475 – Wie kiest er waar jouw data staat?

Randal Peelen:
[0:00] In deze aflevering hoor je hoe het is om als 13-jarig hackertje tegenover de directeur van de ABN te zitten, waarom Responsible Disclosure soms niet genoeg is en je Full Disclosure moet gaan, en hoe je al je afhankelijkheden mooi, menselijk en met een prachtig design in kaart kunt brengen.

Randal Peelen:
[0:28] Welkom bij Met Nerds om tafel. Mijn naam is Randel Peen en onze gastnerds van vandaag zijn Marike Smits en Mischa van Geelen. En dan moet ik misschien zeggen Marike Rijken tegenwoordig. Ja, want je hebt het zo op LinkedIn staan.

Marieke Rijken:
[0:40] Ja, al een jaar of drie.

Randal Peelen:
[0:41] Ja, je zit hier zo vaak en elke keer heb ik jou aangekondigd als Marike Smits.

Marieke Rijken:
[0:45] Ja, ik dacht misschien moet ik mijn naam er weer terug veranderen.

Randal Peelen:
[0:47] Ja, dat is handig voor mij.

Marieke Rijken:
[0:48] Misschien makkelijker voor jou.

Randal Peelen:
[0:49] Ja. Marike zit diep in de Nederlandse hackers community, bijvoorbeeld bij DVD en als projectlead bij Hackers Camp Y 2015. En je zat hier al een aantal keer eerder aan tafel.

Marieke Rijken:
[1:01] Ja, altijd met mijn vrienden.

Randal Peelen:
[1:02] En je zit ook heel erg leuk op onze Slack. Op al onze Slacks eigenlijk ook nog eens een keer. Dus de kans dat een luisteraar jou al een keer eerder heeft gehoord, die is aanwezig. Welkom terug.

Marieke Rijken:
[1:14] Thanks.

Randal Peelen:
[1:15] En vorige week kon ik even niet op de naam van jullie startup komen. En toen heb ik daarvoor mijn excuses gepleegd. Ik heb Harakiri overwogen. Maar ik dacht, misschien is het wat beter voor de wereld als ik gewoon jullie startup in goede aanwezigheid uitnodig. En daarom hebben we dus ook Misha hier zitten. En ja, als ik jou google, dan kom ik erachter dat je toch wel een soort van bekende hackerachtige persoon bent in Nederland. En ik ben bang dat ik je dus ook even aan moet doen om zo meteen door te vragen over hoe je dat bent geworden. Maar jullie werken dus nu samen aan een gemeenschappelijke start-up genaamd Adverse IQ.

Mischa van Geelen:
[2:01] Klopt.

Randal Peelen:
[2:02] Misha, welkom. Leuk dat je hier ook een keer zit. Zoveel podcasts al gedaan en nu dankzij Marike toch ook een keer in mijn nerds om tafel. Ik ben dankbaar.

Marieke Rijken:
[2:11] Ik had een streak van vier weken achter elkaar iemand hier, dus nu dacht ik, nou ik moet Misha.

Randal Peelen:
[2:15] Wat lekker.

Marieke Rijken:
[2:16] Ja toch?

Randal Peelen:
[2:17] Ja toch? Ja, Misha, ik ga even bij jou origin story beginnen met als reden dat ik graag de, situatie schets wil doen waarom jij zo betrokken bent geraakt bij het wel en wee van Nederland, maar ook het inzichtelijk maken van dingen die fout kunnen gaan. We hebben hier al een poosie zitten praten met een pokebol voor onze neus en gezellig kennis gemaakt. En ik merk als rode draad in veel verhalen die jij vertelt dat het voor jou een persoonlijke frustratie is. Dat sommige dingen niet kloppen, niet in de haak zijn, niet goed geregeld zijn. En dat je dat dan bloot wil leggen en wil niet per se helpen oplossen, maar in ieder geval iemand moet het oplossen. En ik denk dat dat verhaal misschien begint bij jouw eerste hack. en het hek waar je in ieder geval bekend mee bent geworden, al toen je dertien was.

Mischa van Geelen:
[3:16] Ja, dat was inderdaad, je refereert denk ik naar de kwetsbaarheid die ik zelfs vond bij de ABN Amro. Ja, en grappig genoeg was ik al een tijdje denk ik gewoon op internet actief meer, het maken van websitejes, gewoon een beetje als dertienjarig een beetje rondbangeren op de internet, maar dat is niet het normale dertienjarige. Maar ja, ik heb altijd vanuit huis mee gekregen van joh, als je iets ziet wat niet klopt, dan moet je proberen om daar iets mee te doen. En om in dit geval, was dat voor mij, dus contact opnemen met de bank. Joh, zit er kwetsbaar uit in jullie systeem. Dat moet je oplossen. Dat is niet handig.

Randal Peelen:
[3:58] Ik vind het wel schattig van je, want ik heb rond die leeftijd mijn eerste mailbom verstuurd. En toen heeft de ISP me afgesloten. En daar heb ik geen zak van geleerd. Behalve hoe je mailbommen moest sturen.

Mischa van Geelen:
[4:13] Ja, vanuit mij was het echt, denk ik, die intrinsieke drijf. En dat is het nog steeds om, ik denk, de wereld om ons heen gewoon een beetje veiliger en een beetje mooier te maken. Dat is ooit waarom ik daarmee begonnen ben. En het begint natuurlijk heel gek. Want ja, hoe stuur je een mailtje naar de bank, zeg maar, om te vertellen van je systeem is stuk. Dat is best lastig en ik heb destijds mijn beste ingeweten mailtje gestuurd en kreeg daar daadwerkelijk reactie op en mocht dus bij de bank op kantoor komen. Dus ik weet nog heel goed dat ik een mailtje krijg van het Kaliber. Nou, we nodigen je graag uit om te laten zien wat je gedaan hebt. laat even weten wat je kenteken is voor je auto, zodat je je zeg maar ook bij ons voor de deur kan parkeren in het parkeergarage, dat is vanuit hun perspectief was het totaal niet ze wisten eigenlijk niet wie ik was en wie er voor zich en wie er voor hun kwam zeg maar, Ja, dat is best wel gek. Dat je daar aan tafel mee maakt. Dat je aan tafel zit, met drie directeuren aan de overkant van de tafel.

Randal Peelen:
[5:20] Want wacht even, je was dertien.

Mischa van Geelen:
[5:21] Ja.

Randal Peelen:
[5:21] En daarom had je dus geen auto.

Mischa van Geelen:
[5:23] Ja.

Randal Peelen:
[5:24] Maar ben je dan wel gebracht door je ouders of zo?

Mischa van Geelen:
[5:27] Ik ben dus met mijn ouders, met mijn moeder, ben ik daar naartoe gegaan. Om dus, zeg maar, ze wilden dat ik op z'n weg kwam om uit te leggen wat ik had gedaan.

Randal Peelen:
[5:37] Wat heerlijk. Wat had je gedaan?

Mischa van Geelen:
[5:39] Ik had een kwetsbaarheid gevonden in het internetbankieren gedeeld van ABN AMRO. En dat kwam omdat thuis bankierden we bij de ABN AMRO. En daar kon je in principe, informatie mee opvragen van andere rekeningen bij wijze van spreken.

Randal Peelen:
[5:58] Jij zegt bij wijze van spreken, maar ik hoor hier eigenlijk tussen de regels door, jij kon allermans saldo checken.

Mischa van Geelen:
[6:05] Dat zou je zo kunnen zeggen, ja.

Randal Peelen:
[6:08] En dan is het natuurlijk logisch dat je als 13-jarig jochie met de directeur gaat praten. Want hallo, wie moet het anders gaan oplossen?

Mischa van Geelen:
[6:18] Ik kwam er eigenlijk per toeval achter, alhoewel ik mijn moeder aan het helpen was met iets met internetbankieren. En ik dat fout zag gaan. Ik dacht van wacht even, maar dit klopt niet helemaal. Dit zijn andere transacties, hier gaat iets fout zeg maar.

Randal Peelen:
[6:35] Ja.

Mischa van Geelen:
[6:36] En ja, mijn eerste reactie was, dat moeten we gaan melden, want dat wil je wel, opgelost hebben. Dat was een beetje, ja.

Randal Peelen:
[6:44] Moet je hier ook geheimzinnig over doen of is dit zo verjaard dat het allemaal best wel uitgelegd kan worden inmiddels?

Mischa van Geelen:
[6:49] Ik ben altijd daarin gewoon heel, heel terughoudend. Omdat het, weet je, het gaat toch ook over informatie. En uiteindelijk, we hadden toen ook nog niet iets wat je nu moet responsable als closure.

Randal Peelen:
[7:01] Ja, precies.

Mischa van Geelen:
[7:02] Dat is daarna. Dit was echt daarvoor nog. Het was net een beetje, kwam dat.

Randal Peelen:
[7:07] Ja, en dan wil ik je skills niet tekort doen. Maar het klinkt wel als het type foutje dat zo knullig was dat het je opviel. Het is niet dat jij daar jezelf 72 uur achter de computer had opgesloten. Net zolang totdat je een fout had opgesproken. Je was er niet actief naar op zoek.

Mischa van Geelen:
[7:23] Nee, maar dat was en dat is nog steeds wel helaas de staat van veel IT-systemen. Het is nog steeds best wel basaal qua fouten. En dat zie je eigenlijk nog steeds.

Marieke Rijken:
[7:33] En vaak is het ook zo dat je ergens gewoon tegenaan loopt. Dat je denkt, oh, hoezo werkt dit zo? Oh, maar wacht, kan ik dan ook dit doen?

Mischa van Geelen:
[7:40] En dat was het ook. Ik had ooit websites gemaakt, dus ik snapte een beetje hoe je een website moet bouwen. En de logica daarachter ook. En dan zie je ook ineens overal hoe het stuk kan.

Randal Peelen:
[7:50] Ja, precies. Je hebt een forum en een post en een get.

Mischa van Geelen:
[7:52] Ja, en je moet dus op het juiste moment op de juiste plek zijn. Maar tegelijkertijd moet je ook snappen wat je dat werkt ziet gebeuren.

Randal Peelen:
[8:02] Ja, dat is wel mooi dat je dat zegt. Als je het zelf al een keer gebouwd hebt, snap je veel basaler. In ieder geval de ingrediënten van de soep. En dat wil nog niet zeggen dat je die soep kan koken. Maar als iemand anders die soep heeft gekookt, kun je wel de gehaktballetjes aanwijzen. Holy shit, deze metafoor gaat. Lekker.

Mischa van Geelen:
[8:19] Ja, maar dat is wel zeg maar. En het zorgt voor mij ook echt voor een stuk interesse. Want het was best wel bizar. Je komt dus aan op een groot hoofdkantoor daar. en je wordt dan naar binnen begeleid en dan zit je ineens in een veel te grote conference room met drie bankdirecteuren en die gaan wel eens eventjes jou aan de tand voelen wat jij gedaan hebt mhm, En dat was best wel, ik vond het best wel bijzonder, dat moment een beetje intimiderend.

Randal Peelen:
[8:47] Ja, en kon je het ook echt uitleggen? Want ik zou nu denken, en ik denk dat de markt en jij zelf inmiddels een stuk volwassener zijn dan, dit is, nou gezien je leeftijd waarschijnlijk 20 jaar geleden. Toch, zoiets?

Mischa van Geelen:
[9:02] 13?

Randal Peelen:
[9:02] 13 jaar geleden. 13 jaar geleden ben je zo jong. Lekker, wat heerlijk. En dan heb je zo'n directeur tegenover je, waarvan ik nu inschat, En dat is misschien de aanname dat dat niet de meest technische bink van de vereniging is.

Mischa van Geelen:
[9:16] Nee, maar hij nam het wel vrij serieus. En tegelijkertijd was ik wel de boodschap, wat jij hebt gedaan, dat is eigenlijk niet oké. Maar we zijn heel blij dat je het gemeld hebt.

Randal Peelen:
[9:25] Precies.

Mischa van Geelen:
[9:26] Dus dat was een heel dubbel gevoel, zeg maar. Uiteindelijk heeft het ertoe geleid dat ze, dat vond ik het belangrijkste, dat ze die kwetsbaarheid oplossen. Dat is waarvoor ik daar zat. maar daar kwam ook wat anders bij namelijk, kom je bij ons stage lopen bij het Security Operations Center dat is wel grappig dat pasje, dat hebben we nog steeds bij ons op kantoor in de vitrinekast liggen van een 13-jarige Misha die daar dus gewoon echt zes maanden mogen rondbanyeren.

Marieke Rijken:
[9:56] Dus sprak van de week toch nog iemand die, je hebt toch nog steeds contact met sommige mensen met wie je toen samen hebt gewerkt ja, zeker dat is ook wel mooi dat je gewoon 13 jaar later je gaat dus al 13 jaar mee in cyber zeg maar, en je bent, En dit is nooit zo heel belangrijk, maar hij is wel jonger dan de gemiddelde cybersecuritypersoon, zeg maar.

Randal Peelen:
[10:13] Ja, ik vind het leuk dat je daar in zekere zin toevallig in rolt. In die zin dat je niet van plan was om stage te gaan lopen bij de ABN. En dit was ook niet een verkapte sollicitatie. Maar tegelijkertijd is het ook weer niet zo toevallig, omdat hier je interessegebied ligt. Dus de kans dat jij vroeg of laat ergens een kwetsbaarheid had ontdekt. En dat dat moreel kompas dan in jouw geval slaat naar ik ga dit melden. Terwijl volgens mij de wereld genoeg voorbeelden bestaan. Van mensen die dan juist te ver gaan. Die het helemaal niet melden. En soms komen die later wel weer op het rechte pad. Maar vaak genoeg ook niet of nooit.

