVD opeens langs. Die zei, hoor, als je aan het kraken bent, we hebben ook nog een vuilniszakje met sloppies. Hier alsjeblieft, ga jij kijken hier eens naar. Nou, dat lukte ook.

Toen zei ze, kom maar gelijk hier werken dan ook, want we moeten niet steeds naar het NFI te rijden. Dus toen ben ik die overstappen weer gemaakt. En toen kwam ik bij de dienst inderdaad. En toen bleek het dat er eigenlijk helemaal geen wetgeving was voor de dingen wat ik wel kon. Dus toen dacht ik, nou, dan ga ik weer weg. Toen ben ik naar mijn vriend gegaan die nog bij het NFI werkte, Mennel van de Maron. En hij kwam volgens mij met het idee, tijdens het koorsje van, moeten we niet gewoon een bedrijf beginnen? Ik zei, nou ja, oké. Dus eigenlijk, ik ben altijd een hartje meegenomen. En toen zei hij, we gaan dat maar doen.

Hé, Fred. Ja. Jij bent er, hè? Ja, je hebt een tijdje meegeluisterd. Ja. Ja. Hey, Otsel, het is leuk dat je even mee wilt denken en praten. We willen deze aflevering eigenlijk een beetje invullen voor allemaal mensen die zich afvragen, ja, hoe werkt dat landschap nou rondom banen? Wat moet ik studeren? Wat voor soort banen kan ik krijgen dan daarna? Ja. Nou, als jij ons gehoord hebt, wat denk je allemaal dan? Nou, wat mij bij jullie, alle drie eigenlijk enorm opvalt, is dat je je passie voor technologie,

misschien eigenlijk al wel voor je studie bestond. En dat je alle drie superveel uit eigen motivatie al hebben gedaan om ergens heel goed in te worden. En ik denk dat dat uiteindelijk ook voor, zeker voor spartakens nu, gewoon superbelangrijk is, dat je je realisert van, hey, het is niet alleen de studie die gaat bepalen hoe ik trek er om.

Dus als je niet al bezig bent nu om met, nou ja, wat nu in het meurtlandschap belangrijk is, denk ik, is allemaal al die AI en zo. Als je er nog niet naar gekeken hebt, dan moet je eigenlijk wel lastig. Dan moet je ook maar niet gaan beginnen eigenlijk en niet denken dat je een carrière gaat krijgen. Nee, nee, ik denk, wat je ook net terecht zegt, is dat die functies die gaan zo snel veranderen. Ik denk dat we nu niet weten hoe een instapfunctie binnen Sniper, hoe die er over drie jaar uitziet, niet te vergelijken.

En ben jij zelf nog een beetje bang voor de toekomst in het werkveld? Jouw salaris is afhankelijk van hoeveel mensen je per jaar weet te plaatsen, denk ik. Maar er gaat een grote kaalsslag plaatsvinden in het hele cyber security landschap. Nou ja, nee, ik denk voor echte specialisten is altijd ruimte. En ik denk ook dat je, zoals ik kijk naar loopbanen van mensen, dan ontwikkelen je je gewoon op een bepaalde manier en die ontwikkeling kun je niet altijd doormaken op de plek waar je op dat moment zit.

En dan zijn mensen zoals ik die met jou mee kunnen denken over waar je die stap dan wel te kunnen zetten, die zijn nog steeds heel relevant. Maar de volumes zullen misschien wel lager worden en dan gaat gewoon je prestage omhoog. En dan hebben we alle functies. Je hebt ook precies over die salaris bij de Alfa-Ride. Nou, ik denk dat de overheid op heel veel operationele rollen ontzettend competitief beloont.

Dus daar zie ik best wel veel mogelijkheden en ze bieden ook echt wel veel opleidingsmogelijkheden naast je baan. Dus ik denk dat daar ook echt wel relevante dingen. Maar kan je daar bij de overheid als tophacker meer verdienen dan jouw manager? Oeh, dat zal wel lastig zijn, maar dan weet jij hem misschien wel beter dan ik. Nee, dus de teamleiderrol zit op een schaal 13 en een hacker kan ook op een schaal 13 zitten.

Maar ik denk wel dat bij de dienst een beetje een uitzondering is. Oh fuck yeah, zeker. Nee, dat is waar. Die geef ik gelijk toe. Er zit een beetje reclame voor hen te maken, want als je dus geld wilt verdienen moet je daarheen gaan. Klopt dat schuld? Zeker, maar tegelijkertijd zeg ik er ook meteen bij dat het ook weer lastig kan zijn om de kennis en ervaring die je op en bij de dienst weer te kapitaliseren als je de dienst wil verlaten. Hoe legt dat dus uit dan?

