Mahdi Abdulrazak: “We investeren miljarden in cloud security, maar blijven verrast door dezelfde fouten”

DoorMarloes van Vliet
Mahdi Abdulrazak: “We investeren miljarden in cloud security, maar blijven verrast door dezelfde fouten” cover

Mahdi Abdulrazak is co-founder en CEO van Dawnguard. Hij loopt al decennia mee in security, begon als tiener met hacken ‘om te leren’, bouwde ervaring op in en rond bedrijven, en investeert actief in start-ups. Nu wil hij één ding oplossen dat hem al jaren frustreert: waarom blijven cloudomgevingen lekken door dezelfde type fouten, zelfs met een stapel tooling en forse budgetten?

Mahdi legt uit waarom security by design in de praktijk vaak strandt op handwerk en tijdsdruk, en hoe Dawnguard dat probeert om te draaien door ontwerp, implementatie en controle aan elkaar vast te zetten met AI. Minder achteraf scannen, meer vooraf goed neerzetten.

“Toen hij drie zinnen had gezegd, wist ik: dit gaan we bouwen”

Dawnguard begon niet met een lange zoektocht naar de perfecte match, maar met een toevallige ontmoeting aan tafel. Mahdi vertelt hoe zijn co-founder Kim van Lavieren tegenover hem zat tijdens een diner en over zijn onderzoek vertelde. “Volgens mij was hij drie zinnen in het verhaal,” zegt Mahdi, “toen dacht ik: dát is mijn co-founder.”

Kim’s profiel maakte dat gevoel meteen concreet: programmeren vanaf zijn negende, werkervaring bij defensie en Amazon in de VS, en een boek over cloud computing security. Mahdi had al langer het idee dat dingen anders moesten. Die avond viel het kwartje: niet blijven analyseren, maar bouwen.

“Je bouwt toch ook geen gebouw zonder blauwdruk?”

Mahdi ziet het probleem al zijn hele carrière terugkomen: “Waarom kunnen we geen veilige systemen ontwerpen? Een groot deel van ellende, van ransomware tot datalekken, komt voort uit een basis die niet goed is neergezet. Niet omdat mensen dom zijn, maar omdat het proces is gebouwd op vertraging en pingpong.”

Hij gebruikt daarom een heldere vergelijking: “Je zou heel raar opkijken als je zomaar begint met het bouwen van een complex gebouw zonder dat een architect er een blauwdruk van gemaakt heeft. In de cloud doen we dat wel: teams moeten door honderden documenten, alle requirements bij elkaar sprokkelen, en met meerdere teams afstemmen. En als er dan iets terugkomt, kan de helft weer over.” Dit proces is zó stroperig dat het onder druk bijna altijd verliest. En die druk is er: roadmap, release, markt, gedoe. Daardoor wordt security iets dat later wel komt, tot het misgaat.

Misconfiguraties zijn zelden één foutje

De cloud is volgens Mahdi niet veilig omdat het bij een hyperscaler draait. “Cloudomgevingen zijn gewoon complex en veranderen snel. Tegelijk is de druk op teams hoog: leveren moet door, en security wordt gezien als rem. Go-to-market wordt vaak vertraagd door security.”

Dat leidt tot het klassieke scenario: er moet iets live, dus er gaat iets in productie dat niet helemaal klopt. En zelfs als je wél netjes ontwerpt, ontstaat er nog een tweede risico: de vertaling van ontwerp naar implementatie. Mahdi noemt dat ‘maatschappijwerk’: veel handmatige stappen waar fouten in sluipen, zeker als je onder tijdsdruk configureert.

Als je dan vraagt wie de probleem-eigenaar is, wijst Mahdi niet naar één DevOps’er of één team. “De hele organisatie is uiteindelijk verantwoordelijk. Het is een gevolg van hoe werk verdeeld is, hoe keuzes gemaakt worden en hoeveel ruimte er is om het goed te doen.”

Van maanden naar minuten: ontwerp en implementatie één geheel maken

Dawnguard wil die breuklijn dichtzetten door ontwerp en uitrol niet meer te scheiden. “Wat nu weken, of zelfs maanden duurt, moet naar minuten. Niet met nóg een extra dashboard, maar door het ontwerp meteen te valideren tegen beleid, referentie-architecturen en wet- en regelgeving en daar direct implementatie van te maken.”

Daarom noemt Mahdi Dawnguard zowel de architect als de aannemer. “Wij genereren ook de code voor je om die infrastructuur gelijk uit te rollen. Daardoor wordt de relatie tussen wat is bedacht en wat draait één op één. Als ontwerp en implementatie dezelfde bron hebben, kan er minder misgaan in de vertaalslag. En het stopt niet na de uitrol. Daarna blijven we monitoren om te kijken of er afwijkingen zijn. Dawnguard dient zowel als onderhoud en controle na oplevering: we zijn niet alleen aan het bouwen, maar we bewaken ook dat het zo blijft.”

Mahdi wil ook af van het idee dat security een binair oordeel is.

“Security is niet een binair iets. De risk appetite bij een bakker om de hoek is iets anders dan bij een bank.”

“Organisaties maken afwegingen: risico, geld, snelheid, beschikbaarheid. Alleen gebeurt dat nu vaak buiten tooling om en daardoor wordt het al snel rommelig.” Dawnguard neemt daarom budget en randvoorwaarden mee in het ontwerp. Mahdi zegt dat ze niet alleen naar ‘meest veilig’ kijken, maar ook naar wat haalbaar is.

Het resultaat: je krijgt opties die je als organisatie kunt kiezen, in plaats van één theoretisch eindplaatje dat niemand kan betalen of op tijd kan bouwen. Dat is ook waar CISO en CIO elkaar volgens hem beter kunnen vinden. Minder discussie op onderbuik, meer expliciet: dit kost dit, dit levert dit op, dit risico accepteer je of niet.

Mahdi’s advies: maak security by design uitvoerbaar

Mahdi’s advies is rechttoe rechtaan: “Stop met security repareren nadat iets live staat. Zolang Security by Design vooral handwerk blijft, blijf je verrast worden door dezelfde fouten. Voor CISO’s betekent dat: systematiseer het ontwerp. Laat architectuur vanaf het begin toetsen aan beleid en regels, en zorg dat implementatie daar één-op-één uit volgt, dan los je niet een gebrek aan tools, maar het echte probleem op: het ontwerp.

Voor CIO’s is security geen eindcheck maar een onderdeel van de hele lifecycle. Het is een continu proces: van bouwen of inkopen tot uitfaseren. Richt je dat zo in, dan wordt leveren minder een strijd tussen snelheid en security, en voorkom je dat teams onder druk alsnog gaan improviseren in productie.”

Vergelijkbare berichten