Mischa van Geelen:
[10:51] Nee, ik vind dat heel zonde. En dat is ook een van de dingen. Toen zat ik eigenlijk ook een beetje. Om dezelfde leeftijd van de jaren of vijftien. Werkte er voor mij niet echt op school. Dat ging niet. Ik functioneerde niet zoals de gemiddelde scholier. Dus daar kwam ik vervolgens in de knel. Ik wist dat ik wel iets kon. Dat ik mensen kon helpen. Maar niet op de manier zoals andere mensen dat uit bedacht hadden van mij. Met ga maar naar school. Ga maar een opleiding doen. En dan kom je er wel. En mede met dank aan Astrid. Die bij jou vorige week. En vorige week was dat toch?

Randal Peelen:
[11:30] Astrid Hozenbrug was hier vorige week de gast. Die name dropte jou ook als soort van toevallige bijkomstigheid. En ik vond dat wel indrukwekkend. Want voor mij is Astrid degene die ik name dropt. Maar voor haar ben jij dat.

Mischa van Geelen:
[11:46] Astrid, wat ik proberen heb geleerd toen op vrij jonge leeftijd. Is dat ik kwam er niet meer uit met school. Want dat werkte niet. En op een gegeven moment krijg je zo'n gebleven met de leerplicht. Omdat je niet meer naar school gaat. Want het werkte voor mij niet.

Randal Peelen:
[12:01] Het verhaal was voor mij herkenbaar tot het punt dat ik zelf nooit in aanreiking gekomen ben met je leerplicht.

Mischa van Geelen:
[12:06] Nee, en dat was het moment dat ik heb geleerd, oké, misschien moet ik hulp gaan vragen. Dus dat heb ik ook gedaan. Want ik was Astrid, ben ik ooit tegengekomen in 2014 bij het ESP Jaarkongres. Daar was hij toen net als Tweede Kamerlid. En daar mocht ik dus, met Chris van het Hof samen, mocht ik iets vertellen over dat ik inmiddels toen iets van 500, 600 kwetsbaarheden had gemeld.

Marieke Rijken:
[12:32] Sorry. 500, 600 kwetsbaarheden? Ja. En dat is twee jaar verder. Dus in twee jaar tijd? Oh shit.

Mischa van Geelen:
[12:40] Het was en het is nog steeds best brak. Maar het wordt wel beter langzaam. Maar dat was het moment dat ik ooit afstand heb leren kennen. En vrij kort daarna kreeg ik wat hoofdpijn met de leerplicht. En dan heb ik daar een bericht gestuurd. We hebben elkaar toegesproken. Help. En ze zei, dat is goed. En vervolgens zegt ze, kom maar langs bij me op de Tweede Kamer. En toen zei ze, daadwerkelijk zei dat ze, ik herken dit verhaal heel erg. Dus ik wil je graag helpen. En vanuit daar toen heb ik, is het van mij geregeld dat ik ergens anders een soort van training kon gaan volgen. Dat ik in ieder geval van die leerplicht af was. en dat ik gewoon naadwerkelijk kon doen waar ik goed in was.

Randal Peelen:
[13:28] Mooi begin.

Mischa van Geelen:
[13:29] Ja, maar wel, daarmee heb ik wel echt een les gelezen. Het is oké om soms ook gewoon hulp te vragen.

Randal Peelen:
[13:35] Ja. En die hulp kwam uit een, voor jou misschien niet onverwachte hoek, maar het klinkt wel vergezorgd om Tweede Kamerleden om hulp te vragen als je het niet zo goed doet op school. Ik vind het wel een verhaal dat aan de ene kant heel mooi is en romantisch, maar ook wel diep treurig. Want het zou niet nodig moeten zijn.

Mischa van Geelen:
[13:59] Nee, maar we hebben dat te gaan nog steeds niet goed geborgd voor meer neurodiverse mensen. Dat die ook gewoon een plek hebben als dat soms niet het onderwijssysteem is. En dat is echt wel een ding.

Randal Peelen:
[14:12] Ja.

Mischa van Geelen:
[14:12] Nog steeds.

Randal Peelen:
[14:13] Want ik denk dat een heleboel, nou laat ik voor ons team spreken. Ik heb mijn school wel afgemaakt, maar dat was na een periode van flink wat speciaal onderwijs ook. En eigenlijk na de middelbare school dacht ik dikke doei. Ik ga gewoon niet studeren. En ik zoek zelf wel hoe ik terechtkom. Ik was toen destijds heel fanatiek op de website Tweakers. Ik denk nou het hoogst haalbare in het leven. Is als ik ooit bij Tweakers kan komen werken. Nou ik had er één nultje voor nodig. En diezelfde week nog was ik op kantoor. En kon ik mijn arbeidsovereenkomst tekenen. En dat was voor mij wel een moment dat voor mij het kwartje viel. Dat het leven als je een beetje mazzel hebt best wel maakbaar is. Dus ik vind het altijd moeilijk om te vertellen. Want enerzijds is het best wel. Het is ook wel een vorm van privilege. Zo makkelijk aan werk komen. Slim genoeg zijn om te snappen. En een tijdperk opgroeien waarin dat heel nuttig en gewild is. Tegelijkertijd, ja hallo. Ik heb ook die jaren speciaal onderwijs achter de rug. Waarin ik niet begrepen ben. En veel pech had met het systeem.

Mischa van Geelen:
[15:23] En dat is wel herkenbaar. Want dat gaat ook altijd als nerd altijd het buitenbeentje.

Randal Peelen:
[15:27] Het feit dat ik, en ik denk dat dat voor jou ook wel geldt, het om hebben kunnen draaien naar geluk eigenlijk, want zo zit je hier nu... Dat is ook niet iedereen die met zulke uitdagende hersens geboren wordt gegeven.

Mischa van Geelen:
[15:45] Ik denk dat het ook een stukje durven is. Gewoon op een gegeven moment durven en niet geschoten is. Nooit een konijn op je part, zeg maar. Maar dat is het deel. Je moet op een gegeven moment ook durven om jezelf kwetsbaar op te stellen. Ook om hulp te vragen.

Randal Peelen:
[15:58] Marieke merkte het net al heel scherp op. Je zei op een gegeven moment dat je in niet heel veel tijd een paar honderd kwetsbaarheden had gevonden. Dat geeft een beetje aan dat je er vanaf dat moment wel van het ik nou op zoek was. Hoe was die tijd?

Mischa van Geelen:
[16:14] Het was, ja het klinkt een beetje flauw, maar het was ook een beetje prijsschieten. Want het was echt overal waar je keek en ergens tegenaan schopte, dan viel het bijna om.

Randal Peelen:
[16:22] Hoe pak je dat aan? Je komt uit school, je gaat achter die computer neer en dan typ je een willekeurige website in? Of wat was je aan het doen?

Mischa van Geelen:
[16:29] Nou ja, ik liep er dus heel vaak, ik liep er nog steeds heel vaak tegenaan. En op een gegeven moment ben ik wel gaan kijken van, god, je had bijvoorbeeld een lijst van de overheid met domeinen erop. En dan ben ik gewoon gaan rondkijken van, god, waar zit wat? En wat voor kwetsbaarheid is het? En dan gewoon vervolgens melden. En dat was het dan, zeg maar. Dat was een beetje, en men dagelijks zei, hou wel gewoon dat je schetstherapie de zaak is.

Marieke Rijken:
[16:57] Met hol misschien?

Mischa van Geelen:
[16:58] Ook, ook. Maar het is ook een stukje snappen. Het was voor mij ook een stukje. Een beetje het internet ontdekken. Op een bijzondere manier denk ik.

Randal Peelen:
[17:07] Want er was wel een bepaald soort kwetsbaarheid. Waar jij op een gegeven moment een neus voor kreeg denk ik. Het is niet zo dat als je. Heel veel bedrijven zeggen wel. We zijn altijd wel te hacken. Als iemand echt zijn tanden erin zet. Dan is bijna niks veilig. Maar dit is meer wat je zegt met hagelschieten. Volgens mij ook een website. Kijk even onder de motorkap. Ik zie niet direct wat. Ik ga naar de volgende website.

Mischa van Geelen:
[17:31] Ja, maar het is ook wel. Ook voor de partij die zeggen. Als je echt je best doet. Dan zijn we altijd wel te hacken. Het ligt echt wel wat genuanceerder, want heel veel is nog steeds gewoon basis. Heel veel zijn dingen die echt al zo lang gewoon als basisveiligheidsmaatregel niet geïmplementeerd is. Niet geïmplementeerd wordt, waardoor het dus nog steeds fout gaat.

Randal Peelen:
[17:50] Heb je een voorbeeld?

Mischa van Geelen:
[17:53] Nou, het meest bekende voorbeeld, was bijvoorbeeld bij de, inspectie voor de jeugd, zeg maar. waarbij de hele website en alles wat eraan zat... gewoon van begin tot eind vol zat met SQL injections. En waarbij je gewoon... SQL injections is in principe een diepe kwetsbaarheid... waarmee je de database kan uitlezen. En dan kan je er van alles mee doen. Je kan nieuwe dingen in de database zetten. Je kan informatie eruit trekken die gevoelig is... maar je kan ook dingen gaan verspreiden via die website. En dan zat het helemaal vol. En ik heb echt tot vijf keer toen met die beheerder... op een gegeven moment contact gehad... En die weigerden gewoon om het op te lossen. En die zeiden, ja, maar dat hoort zo. Ja, nee, maar ja, dat zit er al zo lang in. Dus ik vind het heel bijzonder dat je het niet gevonden hebt. Dankjewel. Maar dat waren letterlijk uitspraken die niet eens de moeite doen om het te begrijpen. Totdat op een gegeven moment het te heet onder de voet werd. Toen werd het ineens wel opgelost. Omdat anderen er wat gaan gaan vinden.

Randal Peelen:
[18:53] Het moet een keer misgaan eigenlijk soms.

Mischa van Geelen:
[18:56] Helaas gaan mensen komen en vaak pas dan in actie. Maar je hoopt daarvoor.

Randal Peelen:
[19:01] Maar, sorry.

Marieke Rijken:
[19:03] Eigenlijk is er in dat de tijd nog helemaal niet zo heel veel veranderd. Want dit is nog steeds zo eigenlijk. En je moet nog steeds met het eerst misgaan voordat mensen een keer iets mee gaan doen. En het is nog steeds allemaal brak. En als je er tegenaan schopt of niet, dan valt het om.

Mischa van Geelen:
[19:14] Met incidenten zijn we altijd grappig van, ja, weet je, dat is het moment dat je alles gaat regelen. Want daarna willen ze niet.

Marieke Rijken:
[19:21] Maar er zijn toch ook twee momenten waarin mensen veranderen. Intensieke motivatie of als ze pijn hebben. En soms moeten ze eerst pijn leiden. Helaas. Gun het niemand. Maar soms is het wel nodig. En dan... toch?

Mischa van Geelen:
[19:32] Ja. Ik hoop altijd op een of andere manier de intrinsieke motivatie te sparken, maar inderdaad soms dan kan je niet anders dan...

Marieke Rijken:
[19:39] Heb je eigenlijk wel eens een minder positieve ervaring gehad? Want ook je allereerste ervaring met ABN, dat is echt uit een sprookjesboek voor hackers, zeg maar. Want er zijn maar heel weinig hackers die dat zo hebben. Heel veel mensen moeten een NDA, of die worden achterna gezeten, legal. Maar jij was misschien nog zo fluffy en schattig dat ze toen dachten, nou oké...

Mischa van Geelen:
[19:57] Dat hielp wel een beetje mee.

Marieke Rijken:
[19:58] Ja? Zou je het anders zijn geweest als je een beer van een fan van 42 was geweest?

Randal Peelen:
[20:03] Ik ben een kenteken.

Mischa van Geelen:
[20:05] Weet ik niet, want het is ook de manier waarop ik communiceerde. Het was voor mij altijd vanuit ik zie dit probleem, niet ik vind er wat van mij, ik zie dit probleem. Ik denk dat je er misschien wat mee wilt. En een prettige dag verder. En er zat nooit iets onder. En ik denk dat daar ook wel... Ik verwachtte ook niets terug. En dat was voor menig... Die ik op de mail of aan de telefoon kreeg. Best een soort van... Wat wil je dan? Was vaak de eerste vraag. Ik wil niks. Ja, los het op. En dat helpte denk ik ook al mee. Mijn mailtjes die ik stuurde waren altijd heel erg netjes. Dus heel erg gewoon, ik denk dat dit er zit. Probeer het op te lossen alsjeblieft. En fijne dag verder. Dus ik denk dat die insteek mij ook wel erg ver gebracht heeft. Omdat ik niet bezig was met iets anders dan los het alsjeblieft op.

Randal Peelen:
[20:57] Ja, maar ik denk dat Marieke wel wat op het spoor is. Want twee verhalen die ik heel erg herken van mensen die het leuk vinden om kwetsbaarheden te vinden zijn. Of ik meld het en het wordt genegeerd. Ik hoor nooit wat terug. Of ik meld het en er komt een soort van tegenaanval. En dan heb je ook nog een heel klein stukje. Ja, het is gelijk opgelost. Bedankt, hier is een taart. Weet je wel, ik sta op de halveen.

Mischa van Geelen:
[21:22] Ik heb al een paar keer gehad dat ik geen reactie heb gehad. Maar mijn reactie daarop was dan vaak nog een keer een mailtje erachteraan. En kijken of ik nog iemand anders kan bereiken. En enkele keer heb ik bijvoorbeeld het NCRC om hulp gevraagd. Ik weet niet hoe ik deze partij moet bereiken. Kunnen jullie mij helpen? En dat hielp vaak wel.

Randal Peelen:
[21:40] Ja, want als ik zo even hard op film, jij bent in een paar jaar tijd, je zei zelf 600 kwetsbaarheden tegenkomend. Dus, ah, je hebt dat zitten tellen. Dat getal volgens mij niet zo uit de mouw. Had je dan ergens een Excel-sheet met ik heb dit gevonden, ik heb ze zo vaak gewaarschuwd, ik heb die en die gesproken. Hield jij dit echt bij?

