Computersystemen hacken is voor Rogier Fischer (28 jaar) een vorm van ontspanning. Het heeft veel weg van gamen, zegt hij. Net als in een videogame jaagt een hacker een bepaald doel na en blijft hij manieren zoeken om dat te bereiken. En als hij eenmaal binnen is, geeft dat een kick, omschrijft de twintiger het gevoel op het Amsterdamse kantoor van zijn bedrijf Hadrian.
De mensen die hij aanneemt, herkennen dit. Zij zijn ook, zoals Fischer het zegt, „creatieve nerds die het leuk vinden een systeem te doorgronden”. Het jonge cybersecuritybedrijf heeft ruim twee jaar na de oprichting al 75 mensen in dienst, het merendeel in Amsterdam en Londen. Types als Fischer. Gedreven techneuten in no-nonsense-outfits die kunnen hacken. Het bedrijf is gespecialiseerd in ‘offensieve’ cybersecurity. Gaten in de digitale beveiliging opsporen, dus. Daar is een snel groeiende markt voor.
Fischer begon daar zelf mee toen hij nog in Utrecht naar de basisschool ging. Als hij zijn weektaak af had, kreeg hij van een leerkracht ‘plus-taken’. Daar zat ook een module website bouwen bij. Daarna was het volgens hem een kleine stap naar thuis puzzelen met computercodes en online inbreken.
Net als veel games kent de hackerswereld ranglijsten. Het geeft een dopaminerush om hoog in een overzicht van de beste ‘bug hunters’ van grote bedrijven te komen – hackers die jagen naar fouten in software. Die lijsten vind je online met de zoekterm ‘Hall of Fame’ en de naam van het bedrijf, zoals Microsoft, Google of Facebook.
En er zijn beloningen. Als klein jochie vroeg Fischer als bedankje een balpen van de bedrijven waaraan hij meldde dat hij door hun beveiliging was gedrongen. Zijn latere zakenpartner bij Hadrian, Olivier Beg – ze leerden elkaar als twaalfjarigen kennen op een online hackersforum – vroeg om T-shirts.
Tegenwoordig betalen veel bedrijven ervoor als ethische hackers een lek bij hen melden. Dat loopt uiteen van 50 dollar voor een simpel foutje in de software tot tienduizenden dollars voor een groot lek. Ze hebben de voorwaarden daarvoor op hun website staan. Wie meer wil verdienen, kan er ook voor kiezen zaken te doen met inlichtingendiensten. Voor digitale oorlogsvoering en spionage hebben die ‘zero days’ nodig – dat zijn fouten in de software van een doelwit die nog niet zijn gerepareerd, waardoor bijvoorbeeld de encryptie omzeild kan worden. „Die markt is extreem groot”, vertelt Fischer.
Fischer en zijn vroegere hackersmaatje Beg bedienen een ander deel van de cybersecuritymarkt. Beg noemt zich nu ‘Chief Hacking Officer’ of ‘Head of Hacking’. Het bedrijf verkoopt hacken als een geautomatiseerde dienst aan bedrijven en instellingen die het belangrijk vinden het zo snel mogelijk te weten als er een lek in hun digitale buitenmuur zit. Eerst bepaalt software van Hadrian met behulp van AI waar een bedrijf kwetsbaar is. Vervolgens simuleert het bedrijf op maat gemaakte aanvallen om de verdediging te testen.
„Door echt binnen te komen, bewijzen we dat het risico reëel is. Bedrijven beseffen vaak niet hoe kwetsbaar ze zijn. Dat gaat veel verder dan hun website. Ook via een klok of een klimaatbeheersingssysteem dat online wordt bediend, kan een router bereikt worden en daarmee het hele netwerk.”
De twee begonnen de onderneming tijdens de coronapandemie. De MBA-opleiding die Fischer in Londen volgde, ging vervelen. Hij had zin en energie om er iets naast te doen. Startkapitaal was bovendien geen probleem, want hij had het merendeel van zijn aandelen in cryptobeurs LiteBit verkocht. Die had hij als middelbare scholier gebouwd.
