Als ethisch hacker bij NS ben je indringers voor!

“Onze reizigers merken niets van ons werk en in dit geval is dat ook alleen maar goed.” Bob van der Staak is ethisch hacker bij NS en is samen met zijn team dagelijks bezig met het zoeken van security zwakheden binnen NS. “Ik doe voornamelijk aan threat modelling, penetratietesten en soms wat secure software development. Hiermee help ik teams van NS om te laten zien waar eventuele zwakheden in hun applicaties of systemen zitten, voordat andere ongewenste indringers dit doen. Het doel van mijn team is de afdelingen binnen NS te helpen om deze risico’s in kaart te brengen, zodat eventuele lekken opgelost kunnen worden.” 

Als ethische hacker speel je dus eigenlijk een ‘slechterik’ die het bedrijf wil hacken. Bob vertelt: “In principe is het een beetje puzzelen voor volwassenen, het is elke keer weer kijken: hoe kom ik binnen in een nieuw product. Het uitdokteren van hoe je binnen kan komen en vooral als dat dan uiteindelijk lukt, is het leukste aan mijn werk. Het geeft mij erg veel voldoening als ik ergens binnenkom waar dat eigenlijk niet de bedoeling is, vooral als ik hiermee afdelingen kan helpen.”

Cybercriminaliteit

Ethisch hacken wordt steeds belangrijker, omdat er een hele grote groei is in cybercriminaliteit. Volgens Bob is er een hele dunne lijn tussen wat ethisch is en wat niet. “Bepaalde bedrijven hebben responsible disclosures, dit zijn overeenkomsten over hoe je moet omgaan met gevoelige bevindingen. Op het moment dat je als ethisch hacker die vertrouwelijke overeenkomst verbreekt ben je dus strafbaar. Het punt is dat als je eenmaal strafbaar bent, het erg aannemelijk is dat je wordt ontdekt. Het is dus verstandig dat als je het werk wil blijven doen, je er goed en bewust mee om moet gaan.” 

Cybercriminaliteit is ook voor NS erg relevant. “NS is onderdeel van de kritische infrastructuur van Nederland, dit betekent dat de infrastructuur erg belangrijk is voor onze samenleving. Als er in het nieuws komt dat NS wordt gehackt, kan dit tot onoverzienbare schade leiden. Hetzelfde geldt voor ransomware (losgeld) activiteiten. Als dat bijvoorbeeld op een trein losgelaten wordt kan dit de dienst ontregelen, dat veroorzaakt veel schade en dat willen wij dus voorkomen.” 

De kritische infrastructuur van NS is voor Bob een van de redenen waarom hij nu bij NS werkt. “Uiteindelijk heb ik gekozen om te werken bij NS, vooral omdat ik wilde werken bij een bedrijf dat te maken heeft met kritische infrastructuur en waar ik wat kon betekenen.”  

Hacken

Volgens Bob is er veel testwerk te doen, hij vertelt dat zijn team zich zeker niet hoeft te vervelen. Hij heeft laatst bijvoorbeeld de toegangssystemen, de software die op de treinen draait en zelfs HR-producten getest. Daarnaast gaan er bij NS wekelijks weer nieuwe applicaties de lucht in. In principe test Bobs team alle belangrijke applicaties van NS, maar in theorie kan dit elke applicatie zijn. Dit maakt het werk van Bob erg afwisselend en innoverend. 

“Meestal duren onze projecten tussen de drie en vijf dagen. Nu test ik een externe applicatie en volgende week heb ik alweer een andere test op de planning. Daardoor blijft mijn werk ook verfrissend. Soms doen we ook aan red teaming, dan pakken we niet alleen één applicatie, maar een heel domein om te testen. Dit doen we met een bredere scope, dus dan kan zo’n test ook één of zelfs twee maanden duren.”  

De reizigers

In theorie zouden reizigers niets moeten merken van het werk van Bob. “Het is wel eens gebeurd dat een applicatie kapot of offline gaat, of dat hij niet meer werkt zoals hij bedoeld is. Dit proberen we te vermijden maar kunnen we niet altijd voorkomen. Daarom werken we altijd in acceptatie, zodat de systemen niet door ons kunnen uitvallen. Dus als we ons werk goed doen, merken reizigers gelukkig niks van onze baan. Wij doen er alles aan om te voorkomen dat NS in het nieuws komt met securityproblemen."