Mischa van Geelen:
[22:03] Gedeeltelijk. Niet, zeg maar, het zou een beetje onhandig zijn, dat besef ik ook wel van, goh, ik ga even kwetsbaarheden in een lijstje vastleggen. Dat is ook niet heel handig. Maar ik hield wel bij met wie ik contact heb gehad. Met welke organisatie. En het onderwerp. En dat. In ieder geval om ervoor te zorgen dat je. Nog een keertje kan opvolgen.

Randal Peelen:
[22:27] Want waar haal je de motivatie vandaan. Om dat te blijven melden. Want als Marieke en ik zeggen. Het leeuwendeel van de meldingen. Krijg ik geen reactie. Dan ben ik het type persoon. Dat er op een gegeven moment een handdoek in de ring gooit. En dan zie ik iemand met een. knijterslekke websites en denken, ja, kut voor je, mijn probleem niet.

Marieke Rijken:
[22:48] Dat is misschien ook wel de uitdaging dan, of de sport, om dan misschien... Nu vul ik het voor jou een beetje in, sorry hè. Misschien ook wel juist dan de sport om juist wel iemand te vinden. En we hebben best wel vaak gehad dat we via het management... of via de klanten of de gebruikers, dat je ze op die manier benadert.

Randal Peelen:
[23:06] Dit moet je even aanvullen voor de luisteraar, want jij bent betrokken bij DIVD. Ik had een vraag van een luisteraar die vroeg... Volgens mij heb jij sinds kort een nieuwe rol. Dat was Boba. Gefeliciteerd Marike met je nieuwe rol bij DVD. Hoe voel je je nu?

Marieke Rijken:
[23:20] Het is een rollercoaster, maar gelukkig zit ik in het voorste karretje... en schreeuw ik vrolijk mee.

Randal Peelen:
[23:24] Oh, wauw!

Marieke Rijken:
[23:24] Dat is een beetje hoe ik het zie.

Randal Peelen:
[23:27] Wat is de nieuwe rol?

Marieke Rijken:
[23:28] Daar ga ik later meer over vertellen. Oké, dat is goed. Niet vandaag. Maar nu voelt het een beetje ongelukkig zijn reactie hijack.

Randal Peelen:
[23:34] Nee, nee, nee. Ik probeer in te kleuren dat wat jij nu vertelt... is vanuit het perspectief dat je een lek gaat melden. En ik weet dat een van de dingen die DIVD doet, naast een heleboel andere dingen, is dus ook mensen die een kwetsbaarheid hebben gevonden, helpen bij het melden. Omdat je anders op een gegeven moment de helft van je tijd bezig bent die kwetsbaarheden te vinden en de andere helft misschien wel meer met het melden ervan. Terwijl je dat juist best wel goed in teamverband kunt doen.

Marieke Rijken:
[24:01] Ja, en je hebt best wel gauw, zeker met, en dat klinkt een mooi bruggetje misschien zelfs, Met wat grote boze Amerikaanse partijen, zeg maar. Of... Je hebt wel, ergens in Azië heb je ook wel zo'n soort land die daar mening over heeft. Die begrijpen het dan niet zo goed. En die denken, ja maar wacht eens even. Wij sturen een advocaat op je af en dan zit je. En dan ben je wel in je uppie. En dan wil je gewoon een escalatiekanaal daarin hebben. En als jij dus als 13-jarige of 16-jarige of 20-jarige, whatever, in je uppie bent. En er komt een jurist op je af. Dan is het toch wel even spannend. En dat gebeurt helaas best wel vaak. En heel vaak moet je een NDA tekenen. Mag je het er nooit meer over hebben. We hebben pas zelfs ook een moment gehad dat wij een praatje gaven ergens. En dat de legal team van die organisatie zei. Hé, je hebt daar een praatje over gegeven. Doe ze niet. En dat zijn allemaal niet zulke hele fijne dingen eigenlijk. Terwijl je gewoon de wereld een beetje beter probeert te maken.

Randal Peelen:
[24:54] Ja, en je kunt er ook een Eureka moment van maken. Je kunt als partij waar de melding is binnengekomen ook zeggen. Nou, dankjewel. Zullen we even Gentleman's Agreement allebei een week onze muil houden. En dan na die week hebben we het lek gedicht.

Randal Peelen:
[25:07] En dan kunnen we daarna in de Gloria samen op een podium. spreekwoordelijk het kan best win-win.

Mischa van Geelen:
[25:12] Zijn dat is ook de basis van responsable disclosure responsable disclosure is altijd zo bedoeld geweest, je mag het uiteindelijk bekendmaken en dat is ook waardoor de richtsnoeren van het openbaar ministerie die op een gegeven moment ook heeft gezegd van god, Dus als je dit stramien en deze manier het doet. En je doet dat netjes. En je doet het niet meer dan noodzakelijk. Dus als je een database kan uitlezen. Doe je niet meer dan één record. Gewoon om te toetsen of het kan. En dan gaan we je niet vervolgen. Maar dan hou je ook wat ons betreft gewoon aan de wet. Omdat jouw intentie is om mensen te helpen. En het responsable disclosure is ook uiteindelijk met dat doel van. Zodra het lekker gedicht is. Dan hoor je het ook verantwoord te kunnen openbaar maken.

Marieke Rijken:
[25:54] En nu is het natuurlijk wel zo. er is altijd een moment wanneer ga je over full disclosure. Dus full disclosure is het is nog steeds out there maar we vertellen het wel in de buitenwereld. En dat moment, ja, er is nooit echt een goed moment voor, want dat ligt heel erg aan wat de impact is daarvan. Als voorbeeld, wij hebben een kwetsbaarheid gevonden, meerdere keren weer toevallig iets, in zonnepanelen en daarmee kunnen we gewoon half Europa aan het verrichten en we krijgen geen reactie van de leverancier, al twee jaar niet. Dus dan heb je je twee jaar lang aangehouden in onze Code of Ethics en Code of Kanduk, zeg, 90 dagen. En dat is al best wel, dat is best wel lang, eigenlijk al. Maar we zijn anderhalf jaar, twee jaar zijn we bezig geweest en nog steeds geen reactie. En dan kun je dus op full disclosure gaan. En dan kan je zeggen, hallo, wil je dat kijken? Hier moet je zijn, doe maar roeren. Maar dan kun je dus een heel landdeel, of werelddeel ontwrichten. En dan ga je niet in full disclosure. Want dat is niet ethisch, alsnog niet. Ook al wil je het misschien wel heel graag. Dus nu hebben we het wel geëscaleerd en dan is het bidden en dan hopen. Maar in kleinere gevallen, heb je al zo'n full disclosure gedaan? Misschien kan jij dan een beter voorbeeld geven, namelijk. Eén keer hebben we een product warning gedaan in plaats van een full disclosure.

Mischa van Geelen:
[27:00] Ik heb één keer een full disclosure gedaan inderdaad. Maar dat was ook nadat ik ruim zes maanden geen reactie kreeg. En het was wel een stukje technologie wat heel veel gebruikt werd. En ja, toen was het ineens binnen een dag gefixt.

Marieke Rijken:
[27:17] Dan wel. Dus dat is het ergste. Maar je doet een full disclosure omdat je dan denkt... Mensen, dan heb je een keuze. Dan weet je dat je iets gebruikt wat brak is. Dan kan je zelf de keuze maken. Ga ik er zelf iets op bedenken? Ga ik voor een alternatief? Want het ergste is misschien nog wel dat heel veel mensen heel veel brakke spullen gebruiken, maar geen keuze en geen grip hebben op die brakheid.

Mischa van Geelen:
[27:38] En dat soms ook gewoon niet weten.

Marieke Rijken:
[27:40] Maar het is niet erg als je niet weet als het opgelost wordt voordat het mis kan gaan. Maar het gebeurt helaas best wel vaak dat het gewoon misgaat voordat het gefikst is.

Randal Peelen:
[27:49] Misha, je hebt dus de gekke eigenschap dat je niet alleen lekker ziet, maar er ook naar op zoek gaat. En vervolgens eigenlijk de rest van je hobby is het melden daarvan. In hoeverre heb je daar uiteindelijk je werk van gemaakt?

Mischa van Geelen:
[28:09] Niet het melden van lekken. Ik heb niet echt me erin gedaan met dat soort bug bounty programs. Dat was niet hetgeen wat mij triggerde om die lekken te vinden. Ik heb wel mijn werk gemaakt van het testen van systemen. Dus gewoon meer methodisch hoe veilig is een systeem. Maar het melden van lekken en daar me hebben houden. en mijn geld mee verdienen, dat niet.

Randal Peelen:
[28:33] Nee, dus je bent op den duur pentester geworden.

Mischa van Geelen:
[28:37] Ja, dat was mijn eerste baantje ooit. Als 15-jarige ben ik aan de bak als pentester. Dat is wel grappig.

Randal Peelen:
[28:46] En dat altijd blijven doen?

Mischa van Geelen:
[28:47] Nee, ik heb een aantal jaar pentester gedaan en uiteindelijk ben ik meer de incident response en de forensische onderzoekskant opgegaan. Dus bijvoorbeeld de casus van de gemeente Hof van Twente, maar ook gemeente Lochem, dat soort onderzoeken mogen helpen om de boel weer op orde te krijgen. En daar moet je ook best creatief voor zijn soms om dingen weer draaiend te krijgen. Maar ook echt het onderzoek doen naar hoe is het dan zo gekomen. Welke stapjes zijn er fout gegaan en wat moeten we doen om dat in de toekomst anders te doen.

Randal Peelen:
[29:22] En hoe werkt dat wereldje? Want was je dan in loondienst ergens bij een bedrijf dat daarvoor ingehuurd wordt? Of komen mensen bij jou aan als een soort zelfstandig ondernemer?

Mischa van Geelen:
[29:32] Ik was een van de oud-oprichters van NFR. Dus toen ik wegging in, 2024, toen waren we met iets van 50 man. En dat was zeg maar, elke dag weer met je poot in de modder. Om dus bedrijven in Nederland en organisaties te helpen als het fout gaat. Maar ook om te voorkomen dat het fout gaat. Dus wel preventief bijvoorbeeld, testen blijven doen, pen testen. Maar ook gewoon als het fout gaat, dat kan gebeuren. En hoe kom je er weer bovenop als organisatie?

Randal Peelen:
[30:09] Hoe kom je er bovenop als organisatie?

Mischa van Geelen:
[30:11] Nou, dat is heel verschillend ook in bedrijfsgroot. Je ziet vaak de kleinere clubjes, die zijn wel redelijk veerkrachtig, kunnen soms ook wel meedenken. We hebben best wel een aantal interessante casussen gehad, waarbij we op een gegeven moment heel creatief moesten worden met data terughalen. Dus had je een centrale server waar data op stond en die was voor hun, zeg maar, dat was hun lifeline. Als dat er niet was, dan konden ze wel stoppen. en dan bleek toch er zijn ook nog lokale computertjes daar kunnen we nog wel data vanaf proberen te halen van de harde schijven, en dan specifiek die bestanden waardoor je toch in een keer door kon gaan werken in grote projecten die ze deden dat was een architectenclub die echt nog maar hele grote heel veel 3D tekeningen modellen toch op een of andere manier konden verzinnen om ze weer, aan de bak te kunnen krijgen zodat ze weer door konden.

Randal Peelen:
[31:00] Een soort surprise decentralized backups.

Mischa van Geelen:
[31:04] Ja, maar meer geluk, maar ook wel het inzicht hebben van waar kan je dat nog vinden.

Marieke Rijken:
[31:12] Nu is het wel iets, misschien niet te lief voor nu, maar het is wel heel leuk om jou een keer te horen vertellen over jouw goede ervaringen met harde schijven en dingen terugvinden. Toch, Misha?

Mischa van Geelen:
[31:21] Ja, daar heb ik ook nog een talk over gegeven op Wai, inderdaad, over een ander apparaat, wat je misschien ook al thuis hebt staan. Hier gemiddeld de Synology NAS, die toch wat interessante dingen mee aan de hand zijn.

Randal Peelen:
[31:35] Interessante dingen mee aan de hand zijn.

Marieke Rijken:
[31:36] Beetje.

Mischa van Geelen:
[31:37] Ja. Toch? Ja, ik kan het heel kort. Ik zou vertellen, maar we deden heel veel onderzoeken naar bijvoorbeeld gevallen waarbij de ransomware was uitgerold bij bedrijven. En vaak hadden die bedrijven een backup oplossing staan. Dan hadden ze op een Synology-nasje staan waar dan backups op stonden van het bedrijf. En wat we heel vaak zagen is dat je daar de fabrieksinstellingen, De aanvallers werden gehersteld. En wat bij ons ook elke keer opviel, is als dat dan gebeurde, en dan denk ik, zonder fabrieksinstellingen, en we haalden je harde schijf eruit, konden we de data eigenlijk volledig terughalen, alsof er niks mee gebeurd was. En op een gegeven moment had ik zoiets van, en een collega zei mij, hoe kan dat nou? Dus dan zijn we dat uit gaan zoeken. En toen bleek dat die fabrieksinstellingen optie met je hele data verwijderen, dat die alles deed behalve je data verwijderen.

Randal Peelen:
[32:28] Ja, ja, ja.

Mischa van Geelen:
[32:29] En daar werd achteraf van gezegd, ja, nee, dat is zo bedoeld. Dat is een feature, maar is niet gedocumenteerd.

Randal Peelen:
[32:36] Oh ja, tuurlijk.

Marieke Rijken:
[32:37] Ongedocumenteerde features.

Mischa van Geelen:
[32:39] Ja, dat is ook weer, we hadden ervoor kunnen kiezen om te stoppen bij Gold. We zien dat, maar ik heb dan toch altijd het behoefte om te snappen waarom dan. Waarom werkt het zoals het werkt?

