“Onze reizigers merken niets van ons werk en in dit geval is dat ook alleen maar goed.” Bob van der Staak is ethisch hacker bij NS en is samen met zijn team dagelijks bezig met het zoeken van security zwakheden binnen NS. “Ik doe voornamelijk aan threat modelling, penetratietesten en soms wat secure software development. Hiermee help ik teams van NS om te laten zien waar eventuele zwakheden in hun applicaties of systemen zitten, voordat andere ongewenste indringers dit doen. Het doel van mijn team is de afdelingen binnen NS te helpen om deze risico’s in kaart te brengen, zodat eventuele lekken opgelost kunnen worden.”
Als ethische hacker speel je dus eigenlijk een ‘slechterik’ die het bedrijf wil hacken. Bob vertelt: “In principe is het een beetje puzzelen voor volwassenen, het is elke keer weer kijken: hoe kom ik binnen in een nieuw product. Het uitdokteren van hoe je binnen kan komen en vooral als dat dan uiteindelijk lukt, is het leukste aan mijn werk. Het geeft mij erg veel voldoening als ik ergens binnenkom waar dat eigenlijk niet de bedoeling is, vooral als ik hiermee afdelingen kan helpen.”
Cybercriminaliteit
Ethisch hacken wordt steeds belangrijker, omdat er een hele grote groei is in cybercriminaliteit. Volgens Bob is er een hele dunne lijn tussen wat ethisch is en wat niet. “Bepaalde bedrijven hebben responsible disclosures, dit zijn overeenkomsten over hoe je moet omgaan met gevoelige bevindingen. Op het moment dat je als ethisch hacker die vertrouwelijke overeenkomst verbreekt ben je dus strafbaar. Het punt is dat als je eenmaal strafbaar bent, het erg aannemelijk is dat je wordt ontdekt. Het is dus verstandig dat als je het werk wil blijven doen, je er goed en bewust mee om moet gaan.”
Cybercriminaliteit is ook voor NS erg relevant. “NS is onderdeel van de kritische infrastructuur van Nederland, dit betekent dat de infrastructuur erg belangrijk is voor onze samenleving. Als er in het nieuws komt dat NS wordt gehackt, kan dit tot onoverzienbare schade leiden. Hetzelfde geldt voor ransomware (losgeld) activiteiten. Als dat bijvoorbeeld op een trein losgelaten wordt kan dit de dienst ontregelen, dat veroorzaakt veel schade en dat willen wij dus voorkomen.”
De kritische infrastructuur van NS is voor Bob een van de redenen waarom hij nu bij NS werkt. “Uiteindelijk heb ik gekozen om te werken bij NS, vooral omdat ik wilde werken bij een bedrijf dat te maken heeft met kritische infrastructuur en waar ik wat kon betekenen.”
Hacken
Volgens Bob is er veel testwerk te doen, hij vertelt dat zijn team zich zeker niet hoeft te vervelen. Hij heeft laatst bijvoorbeeld de toegangssystemen, de software die op de treinen draait en zelfs HR-producten getest. Daarnaast gaan er bij NS wekelijks weer nieuwe applicaties de lucht in. In principe test Bobs team alle belangrijke applicaties van NS, maar in theorie kan dit elke applicatie zijn. Dit maakt het werk van Bob erg afwisselend en innoverend.
“Meestal duren onze projecten tussen de drie en vijf dagen. Nu test ik een externe applicatie en volgende week heb ik alweer een andere test op de planning. Daardoor blijft mijn werk ook verfrissend. Soms doen we ook aan red teaming, dan pakken we niet alleen één applicatie, maar een heel domein om te testen. Dit doen we met een bredere scope, dus dan kan zo’n test ook één of zelfs twee maanden duren.”
De reizigers
In theorie zouden reizigers niets moeten merken van het werk van Bob. “Het is wel eens gebeurd dat een applicatie kapot of offline gaat, of dat hij niet meer werkt zoals hij bedoeld is. Dit proberen we te vermijden maar kunnen we niet altijd voorkomen. Daarom werken we altijd in acceptatie, zodat de systemen niet door ons kunnen uitvallen. Dus als we ons werk goed doen, merken reizigers gelukkig niks van onze baan. Wij doen er alles aan om te voorkomen dat NS in het nieuws komt met securityproblemen."
