In het Hoofd van de Hacker als kennismaking met een doelgroep: de overheid

HoofdvdHacker630Er zijn uitnodigingen waarbij je direct denkt: daar moet ik absoluut naar toe of daar heb ik écht niks te zoeken. Er is ook een categorie waarvan je het niet direct weet. In het Hoofd van de Hacker, dat afgelopen week in Den Haag werd gehouden, is een voorbeeld van die laatste categorie.

Kijkend naar het programma, door de bril van een hoster, was er niet direct reden super enthousiast te worden. Helemaal niet omdat het samenviel met een iets grotere activiteit in het Duitse plaatsje Rust. Een paar dagen WHD of een dag Den Haag – voor menig hoster is daar geen sprake van een lastige keuze. Toch valt daar iets op af te dingen en dat heeft alles te maken met de begrippen doelgroep en focus.

Dit was namelijk – bedoeld of onbedoeld – een goede gelegenheid te begrijpen waar een dwarsdoorsnede van de overheidsdiensten mee worstelt als het gaat over de digitale wereld. Die dwarsdoorsnede zat namelijk in de zaal. Of zoals dagvoorzitter Edwin van Andel aan het begin zei: “ik vind het leuk dit te doen, maar ook wel een beetje spannend. Dit is namelijk niet een zaal met hackers maar met gewone mensen”. En die gewone mensen, die werden in hoog tempo meegenomen in een aantal presentaties. Voor menigeen zal het schrikken zijn geweest: hackers zijn er in alles soorten en vormen. Het cliché beeld werd door alle sprekers (gelukkig maar!) met de grond gelijk gemaakt. Alleen daardoor kan bij deze groep toehoorders het besef doordringen dat hacken en hackers onmogelijk in 1 hokje te plaatsen zijn.

Vervolgens kreeg de zaal uitgelegd dat hacken mag. Pardon? Ja hacken mag, mits aan een aantal voorwaarden wordt voldaan. Dus de zaak van het veroordeelde Kamerlid Henk K. werd genoemd, de hack van het Groene Hart ziekenhuis en natuurlijk het succesvolle ontleden van de OV Chipkaart onder leiding van Hoogleraar digital security Bart Jacobs.

Voor insiders zaten in al die uitleg wel de nodige humor verstopt. Ronald Prins die opmerkte dat bij de hack van het Groene Hart ziekenhuis hetzelfde “[merknaam] dingetje speelde als eerder bij KPN” deed sommigen aanwezigen gniffelen. De opmerking van Chris van ‘t Hof dat het niet slim is 7,5 gieg aan data van een ziekenhuis server te kopiëren werd dan weer door de hele zaal begrepen.

Naast de humor was er ook bij de sprekers de nodige kritiek te horen. Prins die toegeeft dat ook bij hem de term “ethical hacker” wordt gebruikt, omdat inkopers dat op de offertje willen zien in plaats van “pentester”. Dat is het soort input waar ook aanbieders van internetdiensten eens dieper over na mogen denken: gaat het om de naam van het proces of willen we echt problemen oplossen?

Dat zag je ook later bij de workshops wel terugkomen: focus op de naam van processen en daarmee de vorm (een hacker heeft altijd een hoodie aan en phishing mails zijn altijd in slecht Nederlands zijn daar voorbeeld van) zijn voor sommigen de eerste valkuil.

Onbegrijpelijk was trouwens dat de alom bekende IT overheidsleverancier C. op deze dag schijnbaar USB sticks durfde uit te delen. De aanwezige pentesters, oh nee ethical hackers, reageerden daar allemaal op dezelfde manier op: hoofdschuddend. Maar aan de andere kant: het is wel leerzaam. Als je overheden als klant hebt of krijgt, weet dan dat een deel van de kennis daar ingegeven kan zijn door leveranciers die ook niet altijd even super alert, cyberbewust en digivaardig zijn.