Randal Peelen:
[32:53] Al moet ik zeggen in dit specifieke voorbeeld, als jij zo nodig je nas leeg wil halen en je wil weten dat die schijven leeg zijn, En dat ik daar persoonlijk een grote spijker doorheen zou jassen.

Mischa van Geelen:
[33:05] Ja, maar dat is omdat je snapt hoe een harde schijf werkt. Maar er zijn helaas ook heel veel mensen die dat niet snappen. Die gewoon hun nasje netjes met schijf en al op marktplaats zetten.

Marieke Rijken:
[33:17] Oh boy.

Randal Peelen:
[33:17] Waar begint het verhaal van Adverse IQ? Want ik kan me herinneren dat je zei 2024 ben je ergens gestopt. Dan snap ik dat het tijd is voor een nieuwe uitdaging. Wat is Adverse IQ? En dan ben ik daarna benieuwd hoe Marieke in beeld kwam.

Mischa van Geelen:
[33:34] Ja. Het idee ontstond eigenlijk op de One Conference in oktober 2025. En de One Conference, dat is een jaarlijksconferentie die door het NCC wordt georganiseerd voor cybersecurity, professionals, beleidsmakers, ook heel veel DVD'ers die altijd in grote getalen rondlopen.

Randal Peelen:
[33:56] Het is een best klein wereldje, heb ik soms het idee.

Mischa van Geelen:
[33:59] Ja, best wel. Maar dat maakt het ook wel leuk. Maar daar is het begonnen. Omdat we eigenlijk. We is in dit geval. Een andere. Co-founder. En ik. We kwamen op het idee van. We zien dit eigenlijk constant bij bedrijven. Zullen we dit gewoon fout gaan. Vanuit incident response. Waarbij je eigenlijk constant ziet. Dat, dingen niet kloppen. Dat het op papier. Allemaal helemaal mooi spikspan in orde uitziet. En de andere zegt ook, dat is helemaal goed, maar het staat wel digitaal in de fik achter je. En vanuit dat gedachtegoed van, god, dit speelt niet alleen bij bedrijven waar ik nu geloof. Ik heb bij heel wat bedrijven met incident response binnen gezeten. En daar heb ik constant hetzelfde beeld gezien of het nou groot of klein was. Het was eigenlijk overal hetzelfde.

Randal Peelen:
[34:54] Maar kun je dit concreet maken? Want je zegt achter me staat het digitaal in de fik. En dan kan ik me daar veel te veel bij voorstellen. Dus wat staat er in de fik?

Mischa van Geelen:
[35:02] Nou, negen van de tien keer als je een middelgrote club hebt, dan is eigenlijk alles zo ingericht dat het puur functioneel werkt. Dat er eigenlijk met moeite iets gedaan is dat er een antivirus aanwezig is. En dat er een beleidshuisje ingericht is waarop staat. Je moet echt een sterk wachtvaart hebben hoor. En daar blijft het dan bij.

Randal Peelen:
[35:20] Want jij had het net over een auditor. Dan stel ik me voor dat je denkt. Ik moet mijn ISO certificaat halen. En wil ik het niet bagatelliseren. Want het is heel nuttig. Maar je komt een heel end. Als je er goed over hebt nagedacht. Dat wil niet zeggen dat alles dus ook uitgevoerd en dicht. En je hebt op in orde.

Mischa van Geelen:
[35:38] Wat je heel vaak ziet. Ik zeg altijd grap. Als je een goede auditor hebt. Dan prikt hij er doorheen. Er zijn niet zo heel veel goede auditors. Vaak. En ISO is niets meer dan. Ik schrijf op hoe ik het doe. En dat moet nog een beetje lijken alsof het klopt. En dan zeg ik dat ik dat doe. En dan heb je een goede auditor. En die stelt daar nog moeilijke vragen over. Van, oh ja, laat eens zien dan. Maar dan moet je wel een goede auditor hebben. En ik heb wel eens ISO-certificeringen gezien. Met alle respect waarbij ze de hele cyclus die je in ISO 17001 hebt. Voor het tacklen van je problemen. Dus je plan, do, check, act. dat dat uitgesloten was van de certificering... en dat ze een ISO-certificering hadden gekregen... ISO 7001 zonder je cyclus voor het oplossen van je probleem. Dat is ook ISO 7001, want je kiest zelf je scope. Je kiest zelf wat erin valt en wat niet. Als ik een partij in ISO 7001 hoor vragen, dan denk ik altijd... oké, maar vraag je dit nu omdat je accountant heeft gezegd dat dat een goed idee was? Of vraag je het nu omdat je snapt wat je vraagt?

Randal Peelen:
[36:46] Dit is een paradox, want de partijen die samen in een huwelijksbootje stappen... en allebei op dezelfde manier naar kijken... die zien het als een soort stempel of een checklist... De partijen die er echt om geven, die zouden ook zonder dat certificaat ontzettend, goed bezig kunnen zijn, maar het dan minder goed kunnen verkopen aan een partij die er niet zo serieus mee bezig is.

Mischa van Geelen:
[37:07] Ja, het zegt iets over dat je de moeite hebt gedaan om erover na te denken, maar het ook dat we ook in de praktijk doen. Dat is vers 2.

Randal Peelen:
[37:16] Maar wat stond er dan in jouw metafoor telkens in de fik? Is dat steeds hetzelfde?

Mischa van Geelen:
[37:21] Het is niet gewoon tien keer de hele, of de hele kantooromgeving of de hele, bedrijfshal automatisering wat gewoon totaal lek was, niet gepatcht was. Ja, maar is onhandig, want ja, dat ding kunnen we niet meer patchen, want die leverancier is eigenlijk al toekie om, die zijn er niet meer. Die leveren ons geen support meer. En ja, dat ding moet wel blijven draaien, anders kunnen we geen potjes meer maken waar we eten in stoppen. Dat is gemiddeld zoals het je tegenkomt.

Randal Peelen:
[37:47] Dus jij hebt dat gezien als pentester. En is er dan bij elk bedrijf wat aan de hand?

Mischa van Geelen:
[37:55] Ja, als je des te groter je wordt, des te meer, met alle respect, mensen van de marketingafdeling die met het creditcard jezelf al wilt aanschaffen.

Randal Peelen:
[38:03] En hoe groter de oppervlakte waar iets mis kan gaan.

Mischa van Geelen:
[38:06] Ja, en dus ook dat je als bedrijf vaak niet meer weet waar het dan allemaal zit. Omdat er een iemand iets gedaan heeft, daar wel over gepraat, heeft maar het is nergens vastgelegd. Want je weet er dus niet van. Vervolgens gaat diegene weg. Komt er iemand anders voor terug. Die gebruikt het. Maar die weet niet meer waar het vandaan komt. Het begint al als je heel klein bent als clubje. En het is juist bij de kleine clubjes. Waar je dit eigenlijk vooraf wil tackelen. Want des te groter je wordt. Des te minder controle je erop hebt.

Randal Peelen:
[38:30] Oké. En nu ga ik proberen te begrijpen wat je bent gaan doen. Want je zegt nu. Ik ben pentester. En op heel veel plekken waar ik kom. Heb ik wel een mening. Of denk ik dat dingen beter kunnen.

Mischa van Geelen:
[38:41] Het is vooral tijdens incidenten. Dus pen testen zie je het vanuit meer de offensieve kant, maar vanuit een incident response bril zie je ook, oké, nu is het ook fout gegaan. Hoe is het dan fout gegaan? Dus het is vanaf beide kanten, zeg maar. Dus ik heb het fout zien gaan. Ik heb het gezien waar het fout zou kunnen gaan, maar ook waar het al fout gegaan is.

Randal Peelen:
[39:00] Ja, en wat me nu een beetje bekruipt, en misschien zit ik er totaal naast, maar dat je dacht, ik moet eigenlijk iets gaan bouwen wat meer schaalbaar is. zowel preventief als, een boel bedrijven tegelijkertijd want je kunt niet in de auto stappen en elke dag naar een ander bedrijf gaan, dan kun je maar 300 bedrijven per jaar blij maken.

Mischa van Geelen:
[39:21] Het is ook niet meer te doen met het handje er is zoveel, een gemiddeld klein clubje met 25 man die heeft vaak al honderden afhankelijkheden waar ze dagelijks

Mischa van Geelen:
[39:33] mee werken indirect of direct.

Randal Peelen:
[39:35] Wat zijn jullie gaan bouwen?

Marieke Rijken:
[39:38] Oeh, oké. Ik noem het altijd... Begin ik niet met de lasagne? Ik begin niet met de lasagne. Het is eigenlijk een lasagne. Want het wordt heel snel ingewikkeld als je het genetireerd gaat uitleggen.

Randal Peelen:
[39:49] En lasagne is geen toetje.

Marieke Rijken:
[39:52] Ligt daar waarvan niet gemaakt is. Tiramisu kan prima lasagne zijn.

Randal Peelen:
[39:56] Dan is het tiramisu.

Marieke Rijken:
[39:57] Lasagne. Oké. Eigenlijk, wat je dus doet is... Je hebt dus heel veel afhankelijkheden en je hebt geen idee. en je hebt er geen grip op. En je hebt mensen... Marketingafdeling, pak ik een creditcard. Ik deed het van de week per ongeluk ook. Sorry. En die halen een toeltje erbij. Je hebt gewoon legacy. Dingen die er al 30 jaar draaien. En je hebt geen idee. En die hebben allemaal ook weer afhankelijkheden. En daar ben je van afhankelijk. Het is heel veel afhankelijkheden achter elkaar. Maar daarom heb ik dus lasagne. Dus wat we doen, dat is de eerste keer dat ik het zeg. En de laatste keer. Je hebt de tomatensaus. Zonder gehakt, zeg maar. En dat is je hele ecosysteem in kaart brengen. Dus al je afhankelijkheden van een hackers of aanvallers perspectief. Adverse, adversary, dat is een truc. Ja. En dan weet je in ieder geval de basis van buitenaf. Daar heb je nog niet alles. Sommige dingen zitten ook intern. Je hebt zelfs in elkaar geclust. Maar dat is op zich... Als wij niet kunnen vinden, kan een hacker dat ook niet vinden. Of een aanvaller. Daarna vroeg je een laagje toe. Oké, wat is daar dan van de wet- en regelgeving waarvan ik aan moet doen? Je hebt een IS-2. Je hebt een DORA. Je hebt, als je een ISO-certificering relevant vindt. En dat past erbij, kan dat ook erbij. Er zijn op dit moment 16.500 IS-2 partijen.

Mischa van Geelen:
[41:19] Nederland.

Marieke Rijken:
[41:20] In Nederland, die dus hun hele ecosysteem in kaart moeten brengen, continu. En dat is echt niet te doen, want je hebt er gewoon zo een paar honderd.

Mischa van Geelen:
[41:27] En dat moet je dus continu doen, niet één keer, maar in kaart houden.

Marieke Rijken:
[41:31] Dus we hebben mensen gesproken die zijn een half jaar bezig om hun ecosysteem of supplytje in kaart te brengen. En dan hebben ze hem. Je staat alweer outdated. Ja, dan kan ik weer voor de vaan beginnen. Dus het is een beetje in cirkels lopen. Dat is de tweede laag. De derde laag is, dan heb je dus risico's op al jouw leveranciers. Dus sommige leveranciers, als je de Salesforce gebruikt...

Randal Peelen:
[41:52] Ik kan niet verder welke lagen zitten. Zijn we bij de kaas?

Marieke Rijken:
[41:55] Nee, we zijn nu weer bij spinazie. Die zit ertussen.

Randal Peelen:
[41:58] Oh, ze zijn spinazie.

Marieke Rijken:
[41:59] Ik doe graag spinazie met lasagne. Oh, we moeten echt niet te veel lasagne maken. Maar het is gewoon een leuk grapje geworden... omdat het een visueel mooi voorbeeld is voor mensen. Want dat is ook hoe het is opgebouwd. Jouw leveranciers worden getarget. Als je Salesforce gebruikt nu... dan word je actief getarget door de Shiny Hunters. Er zijn best veel organisaties. En ook heel veel organisaties... bij DVD notificeren we ze. Heel veel mensen zeggen... Ik gebruik helemaal geen Salesforce. Oh jawel hoor, alsjeblieft, kijk maar. Dan wil je dat weten.

Mischa van Geelen:
[42:23] Maar dan weet je het dus niet. Dat is het ergste, omdat je dus zelf geen Salesforce gebruikt, maar je koopt het in en er staat niet een logotje Salesforce in, maar het is je leverancier die het bijvoorbeeld levert met een ander logootje erop. Dan weet je dat dus ook nog een keer niet.

Marieke Rijken:
[42:34] Juist, en je bent er wel voor verantwoordelijk. En het is wel your ass on the line. En wat er dan ook even gebeurt, dan is boeking in het nieuws geweest volgens mij, en Hallmark en Rituals, die hadden allemaal Salesforce.

Randal Peelen:
[42:44] Laten we Odido niet vergeten alsjeblieft?

Marieke Rijken:
[42:47] Ik weet niet of dat Salesforce was.

Randal Peelen:
[42:48] Dat weet je wel. Dat was zeker wel Salesforce.

Marieke Rijken:
[42:52] Het zou kunnen.

Randal Peelen:
[42:53] Nee, is.

Marieke Rijken:
[42:53] Ik was er niet bij. Maar wat er nu dus veel gebeurt is, dan is dat dit nieuws geweest. Grote data lekken. Met Salesforce. En dan kijk je dus als CISO bijvoorbeeld of als Risk Manager. Gebruiken wij Salesforce? Geen idee. Geen idee. Ik moet kijken. En dan moet je eerst kijken of je het zelf gebruikt.

Marieke Rijken:
[43:08] En dan zeg je, nee, wij gebruiken het niet. Drie dagen later, want zo lang duurt het om het uit te zoeken soms. Maar dan gebruikt wel je leverdels C-Ret. En nu kun je dat dus ook zien.