Team en evenementen
De afdeling van Bob bestaat momenteel uit negen collega’s, waarin iedereen specifiek aandacht heeft voor een bepaald cluster. Zijn team werkt echter wel nauw samen, Bob vertelt: “Ons team is erg hecht en we helpen elkaar waar nodig en werken vaak samen. Er is natuurlijk wel een specifiek aanspreekpunt binnen een bepaald domein, omdat diegene er gewoon net wat meer ervaring in heeft. Zo heeft iedereen zijn specialisatiegebied.”
Momenteel is het team van Bob ook bezig om binnen NS, collega’s kennis te laten maken met security. Zo legt hij in evenementen uit wat zijn team nou eigenlijk doet, om ervoor te zorgen dat collega’s binnen hun eigen projecten ook meer gaan nadenken over de security. Dit doen ze door middel van het event: ‘Capture The Flag’. In deze events krijgen NS-collega’s de kans om te hacken en punten te verdienen als zij zwakheden vinden in een simulatie.
Toekomst
De functie van Bob zit anno 2023 nog erg in de groeifase. Wel heeft Bob één stip op de horizon waar hij graag samen met zijn team naartoe werkt. “Ons team vindt de professionalisering van de red teaming erg belangrijk. Vooral omdat dit nog in de kinderschoenen staat. Dat hebben we nu namelijk beproefd en nu gaan we hier gewoon lekker mee door en willen we dit optimaliseren.” Wel stelt Bob dat het belangrijkste aan zijn baan is dat afdelingen van NS er wat aan hebben. “Het is leuk dat we iets testen, maar het heeft pas echt waarde als de oplossingen snel geïmplementeerd worden en het team leert waarom dat belangrijk is.". Wat Bob nog wil bereiken in zijn functie is dat de red teaming processen nog beter en sterker in te zetten zijn voor het vinden van security zwakheden.
Wil jij ook werken aan de cyber security van NS? Kijk dan op deze pagina.
Caroline
Geen spijt van gehad? “Ik heb geen moment spijt gehad van mijn carrièreswitch naar conducteur” vertelt Caroline. Ze werkt nu al iets meer dan 1,5 jaar als conducteur op standplaats Haarlem. Voorheen werkte ze bij verschillende werkgevers al 19 jaar op kantoor. “Ik wilde vooral van mijn bureau af. Ik wilde niet meer 36 uur stilzitten.” Zo heeft Caroline een sprong in het diepe gewaagd en als conducteur bij NS gesolliciteerd en de daarbij behorende opleiding tot zelfstandig conducteur afgerond.
Als medewerker Veiligheid & Service is geen dag hetzelfde. Wil jij weten wat je allemaal doet als V&S'er bij NS? Onze collega's vertellen je er alles over in deze video.
Pieter Tichelaar
Ook tijdens zijn vakantie is Pieter (33) bereid om tijd vrij te maken voor NS. Vanaf zijn vakantiestek, een bootje in Sneek, vertelt Pieter over zijn functie als senior communicatieadviseur, waarom hij voor NS heeft gekozen, de ontwikkelingsmogelijkheden en zijn toekomst. “Door de vrijheid en het vertrouwen dat ik krijg binnen NS kan ik mij maximaal ontwikkelen”.
Wij, en derde partijen, maken op onze website gebruik van cookies. Wij gebruiken cookies om ervoor te zorgen dat onze website goed functioneert, om jouw voorkeuren op te slaan, om inzicht te verkrijgen in bezoekersgedrag, maar ook voor marketing en social media doeleinden (laten zien van gepersonaliseerde advertenties). Door op ‘Accepteren’ te klikken, ga je akkoord met het gebruik van alle cookies. In onze Cookieverklaring kun je meer lezen over de cookies die wij gebruiken en kun je jouw voorkeuren opslaan of wijzigen. Door ‘Weigeren’ te klikken ga je alleen akkoord met het gebruik van functionele cookies.