Stilzitten is geen optie

Jordi Scharloo is een bekende van de politie. Niet omdat hij iets fout doet, maar omdat hij als researcher bij KPN samen met hen het internet veiliger maakt. Jordi en zijn team werken veel samen met organisaties buiten de corporate wereld van KPN. “We delen onder meer de kennis die we hebben over informatie op het darknet.”

Dat cybercrime verhardt, is een trend die al een tijd gaande is. "Criminelen zetten met ransomware je bestanden op slot, maar lekken de data ook als hun aanval niet het gewenste resultaat heeft gehad. Verder zie je activiteiten verschuiven naar kanalen zoals Telegram, wordt malware steeds complexer en vinden steeds meer aanvallen plaats op de supply chain, bijvoorbeeld bij service providers of softwareleveranciers." Aan het woord is Jordi Scharloo, Team Lead van het Security Research Team bij KPN Security. Met zijn team doet hij onderzoek naar allerlei vormen van cybercrime. "We doen veel aan kennisdeling, zowel intern als extern. We vervullen de maatschappelijke rol van KPN."

Team met verschillende specialiteiten
Wat is dat eigenlijk, die maatschappelijke rol? Jordi: "We zijn natuurlijk een commerciële organisatie, maar thema's als duurzaamheid en veiligheid zijn belangrijk voor ons. Initiatieven als No More Leaks, waarbij we samenwerken met de politie, worden breed omarmd in het bedrijf." Inmiddels werkt Jordi twee jaar als Team Lead bij KPN Security. "In mijn rol ben ik veel met technologie bezig en begeleid ik zowel gespecialiseerde onderzoekers als jonge talenten met cyberambities. Ons team is multidisciplinair. Wij hebben bijvoorbeeld iemand die goed is in opensource intelligence, anderen zijn goed in logging van bronnen of hardware hacking. Mijn specialiteit is vooral threat intelligence en het uitvoeren van netwerkanalyses."

Om de digitale veiligheid van klanten op verschillende manieren te waarborgen, ziet KPN samenwerking als een belangrijk middel. "We proberen een kennispartner te zijn en kijken waar we in Nederland kunnen helpen. Met No More Leaks heeft de politie bijvoorbeeld een heel mooi initiatief opgezet." Datalekken vinden voortdurend plaats en datadumps met inloggegevens zijn overal te vinden. "De politie deelt de hashes van deze gegevens - versleuteld - met private partners waarmee afspraken zijn gemaakt over zaken als security en eigendomsrecht. Deze hashes worden op de interne systemen van deze partners opgeslagen. Zo kan automatisch worden ingegrepen wanneer met gestolen credentials gepoogd wordt om in te loggen. Het mooie van de samenwerking is dat hij bijdraagt aan de veiligheid van onze gebruikers en tegelijkertijd het verdienmodel van criminelen onderuit haalt."

Onderzoek naar datalekken

Jordi heeft regelmatig contact met collega's bij de politie. "We denken mee over bijvoorbeeld het gebruik van hashing-algoritmen of het aanleveren van data. Maar de meeste winst zit in onze 'bijvangst' uit onderzoeken. Op darknet-marktplaatsen of binnen chatrooms met illegale activiteiten worden regelmatig datadumps aangeboden. Een van de belangrijkste taken van mijn team is het zoeken naar datalekken, wat we echt belangeloos doen, vanuit een maatschappelijke motivatie. We doen dit om organisaties proactief te informeren en mensen te helpen die mogelijk slachtoffer zijn van een datalek. Hier maken we ook tooling voor, bijvoorbeeld op basis van Docker en Elasticsearch."

Een andere samenwerking waar Jordi trots op is, betreft het Hack Right Program. "Vooral jonge hackers gaan weleens over de schreef als het gaat om het plegen van computervredebreuk. Het Team High Tech Crime van de politie heeft samen met de Reclassering een initiatief opgezet waar deze jongeren binnen een organisatie kunnen leren wat het inhoudt om security-specialist te zijn. Ze komen niet meteen bij KPN te werken, maar we geven ze wel de begeleiding naar een succesvolle studie, een baan of gewoon een betere toekomst."

