SECURITY EXPERT MIKKO HYPPÖNEN: “MENSEN MAKEN FOUTEN. DAT BETEKENT DAT WE ALTIJD KWETSBAAR ZULLEN ZIJN.”
Mikko Hyppönen is een van de meest bekende security experts in de wereld. Zijn carrière begon in 1991 bij de start-up die we tegenwoordig kennen als WithSecure™. Mikko en WithSecure™ hebben zich gevestigd als wereldwijde leiders op het gebied van security en alle ontwikkelingen meegemaakt.
“Het is fantastisch om te zien hoe het vak is veranderd. Toen ik in 1991 begon, bestond IT security nog niet en inmiddels is het uitgegroeid tot een enorme industrie die steeds belangrijker wordt.”
Foto © Ville Erkkilä
DIGITALE REVOLUTIE
“De wereld is veranderd. En dat heeft voordelen en nadelen. Wij hebben ontzettend veel voor- en nadelen ervaren door de digitale revolutie, maar de voordelen wegen zwaarder. Natuurlijk betekent dit niet dat we de nadelen moeten negeren of ontkennen.”
De digitale revolutie heeft een enorme impact op onze dagelijkse levens. Wij zijn steeds meer afhankelijk van technologie. “We maken nu dezelfde keuzes als onze voorouders in 1870 toen het gebruik van elektriciteit de norm werd. Ik denk dat onze voorouders beseften dat het gebruik van elektriciteit een afhankelijkheid zou creëren. Wij staan nu voor dezelfde keuzes met onze technologie en informatienetwerken. Onze Technologie en informatienetwerken zijn net zo handig als elektriciteit en we zullen net zo afhankelijk zijn, maar ik geloof dat we de goede keuze maken. We zullen afhankelijk zijn van deze informatienetwerken en we zullen kwetsbaar zijn door onze afhankelijkheid van deze technologie, maar de voordelen zijn zo groot… Het is het risico waard.”
“IK ZOU WILLEN DAT IK GEWOON MET GELD KON BETALEN VOOR ONLINE DIENSTEN EN NIET MET MIJN PRIVACY.”
Mikko is – net als veel andere security experts – een fervent voorvechter van privacy. Waarom is privacy zo belangrijk voor security experts? “Privacy en veiligheid zijn basisbehoeften en basisrechten. Niet alleen offline, maar ook online. Nu we steeds meer in de online wereld leven, wordt privacy steeds belangrijker. Privacy is online alleen veel lastiger om te realiseren dan in de offline wereld. Het begrip privacy heeft online een andere betekenis gekregen. Als we het hebben over een privégesprek, dan hebben we het vaak over een direct message sturen, maar dat is helemaal niet zo privé.”
“Als we iemand een direct message sturen via een sociaal netwerk dan is dat eigenlijk hetzelfde als een ‘privégesprek’ voeren met iemand terwijl Mark Zuckerberg in de kamer staat. Ik zou willen dat ik gewoon met geld kon betalen voor online diensten en niet met mijn privacy.”
“PRIVACY IS DOOD.”
“Het gevecht om privacy hebben we verloren. Het is te laat om dat nu nog te veranderen. Het had allemaal anders kunnen zijn, maar 25 jaar geleden hadden we de technologie niet om te betalen voor content en zo komt het dat we nu betalen voor producten en diensten met onze privacy door tracking.” Mikko legt uit dat betalen voor gratis diensten en apps de norm is geworden. “Wij hebben het gevoel dat we recht hebben op gratis online diensten. Ik heb mijn volgers op Twitter gevraagd hoeveel ze zouden willen betalen voor Google Search. Het merendeel van de mensen dat reageerde wilde helemaal niks betalen.” Wij horen tegenwoordig steeds vaker dat data het nieuwe goud is, maar Mikko vergelijkt het liever met uranium. “Het is ontzettend waardevol én kan ontzettend gevaarlijk zijn. Google betaalt Apple 9 miljard dollar per jaar om de default search engine te zijn. Zo waardevol is onze data dus voor deze grote bedrijven. Je kunt gratis video’s kijken op YouTube, maar wat is de prijs die je daarvoor betaald?”