Binnen een half jaar na oprichting van Hadrian haalden ze 14 miljoen euro op, vooral bij Duitse en Amerikaanse investeerders. Hoewel de eerste klanten ook in de VS zaten, zegt Fischer nadrukkelijk met Hadrian een „Europese cybergiant” te willen worden. „We hebben hier meer ingenieurs, meer talent, dan er in sommige andere landen is. De lonen liggen bovendien 2,5 keer lager dan in de VS. Nergens voor nodig om alles van de Israëliërs en Amerikanen te kopen.”
Voor investeringen moest je niettemin zelf ook naar de VS. Wat zegt dat?
„Als start-up kun je daar veel gemakkelijker met bedrijven praten. Een bank heeft daar een innovatietak die voortdurend bekijkt wat interessant is om in te investeren. Wat ook speelt: ze zijn daar al meer gefocust op cyber en hebben er meer in geïnvesteerd. Daar is Nederland wat conservatiever in.
„Er is ook altijd een beetje scepsis over Nederlandse technologie, of die wel net zo goed is als Israëlische of Amerikaanse. Inmiddels blijkt uit onafhankelijke rapporten dat wij het beter doen dan wat een IBM of [het cybersecuritybedrijf] Palo Alto bouwt. Bedrijven investeerden tot nu toe nog vooral defensief, in virusscanners, VPN’s, firewalls. Dat verandert.”
Kan dat wel, jezelf echt goed aanvallen? Is het niet logisch dat de nadruk meer op verdediging ligt?
„Ja, dat kan wel. Dat kan wel. En het is ook heel verstandig het te doen en niet te wachten tot je gehackt wordt. Nederlandse banken hadden tien jaar geleden al behoefte aan wat wij nu doen. Zij hebben in die periode zwaar geïnvesteerd om alles zelf te bouwen en dus offensief de beveiliging te testen. Nu is het duur dat te blijven onderhouden.”
Hadrian heeft een aantal banken in de VS en Europa als klant, meerdere winkelketens en onder meer bedrijven in de energiesector, voor wie de schade enorm is als ze stil komen te liggen door een aanval met gijzelsoftware.
Omdat hacken een belangrijke functie kan hebben, wordt het in Nederland al jaren gedoogd. Computervredebreuk staat in het Wetboek van Strafrecht, maar wordt niet vervolgd als de inbraak vervolgens niet crimineel is gebruikt, zoals voor het stelen van gegevens of om iemand af te persen. Dat is het verschil tussen ethisch en crimineel hacken.
Mede hierdoor is er een levendige gemeenschap van vrijwilligers ontstaan. Die werken onder meer samen in het Dutch Institute for Vulnerability Disclosure (DIVD) en het online platform voor hackers HackerOne. Dat begon in Groningen en is inmiddels een Amerikaans bedrijf waarbij een leger van meer dan een miljoen hackers is aangesloten. Ze melden voortdurend kwetsbaarheden bij bedrijven en overheden.
Lees ook
interview met de Nederlandse oprichters van HackerOne
In zekere zin zijn de vrijwilligers concurrenten van Hadrian, maar zo ziet Fischer dat niet. Het zijn ook vrienden, en bovendien: „Bij vrijwilligers moet je altijd maar afwachten of je beveiliging echt getest wordt. De belangen zijn zo groot dat bedrijven het zeker willen weten. Die nemen onze dienst af.”
De overgrote meerderheid van de hackers doet het niet voor het geld, maar voor de sport en de eer, benadrukt Fischer. De meeste computercriminaliteit, zoals bedrijven aanvallen met gijzelsoftware of chantage met gestolen data, wordt niet door hen verricht maar door wat Fischer ‘script kiddies’ noemt: mensen die vaardig genoeg zijn om de gaten in de beveiliging die anderen hebben gevonden te misbruiken, maar die niet in staat of te lui zijn zelf iets nieuws te vinden. In de hiërarchie een sport lager op de ladder.
En een klein deel van de hackers ontspoort. Ook die wereld heeft hij leren kennen.
Op 24 januari 2023 om half vijf ’s middags sommeerde de politie Fischer telefonisch om onmiddellijk naar het kantoor van Hadrian te komen. Anders zouden ze de deur intrappen voor een huiszoeking. Hij herinnert zich de exacte datum, want Hadrian maakte net die dag wereldkundig dat ABN Amro miljoenen in hun bedrijf stak.
