Ontmoet Cybersecuritydocent Arjen Wiersma

Cybersecuritydocent Arjen Wiersma weet niet alles. En daar is hij goudeerlijk over. Misschien gebeurt dat als je je de hele dag bezighoudt met gevoelige informatie – raakt die gevoeligheid zijn lading dan kwijt. Een gesprek over zijn docentschap, rolmodellen, verjaardagscadeaus, en natuurlijk over privacy. ‘Het gaat niet zozeer over de vraag of je dingen te verbergen hebt, maar over het feit dat je dingen hebt die van jóú zijn.’

Om maar gelijk met de deur in huis te vallen: als ethical hacker kun je goud geld verdienen. Wat doe je dan voor de klas?

Ha, je bent bepaald niet de enige met die prangende vraag. Maar ik denk maar zo: geld is maar één facet van wat je doet. Wat mij betreft zit er veel meer waarde in iets doen wat je leuk vindt, en waar je iets voor terugkrijgt wat je niet in geld kunt uitdrukken. In mijn geval is dat energie. Ik werkte jaren in het bedrijfsleven, maar in 2016 begon ik als experiment met wekelijkse gastcolleges aan de Hogeschool van Amsterdam. Dat was oprecht het hoogtepunt van mijn week. Ik werkte fulltime en moest dan ná mijn werk nog lesgeven, ’s avonds, vaak wel tot een uur of half elf, waardoor ik dus echt pas laat thuis was – maar ik werd er ontzettend blij van. 

 

Geld is maar één facet van wat je doet.

Denk je dat dat enthousiasme jou een goede docent maakt?

Ik denk wel dat de studenten die energie voelen, ja. Ilees bijvoorbeeld nooit op wat er in het boek of op de EdHub staat, maar wil graag verdiepen, discussies voerenstudenten laten zien hoe ze de theorie in de praktijk kunnen toepassen. Ik zorg ervoor dat mijn lessen relevant zijn, actueel, en dat ze concreet zijnEn ik ben bloedje-eerlijk. Ik weet wat ik weet, en wat ik niet weet, weet ik niet. Dat zeg ik ook gewoon. Dus als een student meer weet over een onderwerp dan ik, bijvoorbeeld omdat hij in dat vakgebied werkt, dan vind ik het alleen maar leuk als hij of zij de les even overneemt.’ 

En ik ben bloedje-eerlijk. Ik weet wat ik weet, en wat ik niet weet, weet ik niet.

Je gaf les aan verschillende hogescholen, maar uiteindelijk heb je toch voor NOVI gekozen. Waarom? 

Vanwege het innovatieve karakter van NOVI. De meeste scholen zijn vrij log, en langzaam ook, maar NOVI beweegt veel. Als er iets niet is zoals je het zou willen, kan er heel veel veranderen, en daar hou ik van. Ik vind het leuk om dingen te verbeteren, ze up-to-date te houden en vernieuwingen aan te brengen.’ 

Dat is natuurlijk ook wat je als ethical hacker doet. 

Klopt. Als ethical hacker – of legal hacker, zoals de overheid het tegenwoordig noemt – gaat het er echt om dat je nieuwsgierig bent, op onderzoek uitgaat, kwetsbaarheden opspoort, die kwetsbaarheden correct meldt en op die manier dus zorgt voor verbetering.’ 

Dat is een heel ander plaatje dan het stereotiepe beeld van de hacker die ergens op een zolder anoniem banksystemen platlegt en mensen afperst met gevoelige informatie. In hoeverre heeft jouw vakgebied daar überhaupt nog iets mee te maken? 

‘Helemaal niet. Dat beeld klopt voor geen meter. In films en series is de hacker vaak de slechterik die met drie drukken op de knop de halve wereld overneemt, zoals in CSI Cyber en MacGyver, maar dat beeld staat ver van onze realiteit. Mr. Robot is dan beter, omdat ze daar heel mooi laten zien hoe een hack eraan toegaat. Maar dat hoofdpersonage is dan weer een anarchist die de hele wereld wil opblazen – dus ook niet per se de beste reclame voor ons vakgebied. We missen echte rolmodellen.’ 

Hoe komt dat, denk je? 

‘Ik denk doordat hacken voor buitenstaanders redelijk saai en omslachtig lijkt. Alsof je kijkt naar iemand die een extra moeilijke kruiswoordpuzzel aan het oplossen is: die leest de beschrijving, telt de vakjes, denkt na, schrijft af en toe wat op… Niet echt spannend om te zien. Maar als je eenmaal in die community zit, in het vakgebied, is het waanzinnig interessant. 