HACKERS: DE STRIJD TUSSEN GOED EN KWAAD
Mikko en zijn team zijn in hun carrière geconfronteerd met gevaarlijke en vernietigende computervirussen en hackers. “Het was allemaal zo eenvoudig, maar het wordt steeds complexer nu we steeds meer in de online wereld leven. Toen ik mijn carrière begon was de vijand een stel pubers dat voor de lol computervirussen maakte. Het was toen allemaal heel eenvoudig: wij waren de good guys en wij probeerden computers en systemen te beschermen. Het onderscheid tussen de good guys en de bad guys was heel helder. Nu is het ontzettend lastig geworden om die grens te trekken. Niet alleen omdat we steeds meer verschillende spelers zien, maar ook door de technieken die worden gebruikt. Neem bijvoorbeeld de politie. Wij zien de politie als de good guys, maar ze gebruiken ook offensieve technieken. Ook white hat hackers en security experts gebruiken offensieve technieken. Het is allemaal een stuk complexer en ingewikkelder geworden, maar ik denk dat we nog steeds een grens kunnen trekken. Je hebt – welke middelen je ook gebruikt – de intentie om de veiligheid te verbeteren of om deze te breken. Ik heb me mijn hele leven ingezet om de veiligheid en privacy te beschermen en te verbeteren, maar ik heb mezelf nog nooit een white hat hacker genoemd.”
HOE HACKERS BEDRIJVEN TARGETEN
Hoe targeten hackers hun slachtoffers en waarom worden bedrijven het slachtoffer van hackers? “De meeste bedrijven worden slachtoffer omdat ze simpelweg laaghangend fruit zijn. Ze zijn een makkelijke prooi. Natuurlijk zijn er ook voorbeelden van bedrijven die specifiek uitgekozen worden door hackers, maar dat zijn de uitzonderingen. Wij zien dat de meeste bedrijven worden aangevallen door hackers die online een doelwit zoeken. Hackers zoeken online naar een doelwit en het maakt ze niet uit wie dat doelwit is.” Hoe kunnen bedrijven zich beschermen tegen hackers? “Het gaat om het vinden van een balans. Geen enkel bedrijf wil onnodig veel geld uitgeven aan security, maar je wil ook geen makkelijk doelwit zijn. Ik raad bedrijven altijd aan om te kijken naar de specifieke risico’s in hun business. Zijn er zaken die maken dat jij een interessant doelwit bent voor hackers? Je kunt dan bijvoorbeeld denken aan informatie of klanten die maken dat jouw bedrijf een doelwit is. Het gaat vervolgens om het nemen van maatregelen die passen bij jouw specifieke situatie.”
“MENSEN MAKEN FOUTEN. DAT BETEKENT DAT WE ATIJD KWETSBAAR ZULLEN ZIJN.”
“Ik denk dat de grootste mythe op het gebied van veiligheid is dat we vulnerabilities zien als iets abstracts. Het is helemaal niet abstract, maar heel concreet. Het is een bug in de code. Code die is geschreven door een programmeur. En die programmeur heeft simpelweg een fout gemaakt. Programmeurs zijn immers ook gewoon mensen. En mensen maken fouten. Wij zullen als mensen ook altijd fouten maken. Dat betekent dat we altijd kwetsbaar zullen zijn. We zullen nooit een systeem kunnen maken dat niet gehackt kan worden. Zo lang als mensen deze systemen bouwen, zullen er fouten worden gemaakt. Fouten in systemen die met elkaar verbonden worden, worden kwetsbaarheden.”
DE TOEKOMST
Absolute veiligheid mag dan niet bestaan, maar dat betekent niet dat we niets kunnen doen. “We moeten proberen om de systemen die we gebruiken zo eenvoudig mogelijk te maken. IT-afdelingen hebben vaak een slechte reputatie, omdat ze vaak verzoeken weigeren. Het is niet alleen vervelend om zo’n slechte reputatie te hebben, maar ook oneerlijk. IT-afdelingen doen wat ze kunnen om te zorgen dat jij jouw werk kunt doen en alle data goed is beveiligd.”