Eenmaal op kantoor bleek dat twee dagen eerder een arrestatieteam een van zijn werknemers had opgepakt. De jongen van twintig was thuis overmeesterd terwijl hij op zijn computer aan het werk was en met een zwarte zak over zijn hoofd afgevoerd. Hij werkte sinds een jaar voor Hadrian en was daarnaast ook actief als vrijwilliger bij de DIVD. Een begaafd hacker. „Hij heeft duizenden bedrijven over bugs geïnformeerd. Bij ons stonden alle seinen op groen. Aanvankelijk dachten we echt dat het een misverstand was.”
De werknemer zat een maand lang in beperkingen. Het duurde daardoor weken voordat bekend werd dat hij hoofdverdachte was in een grootschalig internationaal onderzoek naar datadiefstal, datahandel en afpersing. Hij had samen met twee medeverdachten miljoenen persoonsgegevens gestolen en verhandeld. Hij had dus precies het omgekeerde gedaan van ethisch hacken. Slecht nieuws voor een bedrijf dat naam probeert te maken in de beveiliging. De medewerker werd op staande voet ontslagen.
Toen doordrong dat het echt niet goed zat, was Fischer op vakantie. Vanaf zijn vakantieadres belde hij alle klanten van Hadrian. Die wilden vooral weten of de werknemer ook hun bedrijf was binnen geweest. Hij kon ze geruststellen.
„We waren bezorgd over onze reputatie en de impact op het bedrijf, maar we zijn blijven groeien. Na verloop van tijd gaat het gewoon weer beter.” Op het team was de impact groot. „Je vertrouwt iemand en dan kom je erachter dat je dit af en toe toch niet zo gemakkelijk kunt doen. We hebben vooral veel open gesprekken hierover gevoerd.”
De inmiddels ex-werknemer werd in november veroordeeld tot vier jaar cel, waarvan één voorwaardelijk.
Briljante markt
Het heeft de groei van Hadrian gelukkig niet gehinderd, zegt Fischer. Het aantal klanten in Europa groeit, onder meer doordat Italiaanse banken de dienst zijn gaan gebruiken. „Zeker op boardniveau vinden bedrijven het leuk dat we eindelijk zo ver zijn dat ze geen Amerikaans of Israëlisch bedrijf meer hoeven in te schakelen. De eerste twee, drie jaar zijn heel moeilijk in Europa, maar als je eenmaal een bepaald niveau hebt bereikt, is het een briljante markt om achteraan te gaan.”
Tijdens de inhoudelijke behandeling van de zaak tegen zijn werknemer door de rechtbank van Amsterdam zat Fischer in de zaal. Daar bleek dat hacken de werknemer hielp om beter om te gaan met moeilijkheden uit zijn jeugd en zijn psychische problemen. „Hij had verschillende trauma’s. Zijn coping mechanisme was obsessief hacken”, vertelde zijn advocaat in een podcast. Toen hij bij Hadrian ging werken, stopte hij met de criminele activiteiten en stortte hij zich net zo obsessief op het ethische hacken.
Er zijn indicaties dat hacken, net als gamen, verslavend kan zijn. Dat blijkt onder meer uit een verkennende studie in opdracht van de Europese politieorganisatie Europol.
Het proces was „intens”, zegt Fischer. De ex-collega „heeft heel veel potentie. Het is heel jammer dat het fout is gegaan. Eigenlijk herkende ik mezelf een beetje in hem. Ik heb altijd steun en mensen om me heen gehad die me op het padje hebben gehouden. Ik denk dat hij wel heel veel goed had kunnen doen als hij een betere jeugd had gehad.”
Als de oud-werknemer vrijkomt, is hij 24 jaar. Dan zijn er nog genoeg bedrijven en inlichtingendiensten geïnteresseerd, verwacht Fischer. „Ik denk dat hij nog steeds heel veel goed kan doen.”
/s3/static.nrc.nl/images/gn4/stripped/data115602719-e56643.jpg|https://images.nrc.nl/XBy0e8s3HkxQ668ZOeLcsI1igak=/1920x/filters:no_upscale()/s3/static.nrc.nl/images/gn4/stripped/data115602719-e56643.jpg|https://images.nrc.nl/3NygT-nfBNbxqNSLJnN6nVAwKQA=/5760x/filters:no_upscale()/s3/static.nrc.nl/images/gn4/stripped/data115602719-e56643.jpg)