Team en evenementen

De afdeling van Bob bestaat momenteel uit negen collega’s, waarin iedereen specifiek aandacht heeft voor een bepaald cluster. Zijn team werkt echter wel nauw samen, Bob vertelt: “Ons team is erg hecht en we helpen elkaar waar nodig en werken vaak samen. Er is natuurlijk wel een specifiek aanspreekpunt binnen een bepaald domein, omdat diegene er gewoon net wat meer ervaring in heeft. Zo heeft iedereen zijn specialisatiegebied.” 

Momenteel is het team van Bob ook bezig om binnen NS, collega’s kennis te laten maken met security. Zo legt hij in evenementen uit wat zijn team nou eigenlijk doet, om ervoor te zorgen dat collega’s binnen hun eigen projecten ook meer gaan nadenken over de security. Dit doen ze door middel van het event: ‘Capture The Flag’. In deze events krijgen NS-collega’s de kans om te hacken en punten te verdienen als zij zwakheden vinden in een simulatie. 

Toekomst

De functie van Bob zit anno 2023 nog erg in de groeifase. Wel heeft Bob één stip op de horizon waar hij graag samen met zijn team naartoe werkt. “Ons team vindt de professionalisering van de red teaming erg belangrijk. Vooral omdat dit nog in de kinderschoenen staat. Dat hebben we nu namelijk beproefd en nu gaan we hier gewoon lekker mee door en willen we dit optimaliseren.” Wel stelt Bob dat het belangrijkste aan zijn baan is dat afdelingen van NS er wat aan hebben. “Het is leuk dat we iets testen, maar het heeft pas echt waarde als de oplossingen snel geïmplementeerd worden en het team leert waarom dat belangrijk is.". Wat Bob nog wil bereiken in zijn functie is dat de red teaming processen nog beter en sterker in te zetten zijn voor het vinden van security zwakheden. 

Wil jij ook werken aan de cyber security van NS? Kijk dan op deze pagina.

Onze mensen

"NS heeft goede voorwaarden voor ouderschap. Dat was voor mij een cultuurshock."

Hanneke

Tussen 08.00 en 16.30 uur stuurt Hanneke (37) als manager productie vijftig mensen aan. En daarbuiten zorgt ze voor haar kleine van 2 jaar oud. Die combinatie – het ouderschap en een verantwoordelijke functie – kan pittig zijn. Mede daarom switchte ze van werkgever en kwam ze bij NS terecht: “Ik koos voor een gezin, en zocht daarom een plek met goede voorwaarden voor ouderschap.”

Lees meer

IT-trainee bij NS, een kijkje in de reis van onze trainees

Floor

Floor is IT-trainee bij NS. Op de afdeling Reisbegeleiding gaat ze samen met haar team over de omreisadviezen bij een verstoring op het spoor. “Als er iets gebeurt op het spoor, dan komt dat bij het OCCR (operationeel controle centrum rail) binnen. Medewerkers van het OCCR gebruiken dan onze applicatie om de verstoring in te voeren en aan de hand van de informatie die wordt ingevoerd genereren wij de omreisadviezen. Dit vind je terug in onder andere de omroepberichten op het station, want dat komt van mijn team. Dat is super leuk, super concreet en heel zichtbaar.”

Lees meer

"Ik leid jonge techneuten op om te werken aan de treinen van NS"

Philippe

Philippe is geruime tijd werkzaam bij NS en werkt nu als praktijkopleider en stagebegeleider bij de TechniekFabriek in het Brabantse Berkel-Enschot. "Ik leid jonge techneuten op om te werken aan de treinen van NS. Ik begeleid ze op alle vlakken: van techniek tot loopbaanontwikkeling. Daarnaast ben ik stagebegeleider. In totaal coach ik veertien studenten. Het is een leuke en dynamische bedoening hier. Geen dag is hetzelfde."

Lees meer
Bekijk alle verhalen

Jouw droombaan in je mailbox?

Mis nooit meer jouw ideale vacature met onze persoonlijke vacature alerts.

Deze website maakt gebruik van cookies

Wij, en derde partijen, maken op onze website gebruik van cookies. Wij gebruiken cookies om ervoor te zorgen dat onze website goed functioneert, om jouw voorkeuren op te slaan, om inzicht te verkrijgen in bezoekersgedrag, maar ook voor marketing en social media doeleinden (laten zien van gepersonaliseerde advertenties). Door op ‘Accepteren’ te klikken, ga je akkoord met het gebruik van alle cookies. In onze Cookieverklaring kun je meer lezen over de cookies die wij gebruiken en kun je jouw voorkeuren opslaan of wijzigen. Door ‘Weigeren’ te klikken ga je alleen akkoord met het gebruik van functionele cookies.