Cybersecurity bij NS: achter de schermen met ethisch hacker Bob van der Staak

“We doen vier dingen,” vertelt Bob. “Pentesten, Red Teaming, Secure Software Development en het uitvoeren van threat models.” Bij pentesten wordt een specifiek systeem onderzocht op kwetsbaarheden. “We krijgen toegang tot een applicatie of krijgen een onderdeel toegestuurd en gaan daar een week lang op los.” Bij Red Teaming kijken ze niet naar één product, maar naar een hele organisatie-eenheid. “We voeren dan phishingcampagnes uit, proberen dan digitaal binnen te dringen of testen het grotere geheel.” De derde tak is Secure Software Development. Bob vertelt: “Daar helpen we ontwikkelteams om software vanaf het begin veilig op te bouwen. Denk aan tools die controleren of er geen wachtwoorden in de broncode staan.” Als laatste Threatmodels. “Daar houden we een theoretische assessment waar mogelijk risico's liggen binnen een applicatie. Dit is eigenlijk een standaard activiteit die we uitvoeren voor een pentest”

Bob begint zijn werkdag meestal met een kort teamoverleg. “We bespreken wat iedereen doet en waar we tegenaan lopen.” Daarna begint het echte werk: systemen testen, rapporten schrijven, overleggen met stakeholders. “Pentesten doen we altijd in duo’s,” vertelt hij. “Zo kunnen we van elkaar leren en houden we scherp zicht op alles.”

“We werken veel samen met andere teams, zoals het Blue Team,” vertelt Bob. “Die houden zich bezig met monitoring en reageren op incidenten.” Wanneer het Red en Blue Team intensief samenwerken, heet dat Purple Teaming. “Dan delen we inzichten, testen aanvalstechnieken samen en verbeteren de verdediging direct. Dat helpt om kwetsbaarheden sneller te ontdekken én op te lossen.”

Bob maakte een bewust keuze voor NS. “Ik wilde bij een organisatie werken die zijn eigen security in huis heeft” legt hij uit. “Ook wilde ik bijdragen aan een kritische infrastructuur bedrijf.” NS valt sinds drie jaar officieel onder de kritieke infrastructuur. Dat betekent dat de overheid NS aanmerkt als onmisbaar voor Nederland. Net als energiebedrijven, waterbedrijven en banken. “Als hier iets misgaat, raakt dat direct de maatschappij,” zegt Bob. “Dat maakt mijn werk belangrijk en betekenisvol.”

Wat Bob het meest aanspreekt in zijn werk, is de variatie. “NS is groot. We testen niet alleen webapplicaties, maar ook treinen. Echt fysiek. Dat gebeurt niet vaak, want een trein stilzetten is duur, maar het mag soms. En dat is gaaf.” Door de omvang van NS zijn er talloze aanvalsscenario’s denkbaar. “We kunnen testen op IT, OT, mobiele apps, embedded systemen. Geen dag is hetzelfde.”

Hoewel zijn werk technisch is, draait het bij Bob ook om mensen. “We werken niet in het donker in een hok” vertelt hij. “Er is veel contact met teams en stakeholders. Dus sociale vaardigheden zijn belangrijk.”

De wereld van cybersecurity verandert snel. Om aanvallen te blijven begrijpen, moet je zelf ook blijven ontwikkelen. Bob en zijn collega’s volgen regelmatig trainingen en behalen erkende certificeringen die relevant zijn voor hun vakgebied.

“Daarnaast zijn er ook conferenties waar ik ben geweest” vertelt Bob. “Ik ben zeker van plan om vaker te gaan. Je ontmoet er vakgenoten, hoort over nieuwe technieken en krijgt inspiratie.” Niet alles leer je uit een boek. “Soms ontdek je nieuwe dingen gewoon via collega’s of online kanalen. Als iemand iets opvalt, delen we dat meteen. Zo blijf je samen scherp.” Leren is volgens Bob een doorlopend proces. “Bij NS wordt dat ook aangemoedigd. Je krijgt ruimte om je kennis te verdiepen én te verbreden.”

Ben jij geïnteresseerd in een carrière binnen cybersecurity? Bekijk dan hieronder onze vacatures.