Hoe begin je een carrière in cybersecurity? Koen Burms van Cyberskool, Jan Guldentops (BA), Eddy Willems van G-Data en Pieter Janssen van Cybersprint hadden er een geanimeerd debat over in het Cyber Café van Computable.
Je hoort overal dat er een tekort is aan cybersecurity-specialisten. Is dat ook zo?
Jan Guldentops: ‘Ja en nee. Het klopt dat er in bepaalde technische beroepen te weinig kandidaten zijn. Je kan het vergelijken met 1999: toen waren er te weinig it-professionals. En dus plukten alle consultants straatvegers van de straat, gaven hen een week opleiding en dan waren dat it-specialisten (lacht). Dus neen, een echt gigantisch algemeen tekort hebben we nu niet. Je moet natuurlijk ook verder durven kijken dan enkel technische profielen: er zijn best wel wat historici in technische jobs en die doen dat heel goed.’
Pieter Janssen: ‘In Nederland voelen we dat tekort wel. Er zijn ook niet zoveel opleidingen die echt rond cybersecurity draaien. Het probleem daarbij is dat je vroeger ook geen filmpjes op YouTube had waarin werd uitgelegd hoe je een DDoS-aanval opzet. Die drempel is dus ook een stuk lager.’
Eddy Willems: ‘Er is ab-so-luut een tekort. Een groot tekort, zelfs. Het is heel moeilijk om goede mensen te vinden. Wij schuimen daarvoor de universiteiten af. We geven zelf opleidingen. Maar dan nog is het niet genoeg. Het aantal bedreigingen stijgt ook voortdurend. Denk maar aan alle IoT-apparaten die we nu in huis halen. Die dingen moeten allemaal beveiligd worden en daar heb je mensen voor nodig.’
Jan Guldentops: ‘Dat probleem los je op met procedures, deugdelijke technologieën en upgrades, Eddy. Met mensen gaat dat niet lukken, hoor.’
Eddy Willems: ‘Ja, maar ook die procedures en technologieën moeten toch van mensen komen, uiteindelijk.’
Koen Burms: ‘Ik denk ook wel dat er een tekort is, simpelweg omdat de vraag stijgt en het aanbod niet volgt. Met Cyberskool proberen we ook kinderen al van jongsaf bewust te maken van technologie. Iedereen heeft dat bewustzijn nodig, niet alleen experts. Elke tiener loopt tegenwoordig ook rond met een smartphone en een Facebook-account, dus de risico’s zijn groter geworden.’
Jan Guldentops: ‘Laat ik een simpele vraag stellen: wie van jullie heeft in zijn opleiding te maken gehad met formele it-veiligheid? Ik alvast niet.’
Koen Burms: ‘Ik heb de basic stuff gehad.’
Pieter Janssen: ‘Ik ben het in mijn hbo-opleiding wel tegengekomen.’
Jan Guldentops: ‘Volgens mij volstaan de standaardopleidingen ook niet. Je kan mensen een basisstart geven, maar dat moet je aanvullen met stages en mentorships en zelfstudie. Dat is veel belangrijker dan naar een aula te gaan waar een of andere pipo staat uit te leggen wat een firewall is.’
Eddy Willems: ‘Ik ben het daar niet helemaal mee eens. Je kan zoiets perfect in een schoolcontext onderwijzen. Het probleem is dat ons onderwijs te weinig…cyberelementen bevat. Leerlingen kunnen wel swipen, maar over de basics van security weten ze niks.’
Pieter Janssen: ‘Toen ik zestien was, liep ik voor op het handboek dat mijn leraar gebruikte. Ik had dus de keuze: ga ik naar de les of ga ik in de kelder van de school wat zitten klooien met oude hardware. Het werd meestal het tweede (lacht).’
Jan Guldentops: ‘Een diploma wil eigenlijk heel weinig zeggen. Wij komen op stages soms gasten van vijftien, zestien jaar tegen, drop-outs van school, maar die geweldige dingen kunnen. Daarom dat ik zeg dat ex cathedra een cursus aframmelen eigenlijk niet zo belangrijk is.’
Eddy Willems: ‘Dat kan ex cathedra ook werken, Jan, alleen is dan de vraag: hoe wordt de leerstof gegeven? Sommige leraren hebben het talent iets goed over te brengen, anderen kunnen dat helemaal niet. Je moet het graag doen. En dat missen we soms.’