Mischa van Geelen:
[43:16] Het call center wat wij inkopen, die gebruikt wel Salesforce. Daar zetten ze ook de data van onze klanten in. Wacht even.

Marieke Rijken:
[43:23] En dan weet je het al. En dan kun je er ook iets mee doen. Dus dan kan je zo'n heel mooi accepteren, mitigeren.

Mischa van Geelen:
[43:29] Ja, je kan het verreden. De transfer of je kan het voorkomen. En dan ga je weer terug naar basis risicomanagement. Maar je moet het eerst wel weten voordat je iets kan gaan doen. Dat is denk ik de start van waar wij op een gegeven moment een kans zagen. Heel veel partijen weten het niet. En die gaan met het handje maanden mee bezig zijn.

Marieke Rijken:
[43:50] Er zijn zelfs bedrijven die hebben dertig man hierop zitten. Om dit uit te zoeken.

Randal Peelen:
[43:53] Ik vind het ook wel mooi dat je het de lasagne noemt. Want in mijn hoofd sla ik al door naar eigenlijk het ISO. Het OCI model. Dus je hebt zeven lagen. Dat is eigenlijk ook een soort lasagne. Je hebt de fysieke lagen. De data laag. Je hebt de sessie laag.

Marieke Rijken:
[44:09] Maar het is gelaagd. Ja. Maar waarschijnlijk praat het ook allemaal. Al deze lagen praat ook. Zijn gebaseerd op die tomatensaus, zeg maar. Dus op de onderste laag. Want leuk dat jij je risico's weet. Maar als dat niet specifiek voor jou is. Je hebt heel veel plekken waar je Thread Intel kan halen. Heel veel plekken waar je allemaal CVE's kan vinden. Maar je wil wel weten. Ja, leuk die duizend CVE's en zo. Maar dat is ook niet boeiend voor mij. En dat wil je juist weten.

Randal Peelen:
[44:32] Bij het OC-model op het internet wel zo. Dat je elke zeven lagen zijn ook wel weer inwisselbaar. Dus je kunt kiezen wat voor fysiek stekketje neemt. En denk in jouw lasagne-model. Dat niet per se opgaat. Maar dit wordt heel abstract. Dit kan niet iedereen volgen.

Mischa van Geelen:
[44:47] Ik denk dat dat vooral ook een stukje de afhankelijkheden snappen is. En daar ook keuze op kunnen maken. Als je een mooi websiteje hebt waar je heel erg best hebt gedaan van een heel mooi webshopje. En de server op het webshopje draait, die doet het nog. Maar het DNS wat je voor je domein hebt om te vertellen. De domeinnaam hoort bij die server. Dat doet niet meer. Dan werkt het dus niet meer. Dan kan het wel mooi hebben draaien. Maar dan ben je nog steeds afhankelijk van, in dit geval nog een derde partij, om überhaupt je website op het internet te zetten.

Randal Peelen:
[45:19] Ja, ik heb een aantal keren in mijn leven programma's over cybersecurity gepresenteerd. De leukste keren was de Cybersecurity Week voor de ondernemer van DPG Media. Dat was echt vijf dagen op rij, twee uur per dag live radio over cybersecurity. En ik had verwacht vooraf van, nou, daar kan ik niet heel veel van leren. Ik ga gewoon interviewen. Maar het meeste weet ik al. Nou ik kan je vertellen. Meer dan de helft was nieuw voor me. En een van de dingen die het meest is bijgebleven. Is de partijen die inderdaad toen ook. Bezig waren met die hele waardeketen. Dus de leveranciers en dienstleveranciers. En wat me... ...opviel is dat dat inderdaad, wat je nu ook al zegt... ...lang niet altijd makkelijk is om in kaart te brengen. Want wie zijn al mijn leveranciers? Dan kun je denken, ik begin gewoon bij alle facturen. Alle facturen in mijn boekhoudprogramma. Ik maak een lijstje, dit zijn allemaal leveranciers. Maar dan vergeet je dus die gekke consumentenabonnementjes... ...die de mensen op de marketingafdeling... ...met hun privé-creditkaart hebben afgerekend... ...en gedeclareerd hebben enzovoort.

Mischa van Geelen:
[46:22] Of de gratisdiensten waar je eruit van maakt.

Randal Peelen:
[46:27] En hoe pakken jullie dit aan? Want het beklijft me heel erg dat dit en een probleem is dat veel bedrijven hebben en iets wat niet per se makkelijk schaalbaar te maken is. Want breng mij eens even iemands complete leveranciersbestand in kaart.

Marieke Rijken:
[46:43] Daar hebben we ons technisch genie voor.

Mischa van Geelen:
[46:47] We naderen hem eigenlijk vanaf het principe dat je, wat is er van buitenaf direct zichtbaar? Want dat is ook niet alleen voor jou, maar ook van de leveranciers waar je mee werkt. Want dat is het directe aanvalsoppervlak waar je op geraakt kan worden. Op het moment dat jij ergens een printertje in de hoek hebt staan die bij jou intern in je netwerk draait, dat is niet waar wij nu op focussen. Want een aanvaller zal die ook niet van buitenaf kunnen benaderen. Maar het is wel direct...

Randal Peelen:
[47:13] Het is wel een risico.

Mischa van Geelen:
[47:14] Het is wel een risico.

Randal Peelen:
[47:15] Maar niet nummer één.

Marieke Rijken:
[47:16] We hebben ooit via een koffieapparaat aan het internet allerlei dingen kunnen doen. Maar het kan wel.

Mischa van Geelen:
[47:22] Het kan wel, maar het is niet het belangrijkste. Het is niet waar een aanvaller direct op aanvallen. Dus we zijn echt bezig met het stukje aanvalsoppervlak. Maar dan niet alleen, van jou als organisatie, maar ook van de organisaties waar je van afhankelijk bent. Want dat is namelijk, als het bij jou er goed op slot zit, dan pak ik je aanvaller.

Randal Peelen:
[47:39] Maar hoe doe je dit?

Marieke Rijken:
[47:42] Dat is natuurlijk heime saus.

Randal Peelen:
[47:43] Ja, maar je weet toch.

Marieke Rijken:
[47:45] Het is, nou ja, sommige dingen, ja, je moet maar kijken wat je er zelf over wilt delen. Maar het is, briljant is een eenvoud.

Randal Peelen:
[47:53] Stel dat ik dit ging vibe coden. Vertel maar of ik het fout heb. Ik denk nou, wat Misha kan, dat kan ik ook. Dus ik ga vanavond zitten, ik ga denken, oké. Ik pak mijn eigen bv'tje. Die heeft een e-mailadresje, weet je wat. Ik ga gewoon even al mijn DNS records uitpoepen. Dan ga ik van al die DNS-rackets kijken waar die mail gehost wordt. Dat zal 90% of meer Microsoft of Google zijn. Dan heb ik de eerste afhankelijkheid al te pakken. Zo zou ik het dit in kaart proberen te brengen.

Mischa van Geelen:
[48:22] Dat is één manier. Maar dat geeft je alleen maar één directe databron. En er is veel meer beschikbaar. En ik denk dat de eenvoud, inderdaad, wat wij doen, dat is zeker altijd grappig, maar dat deden we ook vroeger met pentesten. Je hebt tientallen pentestbedrijven die pentesten doen. en wat wij gewoon zeiden is wij doen een pentest, doen we gewoon volgens bepaalde methodieken, bepaalde standaarden we doen dat gewoon knijter goed, dan hoef je niet heel speciaal te zijn, maar we doen het wel volledig en dat is denk ik dezelfde aanpak die we hier ook hanteren, dus in die zin, ja, er zijn andere partijen die dit prima zouden kunnen bouwen kost een knijter veel tijd en we zijn er gestoord genoeg om het te doen.

Randal Peelen:
[49:03] Maar wat is dan het verschil tussen wat jullie doen en een pentest?

Mischa van Geelen:
[49:07] Dat dit volledig geautomatiseerd is. En een pentest ligt volgens mij op kwetsbaarheden. En dit gaat echt veel meer over je waardeketens en je afhankelijkheden. Dat zie je met een pentest vaak niet terug.

Marieke Rijken:
[49:18] En het is ook, we hebben een heel mooi voorbeeld gehad met iemand die, zoals hij zelf zei, wij pretenderen soeverein te zijn.

Mischa van Geelen:
[49:25] Digitaal.

Marieke Rijken:
[49:25] Digitaal, digitaal soeverein te zijn, ja, dat is wel een goeie. En toen dacht ik, nou dan gaan we eens kijken of dat zo is. En dat was niet zo, want zijn sub, sub, sub, sub leverancier, die, wat was het, framer of zo?

Mischa van Geelen:
[49:37] Ja, Framer inderdaad. Die koos er dus gewoon netjes voor. Hij haalt een websitebouwer. En die websitebouwer koos er weer voor om een ander partijtje in te huren. En die plant het lekker bij Amazon neer.

Marieke Rijken:
[49:46] Terwijl contractueel was afgesproken. Dat alles, alle data en alle spulletjes in Europa moesten staan. En nu is het op zich niet per se supergevaarlijk. Niet per se.

Mischa van Geelen:
[49:56] Nee, maar het gaat erover als je het niet weet. Maar er worden keuzes voor jou gemaakt door een leverancier. En je bent er niet bij betrokken. Dan kan het dus ook betekenen dat je risico's loopt.

Marieke Rijken:
[50:06] Maar waar ik naartoe wil, is dat het niet alleen persoon over veiligheid gaat. Het gaat over zelfcontrole hebben over de keuzes en de dingen die je... Je kiest ergens voor als organisatie. Sommige mensen hebben ook een beetje waarde, als het goed is. Die hebben gewoon waarde van, nou, daar staan wij voor. We willen alles in Europa. En dan blijkt dus jouw supplier voor jou te praten.

Randal Peelen:
[50:22] Iedereen heeft waarde.

Marieke Rijken:
[50:23] Dat is wel waar.

Randal Peelen:
[50:24] Ja. Sommige mensen meer dan anderen.

Marieke Rijken:
[50:31] Ja, precies. Dankjewel dat jij nog even politiek correct voor wordt.

Mischa van Geelen:
[50:35] Je ziet het nu ook met gisteren nog groot, of eergisteren was het inmiddels alweer groot in het nieuws dat ineens Mythos en Fable 5, dat die ineens teruggetrokken worden en dat er ineens een export directive opkomt vanuit de VS. Het is nu wel een actueel topic. Ze vinden ons aan de overkant van de plas gewoon niet zo lief meer. En wij zijn er nog van schampachtig nu van ja, maar vind je ons niet toch lief? En ik denk dat nu langzaam het besef indaalt van dat we toch echt zelf moeten gaan doen.

Randal Peelen:
[50:59] Uh-huh.

Mischa van Geelen:
[51:01] En ik denk dat we dat in Europa ook best wel kunnen. Alleen dat we nog een beetje koud waterfres hebben.

Randal Peelen:
[51:07] Ik heb toch hulp nodig bij snappen wat jullie doen. Want ik snap een pentest en ik snap een checklist. En ik snap dat als je een bedrijf alle afhankelijkheden in kaart wil brengen. Dat je daar even voor moet gaan zitten. Wat ik niet snap is dat volgens mij is er een vorm van pentest. Waarbij je echt bij het bedrijf aanbelt. Kenteken en al. En dat je dan over de vloer komt. En eens rond gaat kijken. En vragen gaat stellen. En dan even goed met je checklist. Maar toch. Je ziet die printer ook wel staan in de hoek. Wat jullie doen is eigenlijk volledig van buitenaf. Dus je doet het met publieke bronnen eigenlijk. Dus het voorbeeld wat ik net improviseerde. Om iemands mailserver te achterhalen. Kun je in de DNS records. Kijk de MX records. Hoeveel dieper is dat konijnhol. ...van dingen die je soort van buitenaf kunt zien...

Mischa van Geelen:
[52:02] ...bizar diep. En het gaat zo ver als dat... Er zijn heel veel dingen die van buitenaf... ...best wel goed detecteerbaar zijn. Tot aan de betaaloplossing die je geïmplementeerd hebt... ...als je webshopje. En dat je ook daar weer een afhankelijkheid hebt... ...omdat je een betaalleverancier hebt... ...die toch op een of andere manier... ...headers lekt.

Randal Peelen:
[52:26] Dan weet je of ik Stripe of Adjen of Molly heb. Nou, woop-dee-doo.

Mischa van Geelen:
[52:30] Het is wel een belangrijke om te weten op het moment dat je afhankelijk bent voor je dagelijks hebben houden. Omdat je website je enige bron van inkomsten is. En als jij alleen maar een Stripe hebt en het gaat wel een keer fout met Stripe. Of het gaat een keer fout met Molly. Wat dan? Je wilt dan niet op dat moment daarover na moeten denken. Je wilt er vooraf over nagedacht.

Randal Peelen:
[52:48] Dus wat je nu met Adverse IQ aan het doen bent is mensen vertellen je hebt Stripe. Dus ben je daar afhankelijk van. en realiseer je dat als Stripe een probleem heeft, jij dus ook een probleem hebt.

Mischa van Geelen:
[53:01] Ja, maar andersom ook. We willen niet alleen mensen vertellen, oké, dit is er, maar je wil ook mensen handvatten geven. Wat moet ik dan doen? Vaak is het leuk dat je het weet, maar wat moet ik er dan mee doen? En dat is ook iets wat we voor een deel in het platform proberen op te lossen. Namelijk, oké, nu weet ik dat ik van Stripe afhanger ben. Wat is nu mijn next step? Dus accepteer ik dat, maak ik de keuze dat ik bijvoorbeeld een tweede betaaloplossing, ernaast zet, waar ik ook naartoe kan schakelen als het wel fout gaat. En datzelfde voorbeeld zag je bijvoorbeeld vorig jaar toen Cloudflare ineens uitviel. Nu was het weliswaar een technische storing, niet door een aanval. Maar ineens ligt het half internet plat, werkte de poortjes niet meer bij talers en kan je niet meer met iDeal betalen. Omdat er iemand een keuze heeft gemaakt, wij doen onze anti-dailers alleen maar via Cloudflare. tot het niet meer werkt.

