Jurjen Harskamp ontwikkelt zijn holy grail: “Geautomatiseerd beveiliging valideren is de toekomst”
“Hoe veilig ben je nu echt? Dat is moeilijk vast te stellen. We werken er daarom hard aan om dat stuk validatie te (her)ontwikkelen”, vertelt Jurjen Harskamp, oprichter van Hunt & Hackett. Volgens hem draait innovatie om continu verbeteren. Maar dat gaat niet zomaar: innovatie moet geborgd zijn in de strategie en cultuur van een organisatie. “Voor ons betekent dat de juiste mensen aannemen, ruimte creëren voor creativiteit en elkaar continu uit blijven uitdagen. Hoe kan het nóg beter?”
Nu is hij bezig met de laatste puzzelstukken van de holy grail in cybersecurity een manier vinden om beveiliging geautomatiseerd te kunnen valideren, zodat je kunt bepalen hoe veilig je eigenlijk écht bent tegen specifieke aanvalsmethodes.
Kennismaking met cybersecurity
‘’De weg naar het IT security domein begon voor mij in 2005. Ik werkte toen als director bij het consultancybureau Policy Research Corporation en deed veel opdrachten voor Defensie. Het keerpunt kwam na de financiële crisis in 2008, die leidde tot discussies binnen Defensie over bezuinigingen.’’ Jurjen legt uit: “Er werd besloten dat de tanks eruit moesten, waardoor er een besparing van één miljard werd gerealiseerd. Tegelijkertijd wilden ze honderd miljoen investeren in cybersecurity, dat toen nog een vaag en ongedefinieerd concept was. Wij werden vervolgens gevraagd om mee te denken over hoe dit geld het beste besteed kon worden. Zo ben ik de cybersecurity ingerold, waarbij mijn achtergrond ook wel van pas kwam.”
‘’Ik heb onder andere een opleiding elektronica afgerond en groeide op in een tijdperk waarin computers een opkomende technologie waren. In mijn vroege dagen experimenteerde ik met computers en de eerste modems. Dit gaf mij een goed begrip van hoe ze werkten én hoe ze mogelijk misbruikt konden worden. Ik was zeker geen hacker, maar ik wist net genoeg om dingen uit te proberen en te leren hoe het werkt. Dit heeft me altijd geïntrigeerd, dus werken in het cybersecuritydomein was voor mij uiteindelijk heel passend.”
Oprichting Hunt & Hackett
Jurjen was samen met Ronald Prins, Menno van de Marel en Ad Scheepbouwer één van de directieleden van Fox-IT. Dit bedrijf werd in 2015 verkocht aan het Britse NCC Group. Niet lang daarna vertrokken ook de oprichters. Maar de samenwerking tussen Ronald en Jurjen hield stand. Vijf jaar later, in 2020, richtten ze hun eigen cybersecuritybedrijf op: Hunt & Hackett.
“Vanaf dag één staan we voor innovatie. Dat betekent voor mij continu verbeteren, itereren en de lat hoger leggen om dingen beter, efficiënter en hoogwaardiger te doen”, zegt Jurjen. Innovatie moet volgens Jurjen echt geborgd zijn in zowel de strategie als de cultuur van een organisatie. Jezelf afvragen: Hoe kan je dingen beter maken? Hoe kan je de propositie verbeteren? Waar staan we nu? Wat zijn de volgende stappen die we willen zetten?”
Beveiliging valideren: hoe veilig ben je nu echt?
‘’Eén van de uitdagingen waar de cyber security sector op dit moment tegenaan loopt is dat het lastig is vast te stellen hoe het gesteld is met je huidige cybersecurity.’’ Jurjen legt uit: Dit kan nu alleen door een penetratietest of door het simuleren van cyberaanvallen, het zogeheten Red Teaming. Dit is arbeidsintensief, duur en de scope van het validatie stuk is daarnaast ook beperkt. Je krijgt inzicht in je zwakste punten, maar niet in die van alle mogelijke aanvalspaden. Je krijgt vooral meer te weten over wat de plekken zijn waar je met de minste weerstand binnen kan komen. Dat is ook relevant, maar het geeft geen beeld van hoe veilig je nu echt bent over de hele linie.”
‘’Daar zie ik dan ook kansen voor toekomstige innovaties en ontwikkelingen. We zijn hard aan het werk om geautomatiseerde validatie toe te voegen. We willen een oplossing maken waarbij we niet alleen klantomgevingen monitoren en advies geven over de preventiemaatregelen maar deze ook continu kunnen aanvallen met een grote verscheidenheid aan aanvalsmethodes, in plaats van één specifieke aanval. Dan kun je het dreigingsbeeld waartegen je de organisatie wilt beschermen simuleren en het security concept en in het bijzonder de samenhang van preventie, detectie en response maatregelen op continue basis valideren. Als er nieuwe aanvalsmethodes of tools ontdekt worden, kan eventuele impact meteen worden getoetst op een klantomgeving. Dat is de holy grail.”
Innoveren in het cybersecuritydomein
Innovatie draait voor Jurjen om enerzijds visie en anderzijds het continu verbeteren. Een manier van denken die helemaal is geïntegreerd in Hunt & Hackett. Niet alleen in hoe ze werken, maar ook in hoe het bedrijf is opgebouwd. Als eerste cloud native cybersecuritybedrijf in Nederland en met hun volledige Infrastructure as Code, is hun IT-infrastructuur efficiënt, schaalbaar, veerkrachtig en flexibel. Hun innovatieve aanpak van Threat Modelling willen ze uitbreiden met het geautomatiseerd kunnen valideren van beveiliging. De vraag beantwoorden: Hoe veilig ben je nu echt? Dat is de toekomst.