Pieter Janssen: ‘Zo’n hybride leervorm, dat valt wel wat voor te zeggen. Ik heb soms zelf stagiairs in huis, waarvan ik denk: die zou ik wel willen houden.’
Wie gaan we over vijftien jaar nodig hebben? Als ai en machine learning de dienst gaan uitmaken bij security?
Jan Guldentops: ‘Dat weten we niet. Ik heb drie jaar it-safety gegeven aan laatstejaarsstudenten van een hogeschool. Dat gaat vooral over hen kritisch leren na te denken, omdat die rest toch te hoog gegrepen is. Maar dat geeft, het kan een trigger zijn voor meer.’
Koen Burms: ‘Die mindset is inderdaad heel belangrijk. Leren out-of-the-box te denken. Dat is net zo belangrijk als het aanleren van specifieke zaken.’
Zal die mindset dan niet in de producten zelf zitten?
Pieter Janssen: ‘Het is zo dat we nu bezig zijn met het oplossen van problemen uit de jaren tachtig. Neem nu e-mailprotocollen, dat is lapmiddel op lapmiddel op lapmiddel. Dus in de toekomst zal dat inderdaad veranderen. En dan moet je vooral de basics in je vingers hebben. Want ik weet niet hoe malware er over tien jaar zal uitzien. Maar dat ai en machine learning er deel van uit zullen maken, zou me niet verbazen.’
Jan Guldentops: ‘Het probleem is dat we nu vakidioten kweken. En dat leidt nergens toe, want ieder zit in zijn eigen hokje. We kunnen beter naar GDPR kijken: dat moet je ook multidisciplinair aanpakken.’
Security is te belangrijk om enkel aan security-specialisten over te laten?
Eddy Willems: ‘Klopt. Want wat is een ‘security professional’ tegenwoordig? Iedereen is het. Ik word daar gek van. Je kunt het ook niet definiëren…soms gaat het over communiceren, soms over programmeren.’
Jan Guldentops: ‘Aanleg speelt ook.’
Eddy Willems: ‘Sowieso. Als ik voor mezelf mag spreken: ik wou altijd iets ‘speciaal’ doen in it. En dat is ook gelukt: als je ’t echt wil, dan kan het. Met interesse en drive kom je er wel.’
Het is een kwestie van attitude?
Jan Guldentops: ‘Aanleg is de basis voor alles. Mijn dochter van zes kan alle pincodes onderscheppen en mijn vrouw is kwaad omdat ze denk dat ik haar dat aanleer. Maar dat klopt niet. Ze doet het zelf.’
Pieter Janssen: ‘Mijn dochter van twee swipet ook al op de iPhone.’
Jan Guldentops: ‘Ik hoor ook vaak dat de vorige generatie de digital natives zijn, maar eigenlijk klopt dat niet.’
Koen Burms: ‘Dat klopt. Als het gaat over YouTube of Facebook, maar verder dan dat gaat het niet. Dat is goed als eerste stap, maar niet meer dan dat.’
Pieter Janssen: ‘Die awareness ontbreekt vaak en die is heel belangrijk. Naar wie stuur je je foto’s? Daar moeten ze bewust mee omgaan.’
Jan Guldentops: ‘Ik denk dat we daar een aantal stappen overslaan. Het gaat vaak te snel, te digitaal ook.’
Eddy Willems: ‘Als ik hier op de beurs rondloop en vragen stel, voel ik dat ook. Het zijn vaak verkopers die je te spreken krijgt, daar is niks mis mee, maar bij ons hebben we andere mensen nodig.’
Is de drempel tot het beroep laag genoeg? Of lager dan vroeger?
Pieter Janssen: ‘Er zijn heel veel bedrijven zonder it-afdeling waar je nu terecht zou kunnen als zestienjarige. Makkelijk zelfs.’
Koen Burms: ‘Ik denk ook dat het gemakkelijker geworden is. Ook met initiatieven als Coderdojo en zo. Daar kunnen wij een vervolg op zijn.’
Jan Guldentops: ‘De lat ligt veel lager dan vroeger. Informatie is overal te vinden, alles is open source. Download gewoon KaliLinux en je hebt alle tools die je nodig hebt.’