Randal Peelen:
[53:54] Ja.

Marieke Rijken:
[53:55] En... Eigenlijk wat je hiermee dus laat zien. Je opent een soort Pandora's box. Eigenlijk met allemaal shit die je eigenlijk niet wil weten. Maar we geven ook een beetje hoop. Je kan het ook zo en zo oplossen. En niet alles is even belangrijk. En dat kun je dus per organisatie zelf bepalen. Hoe belangrijk is dit voorbij? Want niet iedereen wil... Je hebt nu zeg maar al 200 leveranciers. Als je overal een partij naast zet. Dan heb je er misschien wel weet ik het hoeveel. Dus dat is ook niet altijd de oplossing. Maar je kan wel... Je hebt zelf weer controle om zelf te bepalen wat je wil doen. Je kan actief achter die leveranciers op broek aan gaan zitten. hé, ik heb gezien dat jullie het afgelopen half jaar dit en dit hebben gehad. Daar ben ik eigenlijk niet zo mee eens. Hoe gaan we dat nou eens oplossen? Zonder dat het alleen een papierwinkel is.

Mischa van Geelen:
[54:32] Je ziet het dus ook vaak bij de laatste aantal mensen gesproken ook van de inkoopafdeling die dus vaak zeg maar die krijgen of een contract naar binnen geschoven met de dienst. Het draait al hè. Dus regelen jullie dat nog even? En dan is het van ja maar wacht even, we hadden ook nog dingen die we qua security en privacy wilden regelen of zo. Hoe draait het al? Maar ook, oké, ik heb nu die leverancier daadwerkelijk draaien. Dat doen ze eigenlijk wel wat ze beloven. Dat is, hoe vaak, ik heb het vaak genoeg meegemaakt dat een IT leverancier, dat werkt niet even op die manier, dan doen we het wel even zo. En dan doen we het wel even daar. En het gaat altijd fout bij effen. Maar dat weet je nu vaak niet als opdrachtgever, omdat het je niet verteld wordt. Want dat doet het toch?

Randal Peelen:
[55:21] Ik snap nog steeds niet hoe je dit dan automatiseerd of schaalbaar maakt.

Mischa van Geelen:
[55:28] Heel veel data en heel veel het hele internet afscannen.

Randal Peelen:
[55:33] Want als jij een nieuwe klant hebt, wat doe je dan? Dan typ je het KVK-nummer in of de website of al die dingen?

Mischa van Geelen:
[55:43] We hebben alleen maar het basisprincipe is dat je eigenlijk zo weinig mogelijk zelf moet invullen. Want anders krijg je weer het gemiddelde verhaaltje van je asset management tool of je CMDB met ga eerst maar eens mij een lijstje geven met al je leveranciers. Ik denk dat dat andersom moet. Dat je eigenlijk moet proberen zoveel mogelijk al te detecteren... Plus nog een beetje wat je zelf wil aanvullen. Dus dat is ook de basis hoe we het gebouwd hebben. En op basis daarvan dus gewoon eigenlijk alles in kaart brengen van jou, maar vervolgens ook de leveranciers om jou heen, waar jij diensten van afneemt.

Randal Peelen:
[56:17] Ja, want is dit wel waar ongeveer het geheim van de smid zit? Ik merk dat je denkt, ja, ik kan niet het hele ei van Columbus delen, Maar ik denk dat in de kern wat je doet, een deel van dat pentesten schaalbaar maken is.

Mischa van Geelen:
[56:34] Waarbij met pentesten meer zit echt op het vinden van kwetsbaarheden en applicatielogica. We vaak snappen, zit je hier op een veel hoger niveau. Je probeert veel meer de onderlinge afhankelijkheid in elkaar te brengen. Dus je gebruikt, je koopt een monday.com voor je team om je team te managen. Tegelijkertijd heb je ook een CRM'tje draaien. En je doet vervolgens ook nog iets met een marketing tooltje. En individueel denk je, nou het is allemaal wel. Maar wacht even, ze draaien allemaal op AWS. Dat is best een ding, want dat stuk is je hele worksuite stuk.

Randal Peelen:
[57:13] Het gaat echt om de afhankelijkheden.

Mischa van Geelen:
[57:14] Ja, maar dat wordt, ik heb die vraag meermaals ook een beetje gesteld. van goh, deze leverancier hoe zou je dat beoordelen? Ja, medium laag risico. Oké, en deze dan ja, het is vervelend als het eruit ligt maar we kunnen er wel door. En deze dan met je financiële systeem, ja dat is wel wat lastig. Dus die is dan wel iets hoger risico. Ik zeg maar, ze draaien alle drie op hetzelfde, ja, maar dan hebben ze de andere twee eigenlijk ook wel een probleem, want dan werkt ineens alles niet. Dat klopt, maar ja, dat wist je niet totdat je ernaar gaat kijken.

Marieke Rijken:
[57:43] Nou, we know.

Randal Peelen:
[57:44] Is dat makkelijk te zien?

Mischa van Geelen:
[57:47] En ja, het is makkelijk te zien, maar het is vaak gewoon heel veel. En dat is dus niet goed meer te doen met de hand.

Marieke Rijken:
[57:53] Nee. En mensen zijn nu zelf aan het kloutviolen in elkaar aan het proberen te draaien en zo. Maar dat is dan gewoon een super over-enthousiast CISO die dat ergens probeert, omdat die denkt, ik moet het toch gewoon weten. Maar dat is ook niet altijd de oplossing. Het is gewoon echt best wel monnikenwerken ook, om dat handmatig te doen.

Mischa van Geelen:
[58:14] En als ik waar de wetgever vanaf wil. Ze zeggen niet voor niks, je moet het continu in kaarten. Ze proberen je weg te duwen van constant maar weer een fotootje maken. Daar staat SIS, maar hou het nou eens continu in. Dan ga het nou eens echt monitoren.

Marieke Rijken:
[58:27] Ja, en dat is best wel... Volgens mij ook niet... Ja, ik ben nooit zin zo geweest, jij wel. Maar het is niet leuk werk ook. Want je wil niet het grootste deel van je werk bezig zijn met achter je leveranciers aan zitten. überhaupt achterhalen wie het zijn. Kijken of ze zich wel aan de afspraken houden. En dan moet je er ook vanuit gaan. Dat ze eerlijk zijn en transparant. En laten we hopen dat de meesten dat zijn.

Mischa van Geelen:
[58:52] Maar waarschijnlijk weten ze dat ook allemaal niet. We hebben laatst een interview gedaan met iemand die echt in de auditwereld zegt. En die zegt eigenlijk gewoon standaard. Ja, ik word de hele dag voorgelogen.

Randal Peelen:
[58:59] Als auditor.

Mischa van Geelen:
[59:00] En dat is gewoon waar ik rekening mee hou. Dus ik ben de hele dag maar aan het prikken. Want ik weet zeker dat anders ik gewoon onzin voorgeschoten krijg. En er zijn collega's van mij die slikken dat gewoon. En ik heb dan zoiets van, ja, maar het is onzin wat je zegt. Maar dat is wel de realiteit. Want een leverancier gaat, als jij mijn vraag staat, gaan ze specifiek jouw vraag beantwoorden. En zo goed mogelijk.

Randal Peelen:
[59:20] Jullie zijn, als ik mij niet vergis, nog een start-up. Hoe gaat het? Welke fase verkeren jullie? En wat is de volgende?

Mischa van Geelen:
[59:32] Wil jij daar wat over zeggen?

Marieke Rijken:
[59:33] Oeh. Ehm. Ja, sorry. Ik was heel even aan het kijken of ik jou... of ik ben er eens aan tafel even in kon gooien. Dat ga ik zo meteen doen. Focus, Marike.

Randal Peelen:
[59:44] We draaien op WordPress. Op mijn eigen server.

Marieke Rijken:
[59:48] Gemaakt van metaal. Dat krijg je. Misschien wil ik kort een mailtje van ons.

Randal Peelen:
[59:50] En dan... draai ik bij... Coloclue.

Marieke Rijken:
[59:57] We gaan het zo meteen even doen. Dan ga ik even kijken of je gelijk hebt.

Mischa van Geelen:
[1:00:00] Je hebt Yoast Studio. En je gebruikt Fastly voor je CDN.

Marieke Rijken:
[1:00:04] Trans. bij... Wel?

Randal Peelen:
[1:00:08] Oh ja?

Marieke Rijken:
[1:00:09] Ja, wel.

Randal Peelen:
[1:00:09] Dan is dat vast die podcast player die op de voorpagina staat. Die zit bij Omni Studio. Zo zie je maar weer. Dat iFrame met het podcastplayertje maakt de afhankelijkheden alleen maar groter.

Mischa van Geelen:
[1:00:25] Het is irritant op het moment dat die niet werkt. Dan kun je je podcast niet luisteren.

Randal Peelen:
[1:00:29] Stom is dat, hè? Maar er liggen alle podcasts van dag en nacht media eruit. Dus daar val ik ook minder op. Hoe vind je dat?

Marieke Rijken:
[1:00:38] Nice. Sorry, vraag. Wat was het ook weer?

Randal Peelen:
[1:00:41] In welke fase verkeerd je startup?

Marieke Rijken:
[1:00:46] We zijn eigenlijk verder dan we denken. Of willen toegeven misschien. We zijn met een paar dingen tegelijkertijd bezig. Eigenlijk staat het platform. We gaan binnenkort, waarschijnlijk in juli beginnen met de eerste pilots. Wat heel leuk is. We krijgen als allereerst ook al lasagne meat. Om mee te beginnen. We houden het toch een beetje erin. En we zijn ook nog wel een bedrijf aan het bouwen tegelijkertijd. Dus je bent een bedrijf aan het bouwen. Dat is iets anders dan een platform bouwen. Dat gaat allemaal Christkast door elkaar heen. We zijn ook bezig met een start-up programma. Omdat het gewoon heel tof is om te doen ook. Waarin we eigenlijk aan het valideren zijn. Dus welk probleem lossen we nou in godsnaam op? En dat was heel leuk en heel confronterend tegelijk. Want wij dachten, ja, we gaan in november live. Dan hebben we tijd zat gehad. Dan hebben we alles gedaan. Maar nu elke keer als we een interview hebben bij het valideren, hoor je interviews te doen. We gaan er 60 doen. We hebben nu een derde gedaan. en iedereen zegt ja ik wil het nu, werk eens door, mag ik een pilot en dat is eigenlijk misschien wel de beste validatie die er is en het klinkt heel kokkie, maar het is wel heel tof eigenlijk omdat mensen toch wel een beetje met handen in het haar zitten. Dus we zijn nu nog vooral op mij aan het wachten met het design en dan gaan we met de pilots aan de slag. Ben je een pilot?

Randal Peelen:
[1:02:03] Dat weet ik niet. Ik denk dat ik even moet gaan prikken als een ware editor. Want jij zegt het platform staat en vervolgens wachten ze op jouw design. Dus dan denk ik, hoe kun je een platform hebben staan als het design niet af is, Marieke?

Marieke Rijken:
[1:02:16] Het staat, het ziet er alleen nog niet zo sexy uit.

Randal Peelen:
[1:02:18] Oh, maar wat maakt dat nou uit? Heel veel. Als het maar werkt.

Marieke Rijken:
[1:02:23] Zeg ik dat niet. Nee, nee, nee. Het maakt heel veel uit. Het is meer dan design.

Mischa van Geelen:
[1:02:25] Het maakt echt heel veel uit. Want we proberen aan de ene kant. Proberen we echt waardevolle informatie te leveren. Voor de operatie. Dus wat moet ik nou doen. Ik ben een IT security analist. Ik ben een systeembeheerder. Wat moet ik nou doen om dit op te lossen. Aan de andere kant. Is dat niet de enige doelgroep die je hebt. Want die CISO. Die moet ook daadwerkelijk het aan zijn bestuur kunnen gaan uitleggen. Die moet je gaan voorzien in de juiste info. Zodat die zijn bestuur kan. En juist dat is wat heel veel. Wat we noemen techneuten dashboards. Ik bedoel ik ben zelf ook een techneut. Dus ik vind het heerlijk. Maar ik snap ook dat ik het moet kunnen uitleggen naar boven toe. En daar zit gewoon de crux om dat goed te doen.

Randal Peelen:
[1:03:02] Wat gaat er mis als je vandaag live zou gaan?

Marieke Rijken:
[1:03:06] Niks gaat mis. Maar ik ben er nog niet tevreden mee.

Randal Peelen:
[1:03:13] Maar de mensen staan voor jullie spreekwoordelijke poort te rammelen met fakkels en hoi-vorken dat ze erin willen. En jij zegt, het is hier binnen nog niet mooi.

Marieke Rijken:
[1:03:22] Klopt, want het is niet alleen mooi. Kijk, wat ik met design bedoel, we hebben gisteren, het werd ook nog gezegd, piff het, we gooien het even om. Dat is leuk aan de start-up, je kan alles het heet omgooien. Maar we hebben heel erg gedacht bijvoorbeeld vanuit de suppliers. Daar kwamen gisteren achter. We denken in, oké, ik wil dan tot die zeven lagen diep, wil ik al die suppliers zien. Maar dat boeit onze persona helemaal niet. Ja, persona's zijn heel tof en heel outdated, maar ze werken wel. Hij heet Bart.

Mischa van Geelen:
[1:03:47] Het boeit hem wel dat het daar stuk gaat in de lijn, maar ze zijn veel vaker bezig met oké.

