Op de basisschool las ze voor het eerst een boek over programmeren. Nu, op 26-jarige leeftijd, behoort ze tot één van de (zo niet dé) bekendste vrouwelijke hackers van Nederland. Vrouw zijn en hacker, dat is een combinatie waar veel van haar klanten nog verbaasd van opkijken. Typisch Nederlands, vindt ze dat. Ik sprak Sanne Maasakkers over haar carrière als ethisch hacker.
Hoe raakte je als negenjarig meisje geïnteresseerd in programmeren?
“Grappig, want ik heb mezelf deze vraag ook een aantal keer gesteld. Alhoewel niemand in mijn familie programmeur is werd mijn voorliefde voor exacte vakken zoals wiskunde wel gestimuleerd. Mijn moeder is lerares in het basisonderwijs en gaf me extra oefeningen. Maar ik was al gauw door deze oefeningen heen en zocht naar nieuwe uitdagingen. Tijdens vakanties liet ik boeken uit de Hoe overleef ik-serie links liggen en vermaakte ik me met dikke boeken over codeer- en programmeertalen zoals (toen nog) HTML2. Eenmaal thuis kroop ik achter de computer en begon ik met oefenen. MSN gebruikte ik ik om met andere meiden te chatten die ook bezig waren met programmeren. Het is dan ook niet gek dat mijn spreekbeurt in groep acht over programmeren ging.”
Wat heeft jou uiteindelijk de meeste inhoudelijke kennis opgeleverd?
“Tijdens mijn tijd op de middelbare school verspreidde het nieuws al gauw dat ik websites kon bouwen. Tussen het huiswerk door hielp ik vrienden en familie met het maken van websites. Toen ik eenmaal achttien was schreef ik mij in bij de KvK zodat ik ook echt facturen kon versturen. Bij het maken van de verschillende websites zocht ik veel op via het internet. Je komt dan al gauw op fora terecht waar je andere programmeurs leert kennen. We hielpen elkaar en daar heb ik heel veel van geleerd. Toch besloot ik na het behalen van mijn VWO diploma om een iets bredere vervolgopleiding te gaan doen. Dat leek mij een verstandige keuze. Ik begon vol goede moed met de opleiding Technische Bedrijfskunde, maar al na een paar maanden stapte ik over naar een IT-opleiding waar mijn hart echt sneller van ging kloppen. Daar heb ik natuurlijk het meeste geleerd.”
Waarom ben je gaan specialiseren in de richting van security?
“Tijdens mijn derde studiejaar kreeg ik de kans kreeg om als bijbaan aan de slag te gaan bij een goedlopend bedrijf en die greep ik direct aan. Ik vond werken veel leuker dan leren. Ik kwam terecht in de wereld van identity- en accessmanagement. Daar heb ik geleerd hoe je ervoor zorgt dat de juiste mensen op jouw site terecht komen en de mensen met kwade bedoelingen wegblijven. Daar besefte ik dat security echt mijn passie is, maar achteraf gezien had ik hier stiekem al eerder mijn zinnen op gezet. Elke paper die ik tijdens mijn studie heb geschreven ging over veiligheid. In de tijd dat ik nog studeerde was security vrij onbekend en die geheimzinnigheid trok me aan. Na het afronden van mijn studie heb ik een traineeship gedaan bij Fox-IT op drie verschillende afdelingen die allemaal gerelateerd zijn aan online veiligheid. Tijdens dit traineeship kwam ik erachter dat ik graag wilde leren ethisch hacken.”
Ik tref klanten aan die er bij een hack-demo klakkeloos vanuit gaan dat mijn mannelijke collega de hacker is en ik er alleen ben om mee te doen aan het rollenspel.
Nu ben je hacker en zet je jouw kunde in om bedrijven veiliger te maken. Kun je zeggen dat alles te hacken valt?
“Niets is onhackbaar! Hackers vinden altijd een manier om je systeem of organisatie binnen te dringen. Mijn collega’s en ik zetten vaak als team alle technieken in om een bedrijf online aan te vallen. Zo kijken we hoe weerbaar een bedrijf is. Vaak zie je dat we dan niet binnen kunnen komen tótdat we een phishing mail versturen aan de medewerkers. Zij blijken vaak de zwakste schakel in een behoorlijk waterdicht systeem.”
Je krijgt als hacker veel verantwoordelijkheid. Ervaar jij dit ook zo?
“Bij hackers hebben mensen vaak een negatief beeld. Ze denken dan al gauw aan een achttienjarige jongen in een hoodie die op z’n zolderkamer websites aanvalt. Door het nieuws wordt dit beeld ook versterkt. Maar mijn collega’s en ik zijn ethische hackers en dat houdt in dat wij ervoor willen zorgen dat het internet veiliger wordt. Klanten huren ons in omdat ze willen weten of er een lek in hun systeem zit en hoe ze dat kunnen dichten. Natuurlijk betekent dit dat wij veel verantwoordelijkheden hebben, maar het is niet per sé veel werkdruk. Ik kijk dan een week lang wat ik kan vinden aan lekken en daar maak ik een rapport van op voor onze klanten, zodat zij weten hoe een hacker in hun systeem zou kunnen inbreken. Ik weet dus dat ik altijd m’n best doe en daar gaat het om.”