Stilzitten is geen optie
Het beoordelen van innovatieve startups en nieuwe technologieën is een andere activiteit waar het Security Research Team zich veelvuldig op richt. Aanvallers zitten niet stil en dat wil KPN ook zeker niet doen. Maar hoe weet je welk nieuw product echt levensvatbaar is of waar misschien al een volgende stap valt te maken? "Je kunt denken aan innovatieve firewalls of partijen die iets met quantum doen. Dat soort partijen begeleidt KPN al langer en ik geef ook advies over welke technologie interessant is."

Binnen de eigen organisatie verzorgt Jordi met zijn team publicaties over actuele ontwikkelingen en de impact daarvan. "Daarbij kan het om een nieuwe aanvalsmethodiek gaan, om nieuwe soorten malware of een veranderende werkwijze van actoren. Daar zitten wij bovenop." Daarnaast is het belangrijk om jonge mensen te blijven opleiden. "Er zijn weinig seniors in dit relatief jonge vakgebied. Daarom ben ik regelmatig betrokken bij onderzoeksprojecten van studenten en het vormgeven van stageplaatsen." Een voorbeeld van zo'n onderzoek gaat over smarthomes en iot. "Veel mensen kopen nu slimme sloten, maar die kunnen alsnog onveilig zijn als verouderde protocollen worden gebruikt of een goed updatebeleid ontbreekt. Dat soort onderzoeken zetten we uit op universiteiten, maar we werken ook met hogescholen en mbo's. Talentvolle en enthousiaste studenten komen we op elk niveau tegen. Van mijn werkgever krijg ik gelukkig de ruimte om hen verder te helpen, want dat motiveert mijzelf ook enorm."

Van inbelmodem naar threat intelligence
Hoe is Jordi eigenlijk in dit werkveld terechtgekomen? "Ik heb een verleden als softwareontwikkelaar. Van jongs af aan wist ik dat ik iets met computers wilde doen. Mijn eerste computer was zo'n Windows 95-machine met het werkgeheugen nog in megabytes. Ook kan ik me herinneren dat we vroeger thuis een inbelmodem hadden, waarmee ik niet kon internetten als mijn moeder wilde bellen." Jordi koos aanvankelijk voor een toekomst als programmeur, omdat hij dacht dat er door de opkomst van cloudcomputing minder behoefte zou zijn aan systeem- en netwerkbeheerders. “Maar op een gegeven moment kwam security op mijn pad, ben ik een studie informatiebeveiliging gaan doen en ging ik aan de slag als malware-analist bij een bedrijf dat een antiviruspakket ontwikkelde. Daar trok ik allemaal samples van malware uit elkaar. Omdat we op een gegeven moment de slag maakten van antivirus naar netwerkbeveiliging ben ik uiteindelijk op het terrein van threat intelligence en netwerkdetectie terechtgekomen."

Binnen KPN ervaart Jordi veel ruimte om een eigen invulling te geven aan wat hij belangrijk vindt. "We zijn weliswaar een grote organisatie waarin processen belangrijk zijn, maar ik kan me toch heel vrij bewegen. Dat past ook bij dit werk. Ik wil dat mijn team die vrijheid ook voelt. Sommige collega's werken het liefst 's avonds en zitten tot diep in de nacht te analyseren. Dan hoeven ze de volgende dag wat mij betreft echt niet om negen uur in een stand-up meeting te verschijnen, maar zien we elkaar weer tijdens de lunch." Regelmatig komt het ook voor dat een teamlid iets "gaafs vindt op bijvoorbeeld GitHub" waarna in het team de vraag gesteld wordt hoe ze dit kunnen benutten. "Er zit veel energie in dit team en dat is ook heel hard nodig, want we werken in een veranderlijke wereld. Soms zit je zomaar twee maanden te werken aan een scraper voor een darknet-marktplaats, en wordt die marktplaats plots offline gehaald. Dat is dan balen, maar het mooie is dat er altijd wel weer een nieuwe uitdaging staat te wachten."