Marieke Rijken:
[1:03:53] Nee, want Bart boeit het niet. Jawel, maar niet daar. Dus Bart wil weten, oké, mijn website, waarvan is het afhankelijk? En dan zal het echt aan zijn billen roesten welke suppliers dat nu meteen zijn. Maar dan wil hij weten, oké, maar wat zijn we afhankelijk? Dat is hosting, dat is register, dat is DNS, dat is dit. En daar wil je dan je supplier bij zien. Maar dan wil je niet meteen ook al die andere suppliers zien. Je wilt niet overloden met informatie. Dus de platform is nu heel veel overloten met informatie nog. En dat wil je op een goede manier naar de mensen krijgen wanneer het hun uitkomt. Dus ik ben heel erg aan het nadenken. Oké, wat is de vraag die deze persoon nu heeft? Wat heeft hij nodig om die vraag te beantwoorden? Wat denkt hij dat hij nodig heeft? Waar zit daar een verschil tussen? En hoe zorg ik dat het op de meest rustige, beste manier kan gebruiken? Dus die data ink ratio. Dat is een hele leuke. Het moet een beetje in verhouding zijn. Het moet geen kleurenkot zijn. Dat is heel snel met platformen. Heel snel kleurenkots. Maar kleuren zijn een signaal. Dus daar wil je mee aan de slag. En dat moet gewoon goed eruit zien.

Randal Peelen:
[1:04:56] Ik denk dat is een hele mooie update voor in november.

Marieke Rijken:
[1:04:58] Nee, nee.

Randal Peelen:
[1:04:59] En dat je nu alvast live kan met wat er staat, Marike.

Marieke Rijken:
[1:05:02] Let's go. Why? Maar waarom nu meteen?

Randal Peelen:
[1:05:04] Omdat mensen haast hebben. Ze staan aan je poort te rammelen.

Marieke Rijken:
[1:05:07] En dat hebben ze over twee weken niet meer.

Randal Peelen:
[1:05:10] Jawel, maar dan zijn ze alweer vergeten en dan zijn ze alweer bezig met heel wat anders.

Marieke Rijken:
[1:05:14] Nee hoor, daar zorgen we wel voor. Je gaat met ons op reis, het is een reisje. Dus we nemen je mee.

Randal Peelen:
[1:05:21] Misha lacht op een manier die mij doet denken dat deze discussie vaak...

Mischa van Geelen:
[1:05:29] Ik ben wel voorstander ervan om het gewoon op een manier te doen dat het ook, duurzaam is. En dat het ook daadwerkelijk een impact gaat maken. Ik denk dat in alles wat we doen, proberen we echt een probleem op te lossen. En ik denk dat als je nu op deze manier live gaat, ja, voor sommigen zal het echt wel helpen. Maar tegelijkertijd voor heel veel mensen denk ik dat die laag erbovenop echt bizar belangrijk is. Want als je die kan communiceren, dan heb je er per saldo niks aan om er wat mee te gaan doen. En we willen uiteindelijk gewoon impact maken en daadwerkelijk een probleem oplossen. Want anders zijn we bezig met bezighijstherapie.

Marieke Rijken:
[1:06:05] Oh, die mag op het tegeltje. Het wordt heel snel informatie overloopt. Het is echt een Pandorus box. Alle dingen die je niet wil weten, die krijg je te weten. En dat kan voor iemand, bijvoorbeeld een CISO zijn, die net niet genoeg capaciteit heeft, überhaupt al, krijgt hij ineens dertig problemen erbij. En met wie gaat hij die dan oplossen? En hoe gaat hij dat dan doen? En als je dat in één keer ziet, dan is dat echt... Dat zeg maar.

Randal Peelen:
[1:06:29] Het klinkt alsof je iemand een zaklamp geeft om problemen te laten zien die er wel degelijk zijn. Je krijgt er geen dertig problemen bij. Je hebt 29 problemen, omdat je gisteren nog niet wist wat de rest van de problemen waren.

Marieke Rijken:
[1:06:42] Ik ben blij dat jij het zo zegt, maar zo zal het niet door iedereen meteen ervaren worden. En je wil dat het wel zo ervaren wordt.

Randal Peelen:
[1:06:48] Door de mensen die daar TCT aan toe zijn. Maar dat zijn niet nu mijn eerste klanten. Mijn eerste klanten, die hebben dit morgen nodig.

Mischa van Geelen:
[1:06:55] Maar de gemiddelde CISO die nu door het bos loopt met de zaklamp. Die krijgt van ons nu een zaklamp. Maar die is tot nu toe constant door het bos aan het rennen en stoot steeds zijn hoofd tegen de bomen aan. En die moet eerst nog even bijkomen van het feit dat hij heel vaak zijn hoofd heeft gestoten. En ik wil mijn beste zaklampen geven, maar ik vraag het af om het gaat helpen. Ik denk dat ik het beter kan helpen om eens uit het bos te komen.

Marieke Rijken:
[1:07:20] Ja, je moet het thuis ophalen. En je wil ook het vertrouwen geven, vooral aan... Oké, maar leuk dat jullie mij al deze informatie geven... maar ik heb er ook vertrouwen in dat jullie mij hier doorheen kunnen loodsen. En ik denk dat ondernemen is ook... Ik denk dat dat er wel bij hoort om de juiste momenten te versnellen... maar ook soms weten nu even nog niet, nog niet. We laten het al wel mensen zien en zo. En dat wel. Maar het echt nu nog gebruiken. Volgens mij technisch zijn we er helemaal klaar voor. Alleen moet het nog verder ge-humanized worden. Waarbij ik dan meer bedoel dat... Ik zeg, Mischa is altijd technisch genie. En ik ben de voice of reason. En de human factor, zeg maar. Niet dat hij niet human is, maar... Ik denk altijd, die techniek boeit me niet zo. En het gaat meer om de mensen. En daarvoor doen we het uiteindelijk.

Randal Peelen:
[1:08:09] Ik heb nog steeds een boel vragen over hoe het nou precies werkt. Alleen ik heb ook door dat dat voor het grote plaatje misschien niet superbelangrijk is. De reden dat ik daarover blijf struikelen is a nieuwsgierigheid. Maar b ook wat onderscheidt dit nou van iets dat een gemiddeld audit, security, pen test, geef het beest een naam bedrijf allang doet. Want de reden dat die klant aan jullie poort staat te rammelen is omdat jullie het op een bepaalde manier aanbieden of inzichtelijk maken of automatiseren die blijkbaar, nog niet bestaat of geen gemeengoed is. En... Ik heb dus het gevoel dat ik wel op de goede weg zit door te denken dat wat jullie anders doen is niet zozeer informatie zien die niemand ziet of zou kunnen zien. Een doorgewittende pentester kan het ook zien, maar het meer automatiseren en schaalbaar maken.

Mischa van Geelen:
[1:09:12] De eenvoud is het bij elkaar brengen van die informatie op een slimme manier, waarbij je er ook echt wat aan hebt. En ik denk dat dat de crux is, want als CISO wil ik helemaal niet weten. ik heb nu zoveel kwetsbaarheden en ik wil weten, oké ik moet dus een proces ingerichten voor kwetsbaarheden en, ik wil veel meer op de proceskant gaan zitten vanuit een zinzichtbril, dus dan wil ik weten heb ik monitoring erop, heb ik er zicht op en niet ik heb zoveel kwetsbaarheden dat is operationeel, en ik denk dat juist doordat we zoveel verschillende type data combineren, kunnen we ook inzichten geven die ja anderen met het handje Ja, waar die ook daartoe komen. Alleen het probleem is nou juist het hele ding met het handje. En dat is waar de crux zit. Het weg automatiseren en het gewoon op een slimme manier inzichtelijk maken.

Randal Peelen:
[1:10:03] Je bent eigenlijk jezelf aan het helpen, omdat jij dit blijkbaar al wel vaker met het handje hebt zitten doen.

Mischa van Geelen:
[1:10:09] Ja, en niet alleen ik, maar heel veel consultancyclubs. En het is een monsterjob om het goed inzichtelijk te maken en het te normaliseren. Het is dus enorm veel werk. En dat is waarom de meesten zoiets hebben van, ja, ik blijf toch met het handje doen.

Marieke Rijken:
[1:10:24] En dan ook nog eigenlijk de juiste context erbij. Dus iedereen kan heel veel data verzamelen, maar dan heb je die data en dan. Daar moet toch context bij. En als je dat dan ook nog met de hand moet gaan doen, ja, dat schiet ook niet op. Dus als je automatisch al die data die voor jou relevant is met de juiste context en daar de mogelijke impact van in één keer ziet, ja, dat is best wel lekker.

Randal Peelen:
[1:10:46] Naast dat ik met vragen blijf zitten en dat maakt het een leuke podcast, want het zet mij flink aan het denken, hebben de luisteraars ook vragen ingestuurd en ik denk dat het wel leuk is om in ieder geval een vraag van, Rulzer te stellen, want wat we niet echt expliciet hebben aangeraakt, maar hier wel een beetje doorheen fietst, oh we hebben het trouwens wel aangeraakt, is dat je afhankelijk kunt zijn van Amerikaanse techbedrijven. En dan hebben we het over de grote jongens. Dit is een heel erg hip item dat men onder het modewoord soevereiniteit heeft, geparkeerd in het publieke discours. Rulsen vraagt zich af over de Europese alternatieven voor de Amerikaanse big tech. Hoe gaan we zorgen dat die niet worden overgenomen? Anders zit je daar straks met je little cloud en mag je alles weer gaan migreren over een paar jaar. Het is een actueel onderwerp. We hebben recent al gezien dat DigiT allemaal, in buitenlandse handen zou kunnen komen.

Marieke Rijken:
[1:11:50] Je zei hier vanmiddag nog iets over, over een Amerikaanse wet en zo.

Randal Peelen:
[1:11:54] Wat nou als de Chinezen en de Amerikaanse Lidl over zouden nemen?

Mischa van Geelen:
[1:11:58] Het is heel grappig dat je het specifiek over het overname hebt. Want je hebt natuurlijk bijvoorbeeld met Solfinity gezien dat dat nu uiteindelijk geblokkeerd is, de overname. Maar wat heel veel mensen schaak niet weten. En ik ben helaas ook door iemand opgewezen. Is dat in de VS hebben ze hier ook gewoon wet en regelgeving voor. Die in de basis voorkomt dat een Europees bedrijf of een Aziatisch bedrijf. Of van alles niet Amerikaans. Dat je voor belangrijke bedrijven. Dat je die mag overnemen als buitenlands bedrijf in de VS.

Randal Peelen:
[1:12:34] Dat dat niet mag?

Mischa van Geelen:
[1:12:35] Ja. En daar is gewoon wet en regelgeving op die voorkomt dat je bijvoorbeeld als Europese club een Amerikaanse club verlegen over kan nemen. Dus aan de ene kant is het moord en brand als hier een overname deal geblokkeerd wordt van een sovereignty. Maar daar hebben ze al jarenlang tot kunst en wet de regelgeving verheven om buitenlandse partijen buiten de deur te houden. En ik denk dat dat ook heel erg veel zegt over hoe ze daar aan de overkant van de plas naar ons kijken. Namelijk, ja, jullie mogen het niet, maar wij doen het wel. Dat is constant de situatie. En ik denk dat het ook wel eens een keer gezond is, dat er nu een keer gezegd wordt, bijvoorbeeld in de casus, dat je het nu zal vinden, tot hier niet verder. Dit bedrijf is belangrijk omdat daar vitale infra op draait, omdat daar diensten op draaien waar data van burgers in zit, op zo'n grote schaal raak iedereen erin zit. Dus je gaat het niet overnemen. En ik denk dat die beweging nu steeds vaker naar voren komt. En we kunnen het hier ook gewoon zelf in Europa organiseren. Moeten we het dan nog wel aan de overhand van de plas doen? Ik denk het niet.

Marieke Rijken:
[1:13:45] Aan de andere kant is natuurlijk ook dat... zeker in Amerika en in ook China... en we moeten het niet alleen maar over die twee hebben... want ze zijn echt niet de enige mensen of landen die vervelend zijn.

Randal Peelen:
[1:13:58] Echt niet?

Marieke Rijken:
[1:13:59] Nee, ik heb er nog wel een paar. Die hebben natuurlijk een heel erg aantrekkelijk klimaat om te ondernemen. Dus Silicon Valley is fantastisch als je een tech-starter bent. Want je kan er naartoe en er is heel veel geld voor beschikbaar. En je mag daar hele grote risico's nemen met vinding. En dan is er eigenlijk, ga vooral op je gezicht en vooral door. En in China is dat ook heel erg gaande. En in Europa zijn we allemaal wat conservatiever of zo. Dus ik denk ook dat, zeker als je heel groot wil worden en je bent een Europese partij. En je vindt dat eigenlijk niet zo belangrijk dat het per se Europees hoeft te zijn. Ga lekker ook naar die Silicon Valley's toe en je ding doen. Maar misschien is het ook wel goed om in Europa een cultuur te creëren waarbij dat ook gewoon een beetje kan.

Mischa van Geelen:
[1:14:43] Ja, ik zie het nu met startups om ons heen ook. Die dus zeg maar ervoor kiezen om naar de VS toe te gaan om daar funding op te halen. Want ja, hier in Europa kunnen we het niet krijgen. Daar halen ze gemiddeld 40 miljoen op en hier moeten ze het met 2 miljoen doen.

Marieke Rijken:
[1:14:57] Daar moet je voor leuren.

Mischa van Geelen:
[1:14:58] En dat is het grote verschil, dat investeringsklimaat. Daar is het heel simpel. We hebben 20 startups in de VS. Je geeft ze allemaal 10 miljoen. En als één daarvan slaagt, dan heb ik als investeerder mijn werk goed gedaan. En hier aan de andere kant is het heel voorzichtig. Ja, maar heb je er dan wel goed over nagedacht? Heb je toch echt wel volledig je idee uitgewerkt? Daar heb je een idee in, krijg je geld. Hier is het, nee, het moet wel echt bijna af zijn. En dan wil ik er misschien geld in stoppen.

