Geen producten in de winkelwagen.
Joseph Shenouda (39) was naar eigen zeggen een van de eersten in Amsterdam met kabelinternet. ‘Op mijn negende kreeg ik een IBM van mijn vader, allereerst zonder verbinding. Maar de mogelijkheden werden me al snel duidelijk toen ik het internet eenmaal ontdekte. De informatie die eerst enkel in bibliotheken stond, was nu veel sneller binnen handbereik. Ik ben altijd een onderzoeker geweest, dus dat was echt een verrijking voor mij.’
Een ding viel Shenouda toentertijd ook al op, toen hij als negenjarig jongetje over het internet surfte: echt veilig was het niet. ‘Als je het IP-adres van een computer had, kon je gemakkelijk inbreken op iemands computer. Toen eenmaal de firewalls en anti-virus scanners opkwamen, waren de gevaren eigenlijk al veel verder gevorderd.’
Wat dat betreft, benadrukt de nieuwe Associate Director van Accenture Security, waar wereldwijd zo’n 6.000 security professionals werken, is er weinig veranderd. ‘We proberen het internet veiliger te maken, maar de hackers lopen ver op ons vooruit. Waar in de cyber security alles eerst drie keer getest wordt, kopen hackers een tooltje op het internet en testen het dezelfde dag nog.’
‘Ik bouwde een naam op als degene die je moest bellen als je een virus hebt, maar daarna werd ik voor steeds meer zaken gevraagd.’ Na een studie Rechten in Tilburg, gespecialiseerd in Binnenlandse Veiligheid, werkte Shenouda als cyber security consultant en trainer op verschillende levels – tot aan de NAVO, waar hij landen hielp om zich te wapenen tegen nation state hackers. ‘Een steeds groter wordend probleem van de laatste tijd: landen die met hun eigen intelligence diensten aan het hacken geslagen zijn.’
Trainen
Het willen helpen in dit soort situaties is het meest tekenend voor zijn carrière, denkt Shenouda. ‘Voordat ik kabelinternet had, moest ik via de telefoonverbinding maken: duur en onhandig. In de bibliotheek in Amsterdam Oost kon ik een half uur per week op het internet. Maar ik wilde meer.’ In ruil voor meer internettijd gaf Shenouda in de bibliotheek als jongetje les hoe mensen het internet konden gebruiken. ‘Ik vond het geweldig om mensen nieuwe dingen te leren.’
Ook wat dat betreft is er weinig veranderd, lacht Shenouda. ‘Ik train nog steeds mensen hoe ze om moeten gaan met het internet, zij het op een andere schaal.’ ‘We proberen iedereen ook binnen het bedrijf zo goed mogelijk te wapenen tegen bijvoorbeeld phishing emails, wat nu zo’n 75 procent van de problemen binnen bedrijven beslaat. Aan het eind van de dag is nog altijd de mens de zwakste schakel in de beveiligingsketen.’
Het moet frustrerend zijn: je kunt de hele keten nog zo goed beveiligen, als een medewerker op een phishing mail klikt, is de hacker alsnog binnen. Shenouda vergelijkt het met kinderen. ‘Die doen ook om de haverklap impulsieve dingen, terwijl je ze net uitgelegd hebt dat ze dat niet moeten doen. Daar kun je constant boos om worden en soms is het frustrerend, maar uiteindelijk is de enige oplossing om ze nogmaals bij de hand te nemen en alles uit te leggen.’
Moestuin
Het past bij de status van de branche, die volgens Shenouda nog in de kinderschoenen staat. Als hij de branche ergens mee moest vergelijken, dan zou dat een moestuin zijn. Shenouda, zelf fervent tuinierder: ‘In zakendoen heb je seizoenen: je zaait, je wacht op mooi weer, je geniet van de vruchten, maakt de tuin in de herfst schoon en bereidt het voor voor een nieuw seizoen.’
Cyber security zit nu vooral nog in de ‘onkruidfase’. ‘Er wordt nog flink gewied en gespit, het onkruid moet er nog uit voordat er vaste planten in kunnen komen. Nu heb je er nog veel werk aan om alles in te planten en te zaaien, maar straks zal de zomer komen en zul je af en toe moeten wateren: de verplichte jaarlijkse herhaaltrainingen om alert te blijven.’
Maar tot die tijd is er nog genoeg werk aan de winkel: ‘Vanaf 2013 is er binnen bedrijven echt budget gemaakt voor de digitale beveiliging, vanaf toen werd het echt serieus genomen.’ De laatste jaren merkt Shenouda dat het onderwerp steeds meer gaat leven. ‘Maar nog steeds zijn er genoeg bedrijven en mensen die denken dat het hen niet overkomt.’
Opvallend is dat militaire organisaties en industriële doelen als energie- en watercentrales de beveiliging het hardst nodig hebben, maar de beveiliging daar veelal nog steeds niet zo goed is als bij veel bedrijven. ‘Tegelijkertijd is dat logisch: ze zijn pas later doelwit geworden. Een voordeel is dat ze veel van bedrijven kunnen leren, die hebben eenzelfde weg afgelegd.’
Aan hem wederom de taak om te trainen en op te leiden. Want al leidt hij nu de cyber security praktijk in Nederland , Shenouda is niet van plan om te regeren vanuit zijn ivoren toren. ‘Ik ben, zeker in deze branche, een groot fan van technisch leiderschap. Ik heb veel inhoudelijke kennis en kan helpen en meedenken waar nodig, maar ik stuur vooral op output. Waar nodig denk ik mee.’
Het is volgens hem typerend voor hem als leider – én broodnodig in deze branche. ‘Als hier een manager zou zitten zonder kennis van zaken, houdt dat het bedrijf tegen in de ontwikkeling. En dat is precies wat we niet nodig hebben in de cyber security.’