Nou, omdat lang niet... Eén kun je niet altijd zeggen wat je precies gedaan hebt, waardoor het voor de partij die jou wil aannemen moeilijk is om in te schatten hoe dat voor waarde gaat zijn voor die organisatie. En het vaak heel specialistisch werk is, ja, wat sowieso, het is denk ik in het algemene zin best wel lastig om uit je vertical te komen. Dus als je een enorme waarde toevoegt in bijvoorbeeld het overheidslandschap,

hoe ga je die dan weer nuttig maken binnen een andere organisatie? Ik denk dat heel veel mensen dat ook onderhoeft gaten. Ik vind het interessant dat je dat stelt, want ik kom natuurlijk bijna 16 jaar defensieervaringen toen naar de private markt gegaan. En ik had precies diezelfde vraagtekens van, goh, ik kan een hele hoop dingen niet vertellen, toen durfde ik al helemaal niet zo open te zijn als ik nu inmiddels wel ben. En ja, hoe ga je nou eigenlijk dat unieke landschap wat de overheid je biedt, ook internationale samenwerking, weet ik wat er allemaal aan te pas komt,

hoe ga je dat vertalen naar iets wat relevant is voor een bedrijf? Ik had niet eens verstand van wat ik in het middelbedrijf nodig heb, zeg maar. Ja, dat herken ik. En als je het nog iets plastischer maakt, als je bijvoorbeeld jarenlang op een cert hebt gewerkt en je wilt daar weg, dan ben je weer gegroeid in bijvoorbeeld naar een bepaald slaag niveau, wat best wel significant is, dan werk je je wisseldiensten en dergelijke. En als je dat vervolgens wil kunnen toepassen binnen het energiesector,

dan is het heel moeilijk om die overstap te maken. Ik zou ook niet begrijpen waarom iemand zijn overstap zou willen maken. Nou ja, kindjes, wat meer rust, niet meer naar Mali gevlogen worden om daar te gaan hacken en zo. Bijvoorbeeld. Hey, wat voor mensen die een carrière voorzien in dit werkveld, want het blijft nog steeds interessant, komen die jaren denk ik, wat zou je hun adviseren?

Zoveel mogelijk al naast je studie gaan ontwikkelen. Ik zou proberen zo breed mogelijk je ervaring op te doen, zodat je niet te snel in een soort carrière tunnel terechtkomt, waar je niet meer uitkomt. Dus een paar jaar overheid, een paar jaar privaat, een paar jaar onderzoek, zoiets of zo? Ja, maar ook bijvoorbeeld dat je niet in één functiegebied je doorspecialiseert.

Want als jij alleen maar tussen aandachtstekens pen testen hebt gedaan, of van developer naar pen tester, en om dan nog een overstap weer te maken, kan gewoon best wel lastig zijn. Dus hoe breder je je ook in functies kunt, als je die kans hebt, zou ik dat zeker doen. En dan zijn dienstverleners als onderdeel van je werkervaring, de security dienstverleners, zorg ook dat je een breed beeld krijgt van alle bedrijven

die te maken hebben met cybergerelateerde functies. En ik denk dat daar uiteindelijk ook nog wel een enorme toename in hele leuke rollen gaat komen, omdat die eindklanten of die organisaties die echt iets maken, of leveren, dat hun niveau ook steeds verder omhoog moet. Dus daar zullen we steeds meer rollen komen, die denk ik heel leuk en uitdagend kunnen zijn. Laatste vraag van mijn kant is, zie jij nu opeens een toename

en heel veel andere type profielen vanwege AI? Zijn bedrijven er al zo mee bezig dat ze denken ik heb een ander soort mensen nodig? Ja Fred, ook nog even één laatste vraag, maar jullie website is f****** dik. Wat is de URL? Ja, t.nl, tangojenkypapa.nl, met kattenfoto's en alles. Waarom heb je deze website zo gebouwd en wie heeft hem gebouwd? Nou, thanks voor het compliment. Uiteraard is het gebouwd met AI. De jongens van Buitved hebben het gemaakt.

Heel vet. Wat ik wilde was gewoon niet je typische f****** recruitment site, waar je eigenlijk helemaal niets te maken wil hebben. Ik ben ook een beetje een technologie nerd, dus ik hou ook van die oude dingen. Ik heb deze ook allemaal zelf ooit bediend. Ik wilde ook heel graag iets wat continu in ontwikkeling kan zijn. Er zitten ook gewoon heel veel gimmick dingetjes in.

Ik poste toevallig net iets dat je ook de 1985 skin van Apple, die kun je als je de easter egg vindt, zo krijgen. Supervet. Je kan gewoon een website met een terminal gebruiken. Niks te zeggen. Niks met muis gebruiken, lekker klinken, welke type. Waarom wilde je het? Je wil iets wat jouw klant ook snapt.

Ik geef best wel veel vragen. Ik kan een bepaald dingetje in, ik kan die prompten tegen jou vacatures. Dat soort dingen vind ik alleen maar mooi als je die interactie ook hebt met je doelgroep. Dus mensen die een baan zoeken, kunnen ook gewoon de AI vragen om onze vacatures continu te schenen. Hebben jullie genoeg reclame gemaakt zo ondertussen? Sorry. Als je een vraag hebt over dit hele mooie onderwerp en je wilt van ons weten,

wat moet ik nou wel of niet doen, dan kan je die sturen naar vragen. HetCyberHelden.nl of naar Fred bij type. We vinden het leuk om dit soort afleveringen te doen. Dus als je vragen hebt waar we meer aandacht aan moeten besteden, laat het weten. En als er minder kwantum in moet zitten, hoef je dat niet te laten wekenden. Elke week kun je naar een nieuwe aflevering van Cyber Helden luisteren. Onze gesprekken met de Cyber Helden kun je terug luisteren via Spotify of je eigen favoriete podcast app. Vergeet niet te subscriben, want dan krijg je vanzelf weer een notificatie als er een nieuwe aflevering klaarstaat. Dit stukje hoor, niemand en iedereen is al afgeraakt.

Veel dank voor het luisteren en graag tot de volgende keer. Tot de volgende. Later. Tot de volgende keer.