Ze loopt rustig naar binnen, vindt een werkplek en klapt haar laptop open. Niemand kijkt raar op, niemand stelt vragen. Niemand weet dat deze jongedame net buiten nog een tijdje moed aan verzamelen was om het gebouw in te durven. Niet omdat ze opkeek tegen haar eerste werkdag hier, maar omdat ze hier helemaal niet mag zijn. Omdat ze een indringer is. Maar ook weer niet helemaal.
Ouissal Touhaf (23) is hier in opdracht, als mystery guest, om te testen hoe makkelijk ze het gebouw binnen kan komen en welke gevoelige gegevens zij vervolgens in handen kan krijgen. Eenmaal binnen blijkt dat ze lekker haar gang kan gaan; ze kan overal komen, postvakjes staan open en enveloppen zijn niet geseald. Overal maakt ze foto’s van. Bewijsmateriaal, voor de klant. En als haar werkdag erop zit, loopt ze weer rustig naar buiten.
’Ik wist niet dat ethical hacking een beroep was’
‘Spannend werk en flink uit mijn comfortzone,’ vertelt Ouissal, die als ethical hacker meestal achter een beeldscherm zit om legaal in te breken in digitale systemen van bedrijven en overheden. Of ze hangt met klanten aan de telefoon om met een nepverhaal persoonsgegevens te ontfutselen. ‘Dit soort ‘gekke’ opdrachten maakt het werk nog leuker en afwisselender. Het is nooit saai.’
Op haar vijftiende leerde Ouissal bij toeval de wereld van het hacken kennen. Ze ontdekte op haar eigen laptop dat veel camera’s niet beveiligd zijn. Via het IP-adres kon ze zomaar meekijken op de campus van een Amerikaanse universiteit. ‘Toen dacht ik wel: wow, dit is echt cool. Misschien moet ik bij de politie gaan werken. Maar ik wist niet dat ethical hacking een beroep was. Tijdens mijn studie forensisch ICT leerde ik daar wel over, maar het leek mij toen erg ver van mijn bed; niks voor mij, te moeilijk, kan ik niet.’
‘Zo gaaf om te doen’
Ouissal zag haar toekomst voor zich in het forensisch vakgebied, zoals bij de politie, maar na een paar stages besloot ze toch een andere weg in te slaan. Ze greep de mogelijkheid aan om af te studeren bij het cybersecurityteam van BDO, niet per se met een concrete functie in het achterhoofd. ‘En hier is ethical hacking min of meer op mijn pad gekomen en nu wil ik voorlopig niets anders meer! Het is zo gaaf en spannend werk om te doen.’
Sinds twee jaar is ze in dienst bij BDO, als een van de acht ethical hackers die het team rijk is. Met als uitvalsbasis kantoor Utrecht, maar de teamleden zijn vrij om op andere locaties hun laptop open te slaan. ‘Ik woon in Amsterdam en kan op andere BDO-kantoren, zoals in Amstelveen of Den Haag, werken als dat voor mij handiger is. Of thuis. Met BDO als werkgever is dit heel flexibel, en mag je voor jezelf bepalen waar je liever werkt. Ook is er ruimte voor persoonlijke ontwikkeling. Zo krijgen we de kans ons te laten certificeren en ons verder te specialiseren in ons werk.’
‘Als de beveiliging niet goed is, kunnen we heel ver komen’
De ethical hackers van BDO onderzoeken bij hun klanten de kwetsbaarheid van systemen en adviseren vervolgens over de verbetermogelijkheden. ‘We doen hetzelfde als criminele hackers, maar dan met positieve intenties. We gaan dus, uiteraard, niet zo ver dat het consequenties heeft voor de klant. We gaan wel ver genoeg om aan de klant te kunnen laten zien wat de risico's zijn als ze slachtoffer zouden zijn geweest van een aanval. We hebben veel verschillende klanten en opdrachten, wat ons werk ook heel gevarieerd maakt.’
Fysiek toegang verkrijgen tot een pand kan onderdeel zijn van een interne test of red teaming-opdracht. ‘Afhankelijk van de aard van de opdracht; als het gaat om een reguliere interne test, worden we netjes verwelkomd bij de receptie en hebben we een werkplek. Maar wanneer we onaangekondigd langskomen, moeten we zelf een werkplek zien te bemachtigen. Via een netwerkaansluiting krijgen we dan toegang tot het interne netwerk. De scope van zo’n test is dus heel groot. En als de beveiliging niet goed is, kunnen we heel ver komen. Denk aan vollédige controle krijgen over het volledige netwerk! Dat zijn hele grote risico's, dus hele leuke testen om te doen.’
‘Ons team is jong, divers en supergezellig!’
Ouissal vindt haar werk bij BDO, binnen het cybersecurityteam, lekker gevarieerd en soms flink uit haar comfortzone, zoals met die mystery guest-bezoekjes. ‘Als je jezelf wilt uitdagen, zoals ik, is het echt een goede match. Ook als je iemand bent die heel creatief is, out of the box denkt en zelf graag met initiatieven komt. Het is een hele gevarieerde, fast paced job. En ons team is jong, divers en supergezellig! We nemen ons werk heel serieus, maar gaan heel informeel met elkaar om en kunnen echt lachen met elkaar. En die goede sfeer komt ons werk alleen maar ten goede!’