Hoe vind je dat Nederland het doet op het gebied van security awareness?
“Nederland loopt voor op andere landen als je ziet hoe digitaal wij zijn, maar hackers worden uiteraard ook steeds slimmer en bedenken met de dag nieuwe manieren om ergens binnen te komen. Het is dus belangrijk om up-to-date te blijven. Nederland doet het goed met nationale acties zoals Mijn Kind Online, Alert Online en De week van de Veiligheid. Er wordt veel aandacht besteed aan online gevaren.”
Voelt het hackers-bestaan aan als een mannenwereld?
“Het voelt niet zozeer aan als een mannenwereld, maar het valt mij wel op dat vooral in Nederland mensen raar opkijken als je als vrouw naam wilt maken in de IT-wereld. Neem bijvoorbeeld India, daar is de helft van de IT’ers vrouw en ze lijken niet beter te weten dan dat zo is. Daar tegenover tref ik hier klanten aan die er bij een hack-demo klakkeloos vanuit gaan dat mijn mannelijke collega (die overigens geen enkele IT ervaring heeft) de hacker is en ik er alleen ben om mee te doen aan het rollenspel. Als ik dan vertel dat ik de demo geef zie ik elke keer weer dezelfde verbazing.”
“Dat doet me trouwens denken aan een gebeurtenis die me af en toe nog steeds steekt. In groep acht werden er op de laatste schooldag van de lagere school praatjes gehouden voor elke leerling. In mijn geval werd mijn passie voor computers aangehaald, maar ook aangekaart dat ik deze passie deelde met een mannelijk klasgenootje van me. Ik zal nooit vergeten dat de leraar over mijn klasgenootje zei dat er voor hem een echte baan in het computerwerk in het verschiet lag en dat er voor mij misschien ook wel iets te vinden was. Misschien? Hoezo misschien, dacht ik toen. Nu weet ik dat dat gewoon een vooroordeel was. En moet je mij nu eens zien zitten!”
Nadenken over oplossingen voor grootschalige security-problemen en optreden als rolmodel voor vrouwen in de IT is waarschijnlijk mijn dagelijkse bezigheid in de toekomst
Als je voor een dag een ander beroep zou mogen uitoefenen. Wat zou jij dan willen doen?
“Haha, wil je het echt weten? Als ik een dag iets totaal anders zou kunnen doen dan word ik schoonheidsspecialiste. Ik ben een echt meisje-meisje. Ik houd van nagels lakken en je kunt mij regelmatig vinden in de schoonheidssalon. Ik ben een perfectionist, dus iemands uiterlijk perfectioneren lijkt me fantastisch. Ik zat er toevallig laatst nog aan te denken om misschien eens een cursus te volgen, gewoon voor mezelf.”
Daarover gesproken. Doe je nu nog veel aan bijscholing?
“Jazeker, ik doe nog regelmatig cursussen waarmee ik certificaten behaal. Maar tijdens het werken voor klanten kom ik ook nog steeds nieuwe dingen tegen waarvan ik eerst moet uitvogelen hoe het in elkaar steekt. Gelukkig krijgen wij in ons werk genoeg ruimte om zoiets dan uitgebreid uit te zoeken. Ook werk ik niet altijd met klanten en kan ik mijn vrije uren besteden aan het onderzoeken van onderwerpen die me interesseren. Zo ben ik nu bijvoorbeeld bezig met een onderzoek naar het gedrag van gebruikers op phishing sites. Met die kennis kan ik mijn klanten dan weer beter helpen.”
“Er zijn ook dingen die ik nog wil leren die ik niet uit een cursus kan halen. Ik zit bijvoorbeeld nu op één afdeling, maar ik zou graag meerdere afdelingen met elkaar willen verbinden zodat er sneller geschakeld kan worden bij een aanval.”
Ben je op je 50ste nog steeds een hacker?
“Ik denk dat ik tegen die tijd geen hacker meer ben in de zin van dat ik zelf achter het toetsenbord zit, maar meer op strategisch niveau bezig ben. Nadenken over oplossingen voor grootschalige problemen en optreden als rolmodel voor vrouwen in de IT zal waarschijnlijk mijn dagelijkse bezigheid zijn.”
Wat is jouw grootste droom?
“Afgelopen augustus hebben we bij Fox-IT een Summerschool voor kinderen tussen 8 en 15 jaar georganiseerd. Via dit evenement heb ik kinderen en hun ouders meer geleerd over cyber security. Het is mijn doel om kinderen meer bewust te maken van de gevaren van het internet. Ik wil ze laten zien hoe makkelijk het is om de fout in te gaan. Een wachtwoord van je huisdier is zo geraden en beledigende video op YouTube is niet te wissen. Maar ook het gebruik van apps zoals Instagram en Snapchat kent risico’s. Het zijn apps die slecht worden afgesloten en waar anderen gemakkelijk misbruik van kunnen maken. Het lijkt mij ontzettend tof om een Klokhuis-aflevering te maken over dit onderwerp. Naast kids zou ik ook volwassenen willen bijbrengen hoe zij zich tegen hackers kunnen wapenen. Op die manier impact maken is mijn droom.