Marieke Rijken:
[1:15:23] Het is eigenlijk een soort monopole geld, hè? In de States gebruiken ze het af en toe een beetje, lijkt het. Ja.

Randal Peelen:
[1:15:29] Kun je iets vertellen over de MIAW-methode?

Mischa van Geelen:
[1:15:33] Over de MIAW-methode? Nou ja, die hebben we ooit, dat is ooit ontstaan naar aanleiding van een hack bij een gemeente, waarbij er een pentest was en die pentest, daarvan werd op een gegeven moment gevraagd, ja, hoe is die nou tot stand gekomen? En het korte antwoord was dat ze geen idee meer hadden hoe die tot stand gekomen was. Maar het was wel een pentest die net een paar maanden daarvoor gedaan was. En de organisatie was een paar maanden daarna gehackt. En waar ze via binnen waren gekomen, zat in de pentest. Maar er was niks gevonden. En dat is op een gegeven moment waar Brenno de Winter, maar ook ik op een gegeven moment zoiets hadden van, dit moet anders, dit kan anders. En ook daar weer, dit kan je gewoon op een bepaalde manier standaardiseren. Al is het sommige dingen met de hand die je gewoon moet uitvoeren. Waarbij je in ieder geval een basis hebt gecoverd. Je APK voor je auto. Dat betekent niet dat er niks met je auto aan de hand is. Maar je hebt in ieder geval de base fix gecheckt. En je hebt het inzichtelijk gemaakt. En zo is het met jou ooit.

Randal Peelen:
[1:16:46] Want die APK heeft ook het zwaartepunt op veiligheid.

Mischa van Geelen:
[1:16:50] Ja, maar je kan met alle respect met de APK doen. Je kan de garage uitrijden. En je auto kan nog steeds in de fik vliegen. Omdat ze de bekabeling niet hebben langgelopen. Want ze hebben niet de hele auto opengetrokken. En niet al een kabeltje. Dus het kan nog steeds zijn dat er een kabeltje is. Wat beschadigd is geraakt. Waardoor die auto in de fik gaat.

Randal Peelen:
[1:17:07] Zo irritant altijd als je autonovic breekt.

Mischa van Geelen:
[1:17:09] Nee, maar dat kan met een APK. Maar het verschil is, je hebt de grote basale dingen die voor heel veel ongelukken en heel veel kan veroorzaken. Dat heb je gecheckt. En dat was als basis. En het hele idee van Miau was ook, niet zelf willen we het heel opnieuw uitvinden. Er bestaan gewoon standaarden en er bestaan checklists die al battle-tested zijn. En wat we met Miau probeerden te doen is mensen die een pentas willen kopen, bij een externe partij helpen met welke vragen moet ik nou stellen aan mijn pentasleverancier, welke vraag moet ik nou stellen wat krijg ik er dan voor als ik die vraag stel hoe valideer ik dat ik dat ook heb gekregen en wat krijg ik vooral ook niet als ik die vraag niet stel, Dus het zijn de meest gekke dingen die we zijn tegengekomen. Ik weet niet wie de Pentest heeft uitgevoerd, want er staat alleen maar een, bedrijfslogo op. Maar ik weet niet wie in dat werk heeft uitgevoerd of die de juiste certificeringen heeft. Dus wat vraag je? Ik wil graag dat op het Pentest rapport staat de naam van de onderzoekers en de certificeringen en een linkje naar een online omgeving die elke certificerende partij heeft, waarbij ik het certificaat kan bekijken van die onderzoeker. Het is heel bazaal. Maar het zal je verbazen hoe vaak ik pen test rapporten onder mijn neus heb gehad waar niet eens in de naam van een onderzoeker op stond. En dan weet je dus niet of ze daadwerkelijk de kennis en capaciteit hebben om het uit te kunnen voeren. Dus hoe goed je pen test is op basis van bijvoorbeeld de certificering van die persoon.

Randal Peelen:
[1:18:39] En in hoeverre is die miauw methode dan al een ingeburgerd fenomeen? Want het klinkt, en dan moet je Brenno de Winter een beetje kennen. Brenno die doet overal alles met katten. Dus in elke presentatie staan alleen maar kattenplaatjes. En op de achterkant van de boeken die hij schrijft staat hij met een kat. En dan kan het geen toeval zijn dat die methode Miauw heet.

Mischa van Geelen:
[1:19:02] Er is een motie over geweest in de Tweede Kamer. En die is unaniem aangenomen. En in die motie stond dat er gevraagd is om naar een methodiek als Miauw te kijken. Voor bijvoorbeeld de inkoop van penters voor de gehele Rijksoverheid. Daarvan heeft recent ook gezegd dat ze nu de inkoop doen op een manier, die conform is aan Miauw. Dus het is daadwerkelijk ook nu vanuit overheidsgremia gezegd, nou ja, dit gaan we zo doen.

Randal Peelen:
[1:19:30] Mooi. Dan zijn we eindelijk toe aan de vraag die Joris had gesteld. Die context heb je daar even bij nodig. Hij zegt, wat zijn nou de verschillen tussen de Miauw methode en het piepsysteem? Ja.

Mischa van Geelen:
[1:19:43] Het piepsysteem.

Marieke Rijken:
[1:19:45] Kat en muis spelletje?

Mischa van Geelen:
[1:19:46] Ja, het is een... Wat moet ik daarop zeggen? Het piepsysteem klinkt voor mij als een pentester die met alle respect maar wat doet... Tot het een keer fout gaat. En dan moet je gaan uitleggen. Omdat een klant begint te klagen. Wat hij heeft gedaan. En het hele idee met miauw is. Dat je gewoon vooraf fatsoenlijk vastlegt. Wat je hebt gedaan in een apportage. En gewoon. Eigenlijk is het gewoon heel vlaag gezegd. Leg uit wat je doet. En leg het op een manier uit. Dat ik het zelf kan reproduceren. Voor de kwetsbaarheden die je hebt gevonden.

Randal Peelen:
[1:20:21] Als persoon die je nogal in de B2C heeft rondgehangen. Dus ik heb vooral bij bedrijven gewerkt. die consumentgericht zijn, niet zakelijk gericht, dan was het piepsysteem altijd, gaan we nu een grote mailing sturen naar al onze klanten en leggen we dit uit? Of wachten we gewoon de tien klanten af die gaan bellen, dus piepen, en leggen we het hen alleen uit, omdat de rest er niet zoveel aan heeft?

Mischa van Geelen:
[1:20:45] Ja, kijk, ik denk dat het hele idee van jou, hoe we het nu doen, is je wil dit in je werk mee, het maakt het niet alleen maar schaalbaarder voor een klant, Maar het maakt ook dat als je als bedrijf een opdracht gaat uitvoeren, dat je er meerdere mensen fatsoenlijk gestructureerd aan kan laten werken. Wat je heel vaak zag in het verleden met pentesten is, doe jij maar een beetje dat en doe jij maar een beetje dat. En jij was goed daarin, toch? Maar hoe weet je dan dat als je een project draait, dat je alles hebt? Niet echt. Dit maakt werkverdeling makkelijker. Het maakt taakverdeling überhaupt makkelijker. Wie doet wat in een project? Gewoon omdat het gewoon een basisstructuur is. En tegelijkertijd helpt het ook, je klant, want daar is deze voor. Deze is niet bedoeld voor de leveranciers, maar voor de klant. Om vragen te stellen aan je leverancier. En dat was ook een van de gedachten daarachter. Namelijk, het moet een keer klaar zijn met de leverancier die jou vertelt. En dit is wat je van mij kan kopen. En dit is het, zoek het maar uit als je wat anders wil. Terwijl als die vraag uit de markt komt, dit wil ik hebben. En dan ga ik wel naar een ander. Dan zie je dat heel veel leveranciers zoiets hebben van, ja, maar dan ga ik dat misschien wel doen. Want anders mis ik die opdracht.

Randal Peelen:
[1:21:51] Ik heb nog één laatste vraag. Arnoud Wokke, ook zo'n vriend van de show. Die vraagt, welke vraag hadden jullie wel willen krijgen, maar heb ik jullie niet gesteld?

Marieke Rijken:
[1:22:04] Jij mag eerst antwoorden.

Mischa van Geelen:
[1:22:06] Ik ben al de hele tijd antwoord.

Marieke Rijken:
[1:22:08] Nou hè? Je bent lekker aan het kletsen toch?

Mischa van Geelen:
[1:22:11] Ik heb eigenlijk geen idee, is dat ik de eerdere antwoord heb.

Randal Peelen:
[1:22:17] Marieke wel, let maar op.

Marieke Rijken:
[1:22:19] Ja. Het is eigenlijk een inside joke natuurlijk. In de Slack. En dat is eigenlijk... Ik had wel verwacht dat iemand zou vragen... Wie van ons twee is de volgende MMM? En dan met zo'n awkward smile.

Randal Peelen:
[1:22:32] Oh ja, ja, ja.

Marieke Rijken:
[1:22:34] Maar verder, ja.

Mischa van Geelen:
[1:22:37] Wil je het dan ook beantwoorden?

Marieke Rijken:
[1:22:39] Dat laat ik lekker in het midden.

Randal Peelen:
[1:22:42] Ik denk dat iedereen die de inside joke snapt... het antwoord stiekem al weet. en iedereen die de insightjoke niet snapt, die heeft zo te horen een beetje pech.

Marieke Rijken:
[1:22:53] Klein beetje toch.

Randal Peelen:
[1:22:55] Tot zover deze aflevering van Met Nerds om tafel en Met Nerds om tafel is een podcast door Jurrian Ubachs en mij, Randall Peelen Onze panelleden zijn Annelies Verhelst Huurt Sanders en Sander Bijleveld en worden regelmatig en ook dit keer weer geëdit door Maarten van Woerkom We hadden twee, gastnerds vandaag in ons midden. De eerste was Marike, ik ga je voortaan Rijken noemen Marike Rijken Dan moet ik je tag op onze website. Die blijkbaar iets te maken heeft met Fastly. Ook gaan updaten. In onze WordPress omgeving.

Marieke Rijken:
[1:23:25] Of gewoon een alter ego. Nee, oké.

Randal Peelen:
[1:23:27] Nee. Vind ik geen goed idee.

Marieke Rijken:
[1:23:29] Zal ik mijn naam dan maar gewoon terug veranderen?

Randal Peelen:
[1:23:31] Ja, graag. Weer tijd. Waar kunnen mensen meer van jou te weten komen?

Marieke Rijken:
[1:23:37] Ik denk dat ik op ieder feestje... Nou, dat is niet waar. Jawel, ik ben wel bijna op ieder feestje te vinden. Cyberfeestje.

Randal Peelen:
[1:23:42] Echt leuk.

Marieke Rijken:
[1:23:44] In een hackerspace. In Den Haag. Of in Utrecht. Of in Nieuwegein. Of in Arnhem soms. En op Slack. en mastodon pindakaas met drie i's. Maar daar doe ik echt helemaal niks mee.

Randal Peelen:
[1:23:55] Ik ben nutt om tafelslek toch wel te verstaan. Ik bedoel, er zijn zoveel sleks, maar dit is eigenlijk...

Marieke Rijken:
[1:23:59] Ja, dit is maar één slek.

Randal Peelen:
[1:24:01] Ja, en de Weerwolf slek. Nee, en de Not slek. Dat zijn er twee.

Marieke Rijken:
[1:24:04] Er zijn maar twee sleks. Shit, dat had ik moeten zeggen. Mag ik hem opnieuw doen? Je kunt mij bereiken op rick.rickshley.nl.

Randal Peelen:
[1:24:13] En dan hebben we nog Misha van Geelen. Leuk dat je er was. Dit is niet de eerste keer dat we elkaar treffen en ik hoop ook niet de laatste.

Mischa van Geelen:
[1:24:21] Daar hou ik je aan.

Randal Peelen:
[1:24:23] Waar kunnen mensen meer over jou te weten komen?

Mischa van Geelen:
[1:24:26] Nou, sowieso ben ik nergens nog wel te vinden op het internet. Maar ik loop op de gemiddelde conferenties ook bij Hackerspaces rond. En ja, ook bij de gemiddelde hackercamp ook als die er weer is. Dus, genoeg momenten denk ik om mij te kunnen treffen.

Randal Peelen:
[1:24:44] En jullie website? Kom op, je zit in zo'n mooie hoodie. Daar staat Adverse IQ op. Ik heb het woord nu denk ik 18 keer gezegd. Waar is dat te vinden?

Mischa van Geelen:
[1:24:57] Op adverseiq.com. En uiteraard ook op .eu, .be en .nl. Want we zijn niet alleen maar .com.

Randal Peelen:
[1:25:05] En als mensen dit luisteren op het moment dat Marike het design afheeft.

Marieke Rijken:
[1:25:09] If only ooit, ja.

Randal Peelen:
[1:25:10] Kunnen ze op die website dan ook jullie tools gebruiken?

Mischa van Geelen:
[1:25:14] Nog niet, maar je kan wel al toegang vragen tot early access.

Randal Peelen:
[1:25:17] Precies. Nou, leuk. Meer informatie over ons staat op onze website. Dat is mnot.nl. Joi, onze slekte gingen meer dan 2600 charmante, capabel en gezellig nerdje voor. Die nerds kunnen vragen stellen in het kanaal. Vragen van de luisteraar. Dus vragen aan de volgende gastneur. Die stel ik elke week aan je ervoor. Je kunt ook vriend van de show worden. Dan hoor je tot de echte crème de la crème van de luisteraars. En voor 3 euro per maand krijg je dan toegang tot het clubhuis. Op onze meetups kun je dan terecht. Je krijgt stickers en bierviltjes door je briefbus. Je luistert zonder reclame. Eerder dan de rest. En elke week met een pracht van een bonusaflevering. Voor nu, hartelijk dank voor het luisteren. En tot de volgende keer.