En superrelevant, ook 

‘Ja, precies. Voor iedereen. Veel mensen zeggen nog steeds dat ze niets te verbergen hebben als het gaat over privacy, maar als ik zo iemand tegenkom, vraag ik altijd: heb je gordijnen thuis? Doe je de deur dicht als je op de wc zit? Privacy gaat niet zozeer over de vraag of je dingen te verbergen hebt, maar over het feit dat je dingen hebt die van jóú zijn. Dat is een subtiel, maar wel een belangrijk verschil. Want als je niks meer hebt wat van jou is, wie ben je dan nog?’ 

Dat klinkt best zweverig. 

‘Maar dat is het niet. Het is zelfs heel concreet. Ik ben bijvoorbeeld getrouwd, en mijn vrouw is superlief. Als ik bijna jarig ben, of onze trouwdatum komt eraan, dan denkt zij:laat ik hem verrassen. Maar als je in hetzelfde huis woont en je zoekt iets op op internet, dan is er een aan zekerheid grenzende waarschijnlijkheid dat de ander daar nog geen tien minuten later op een ander apparaat een advertentie van krijgtWeg verrassing. Ik denk dat we dus met z’n allen veel meer verantwoordelijkheid moeten nemen voor gegevens die ons definiëren. Want op een heel basaal niveau worden we wel gewoon bespioneerd. 

Kan hacken helpen bij het nemen van die verantwoordelijkheid?  

Hacken maakt je zeker bewuster van je eigen kwetsbare positie en je veiligheid.  

En is dat dan iets wat iedereen kan leren, of heb je er talent voor nodig? 

Ik denk dat het geen kwestie is van aanleg, maar van motivatie. Iedereen met de juiste motivatie kan het leren. We krijgen genoeg mensen die zich aanmelden omdat ze veel geld willen verdienen, maar dat werkt maar tot de eerste salarisstrook. Het is beter als je een beetje houdt van puzzelen, als je graag uitzoekt hoe dingen werken, en als je nieuwsgierig bent naar hoe de wereld werkt.’ 

Maar hoe leer je zo iemand dan hacken? 

‘Dat begint met doverkoepelende concepten, dus met de theorie. Want zodra je weet hoe iets werkt, kun je dat overal toepassensteeds in een andere vorm. Op een gegeven moment valt dat kwartje, en dan voegen we de praktijk toe. Ik heb een lab met 125 kwetsbare machines, van heel simpel naar supercomplex, en daarmee verstevigen we de skillset van studenten. 

Hacken ze ook echte bedrijven? 

‘Dat is wel de bedoeling, ja. Onder andere bij de eindopdracht. En we geven ze tussendoor ook opdrachten als: verzamel alle informatie die je kunt vinden over George Vlug, de commercieel directeur van NOVI. Van die praktische kant leren studenten dat ze niet bang moeten zijn voor computers – en vooral niet om te falen. Hacken gaat eerst honderd keer fout voordat het een keer goed gaat, maar die ene keer dat het goed gaat geeft dan zó’n rush dat je gelijk nog een keer wilt.’ 

Wanneer ben je trots op je werk? 

‘In de security heb je het natuurlijk goed gedaan als er niets gebeurtGoeie security merk je niet op. Maar ik denk dat je als ethical hacker, en ook als docent, trouwens, vooral trots mag zijn als mensen de relevantie van het vakgebied ontdekken. Mij doet het geen groter plezier dan wanneer ik iemand door een andere bril naar de wereld kan laten kijken. Als studenten aan het einde van een bootcamp bijvoorbeeld zijn overgestapt op een passwordmanager en geen wachtwoorden meer hergebruiken – want ja, zelfs hackstudenten doen dat. De meeste mensen veranderen hun gewoonten pas als er iets gebeurtdus wanneer hun wachtwoord op straat ligt. Als het me lukt om dat bewustzijn te vergroten zónder dat dat wachtwoord op straat ligt, nou, dan heb ik een goeie dag, hoor.’ 

Mij doet het geen groter plezier dan wanneer ik iemand door een andere bril naar de wereld kan laten kijken.

Wat kunnen lezers doen als ze interesse hebben in een hackopleiding? 

‘Onderzoek eerst vooral of het vakgebied iets voor jou is. Verdiep je bijvoorbeeld in de Capture The Flag-cultuur, of meld je aan voor een meetup van Hack The Box, een online platform waar ik nauw bij betrokken ben. Het is gratis, heel laagdrempelig, voor iedereen die geïnteresseerd is in cybersecurityen het geeft je echt een inkijkje in de community. Volgende maand is het onderwerp ‘Just Getting Started’waardoor je gelijk een idee krijgt van hoe je nou met hacken begint. Sluit dus vooral aan.’