Meer vissen in de vijver met de White Hat Office

De afgelopen jaren is de vraag naar technische cyberprofessionals, kortweg hackers, sterk toegenomen. Mensen die niet alleen over ‘cyber’ kunnen praten, maar ook daadwerkelijk over de technische vaardigheden en de juiste attitude beschikken, zijn echter schaars. Erik Akerboom: “Er is een tekort aan mensen die ook kunnen doen en niet alleen bedenken wat er zou moeten gebeuren.”¹ De noodzaak om goede professionals te werven, in te laten stromen en op te leiden, is groot. Onder andere de politie, NCSC, Defensie, de inlichtingendiensten, banken, telecom en ICT-security firma’s willen of moeten groeien op dit gebied. Uit het Trends in Veiligheid 2012 onderzoek van Capgemini, uitgevoerd door TNS NIPO, blijkt ook dat de publieke opinie de mening deelt dat het kennisniveau van overheid (in het bijzonder de politie) moet worden versterkt. Een overtuigende 94% van de respondenten is het eens tot helemaal mee eens met deze stelling.

“Er is een tekort aan mensen die ook kunnen doen en niet alleen bedenken wat er zou moeten gebeuren.”

Aangezien de digitale transformatie die nu plaatsvindt, niet zonder digitale veiligheid kan, verwachten we dat deze vraag alleen maar zal groeien. Gezien de huidige omstandigheden op de arbeidsmarkt, is dat een opvallende ontwikkeling, maar één die past bij de trend van toenemende aandacht voor en actie op cybersecurity. Wetenschappelijke (w.o.) en hogeschool (hbo) informatica-opleidingen brengen echter structureel minder studenten op de arbeidsmarkt dan de vraag.² Dit geldt in het bijzonder voor beveiligingsexperts.³ Verder laat volgens de Taskforce E-skills de aansluiting tussen opleiding en beroepspraktijk te wensen over.⁴ De toenemende vraag naar hackers en het te lage aanbod op de arbeidsmarkt zorgen voor een structureel probleem.

Dit is overigens niet een typisch Nederlands probleem. In de meeste geïndustrialiseerde landen groeit de behoefte aan hackers. Zie bijvoorbeeld het rapport van de Cyberskills Taskforce van het Amerikaanse Department of Homeland Security: “Objective II: Help DHS employees develop and maintain advanced technical cybersecurity skills and render their working environment so supportive that qualified candidates will prefer to work at DHS”.⁵

De White Hat Office als structurele oplossing voor een structureel probleem

Er is een gedeeld belang om het structurele tekort aan technische cyberprofessionals (hbo/w.o.) op een structurele wijze op te lossen. Tot dusverre vist iedereen echter in dezelfde vijver en wordt hooguit slimmer gevist, bijvoorbeeld via het idee van cyberreservisten bij Defensie of vrijwilligers bij de politie. Het aantal vissen blijft echter gelijk, om in de beeldspraak te blijven. Slimmer vissen in de vijver met reservisten, vrijwilligers, maar ook pooling van experts lost maar een klein deel van het probleem op. Als er een groot incident is, zijn de meeste specialisten waarschijnlijk elders bezet en niet inzetbaar. Inmiddels wordt dit probleem wel erkend en wordt er her en der over gesproken, maar mist de concrete actie. We hebben daarom een concreet voorstel: de White Hat Office als publiek-private cyber academy. Het idee van de White Hat Office is dat het publiekelijk en in de ‘scene’ kandidaten werft voor een beperkte, vertrouwde groep publieke en private werkgevers. De kandidaten stromen via een uitgebreid selectietraject in: een psychologisch onderzoek, een praktijktoets en strenge screening maken onderdeel uit van de selectie. Je wordt niet zomaar toegelaten. Alleen goede en integere kandidaten komen binnen: de White Hat hackers. Eenmaal ingestroomd werkt de professional vier dagen in de week bij een deelnemende werkgever en keert een dag in de week terug op de White Hat Office voor opleiding, individuele coaching, onderlinge kennisuitwisseling of experimenten op een eigen technische omgeving. De opleiding omvat niet alleen techniek maar ook adviesvaardigheden en taal (Russisch en/of Chinees). Dat laatste heeft voor een aantal organisaties toegevoegde waarde, maar zeker voor de professionals zelf ook (kudo’s in the community!).

Digitale vrijwilligers bij de politie
De politie werkt vanuit Programma Aanpak Cybercrime (PAC) aan meerdere pilots om digitale vrijwilligers in te zetten bij politiewerk. Dit zijn mensen die op ICT-gebied over middelen of expertise beschikken. Het doel is om digitale vrijwilligers te binden aan de politieorganisatie, onder meer met een op LinkedIn lijkend platform, waar deelnemers een profiel kunnen aanmaken en invullen. Alleen de politie kan dit inzien.⁶

Na vier periodes van zes maanden bij verschillende werkgevers, stroomt de technische cyberprofessional door naar de werkgever van zijn of haar keuze. Participerende werkgevers hebben een belangrijke stem in het wervingsprofiel, de schaal, selectie en het curriculum van de White Hat Office. Zij kunnen ook zelf een bijdrage leveren aan het curriculum, bijvoorbeeld door eigen opleidingsvoorzieningen in te brengen. De exacte invulling van het gehele concept zal dan ook idealiter met een aantal founding fathers⁷ worden bepaald. De White Hat Office is van hen gezamenlijk. Het succesvolle model van de ASL-BiSL Foundation⁸ vinden we wat dit betreft inspirerend om de White Hat Office vorm te geven en te financieren.

Voordelen voor werkgevers en professionals zijn groot

De voordelen voor zowel professionals als werkgevers zijn aantrekkelijk genoeg om te starten met de White Hat Office. Voor professionals is het een brug van hacken als hobby naar betaald werk bij organisaties die bijdragen aan het digitaal veiliger maken van Nederland. Naast salaris ontvangen ze nuttige scholing en coaching en hebben de gelegenheid om met hun peers kennis uit te wisselen om zo nog slimmer en handiger te worden. Voor werkgevers levert deze aanpak snel toegang tot een continue stroom van ‘white hat’ cyberprofessionals. Het gedeelde traject biedt legio voordelen van economy of scale en economy of skill, terwijl de werkgever wel invloed heeft op de hele opzet. Hier tegenover staat, dat het komen tot voldoende generiek en gedragen wervingsprofiel(en) en -methode, selectieproces, opleidingscurriculum, doorstroomtraject, businessmodel en businesscase werk, tijd en aandacht zal vergen.

Waar komen de termen White Hat en Black Hat vandaan?
De White Hat hackers zijn de good guys en worden ook wel ethical hackers genoemd. Deze specialisten zijn op zoek naar zwakke plekken in de ICT-beveiliging om die te herstellen en te voorkomen dat Black Hat hackers ze misbruiken. Black Hats proberen misbruik te maken van kwetsbare plekken, bijvoorbeeld om informatie te stelen. De term White Hat en Black is afkomstig uit oude Westerns, waarin de good guys met een witte hoed getooid gingen en de bad guys herkenbaar waren aan hun zwarte hoed.

Conclusie

White Hat Office heeft de potentie om een gewilde, exclusieve academie voor technische cyberprofessionals van hoog niveau te worden, die toegang geeft tot werk bij aansprekende organisaties in zowel de publieke als private sector. Vertrouwd en praktisch voor werkgevers en dé plek om je carrière te starten in cybersecurity in Nederland. Zeker als de White Hat Office zich ook gaat richten op mensen die minder makkelijk in beeld komen bij grote werkgevers, zoals vroegtijdige schoolverlaters of andere moeilijk traceerbare groepen, levert deze aanpak meer vissen op in de vijver. Het idee is er, de eerste uitwerking ook. Wie doet er mee?

Businessmodel
De ASL-BiSL Foundation kwam voort uit heel andere, maar toch vergelijkbare problematiek als de White Hat Office. Het toenmalige PinkRoccade zag begin jaren 2000 de behoefte bij klanten en concullega’s groeien om het applicatiebeheer en functioneel beheer van ICT-systemen te professionaliseren. Een beheerstandaard als ITIL, maar dan toegespitst, zou daarbij kunnen helpen. Een standaard moet echter gedragen worden een voldoende aantal partijen. Samen met de ICT-organisaties van onder andere politie en Defensie en concurrenten als Ordina richtte PinkRoccade daarom in 2002 een stichting op, die de Application Services Library (ASL) en later ook Business information Services Library als public domain tot op heden is gaan beheren. ASL is inmiddels de ‘de facto’ standaard voor applicatiebeheer in Nederland. Zogeheten ‘managing partners’ – waarvan vele ook founding father – financieren en besturen de stichting en zorgen zo voor doorontwikkeling van de beide standaarden en uitdragen ervan in binnen- en buitenland. Een uitvoerend bureau organiseert publicaties en bijeenkomsten, verzamelt best practices en stuurt de ontwikkeling van de standaarden en de financiering ervan aan.