Inhoudsopgave
    

Fox-IT: hofleverancier van de AIVD
Daniël Verlaan
door Daniël Verlaan
leestijd: 8 min

Securitybedrijf Fox-IT heeft onder meer de AIVD als vaste klant. De overname door een Brits bedrijf zorgde voor commotie: zijn onze staatsgeheimen nog wel veilig? Oprichter Ronald Prins wuift die geruchten weg: "De Britten komen hier niet zomaar binnen."

"Probeer het maar." Prins reageert op mijn plan om een internetkabel in het netwerk van het zwaar beveiligde Fox-IT te stoppen. In de ontvangsthal - met camera's, een controle van het identiteitsbewijs en theedoos met 'Fox ITea' erop - zijn een paar ethernetpoorten te vinden. "Zodra jij een kabel erin steekt, staan er een paar mensen naast je", zegt Prins grijnzend. "Dat kan ik je verzekeren."

Pakken en hoodies

Als je een kwartiertje in de welkomsthal van het Delftse hoofdkantoor doorbrengt, zie je twee typen mensen: zakenlui en nerds. De mensen in pak zijn voor het merendeel klant bij Fox-IT: denk aan medewerkers van de overheid, banken, telecomproviders en leveranciers van vitale infrastructuur. De nerds met hoodies werken juist bij het bedrijf. 

Prins is het boegbeeld van Fox-IT en bekend geworden door zijn tv-optredens, waar hij praat over onderwerpen als cybercrime en aftappen door de AIVD. Als oud-AIVD'er is hij juist voor meer bevoegdheden voor de geheime dienst: "Ik ben weggaan bij de AIVD omdat ik al vrij snel door alle bevoegdheden heen was. De dienst mocht toen nog niet zo veel, terwijl ik leuke ideeën had." Daarom startte hij in 1999 zijn eigen bedrijf.

Ronald Prins
Ronald Prins

Later ontwikkelde Prins met Fox-IT onder andere afluistersoftware voor opsporingsdiensten en encryptietechnologie om de communicatie van het leger te beveiligen. Maar het gros van zijn klanten bestaat uit bedrijven waar hij het interne netwerk in de gaten houdt. "We zetten een soort taps in het netwerk die signalen naar ons sturen zodra ze iets opvallends zien, zoals een verbinding met een verdacht ip-adres", aldus Prins.

Security Operations Center 

De signalen komen binnen bij het Security Operations Center (SOC), dat verstopt zit achter geblindeerde ramen. Prins geeft zijn collega's in het SOC een seintje dat er een journalist komt kijken. "Ze moeten even de tijd krijgen zodat er geen gevoelige informatie op de schermen staat", legt Prins uit.

Met een druk op de knop worden de ramen doorzichtig. In de ruimte kijken werknemers op zes verschillende schermen met Linux erop naar alle binnengekomen meldingen. Op de achtergrond draait toepasselijk Under Pressure van Queen.

De televisie aan de muur toont het getal 15.000. Dat zijn het aantal meldingen dat Fox-IT deze ochtend - het is nu iets over één - van zijn klanten heeft ontvangen. Van die 15.000 stuks zijn er 56 het bekijken waard. "Dat kan bijvoorbeeld betekenen dat een computer communiceert met een verdachte website of dat er verbinding wordt gemaakt met een specifieke poort."

Als de lichten achter de tv rood kleuren, ontvangt het SOC een nieuwe melding. De gemiddelde tijd die verstrijkt voordat een melding wordt opgepakt is die dag 22 seconden.

De apparaatjes van Fox-IT zien niet of een klant een phishing-mail ontvangt, maar wel als er op een phishing-link wordt geklikt of ransomware wordt gedownload. Als er een dreiging is, loggen de werknemers van Fox-IT via hun ingang bij de bedrijven in. De code die dan wordt geschreven om de aanval af te ketsen of dreiging aan te pakken, kan vervolgens ook bij andere bedrijven worden uitgevoerd.

Netwerkanalyse > Firewalls

Als bedrijven zich vroeger wilden beveiligen tegen internetaanvallen, kochten ze een router met een stevige firewall. "Dat is echt niet meer van deze tijd", zegt Prins. "Je kunt niet meer blind vertrouwen op een firewall. Dat hebben de gelekte hacktools van de NSA wel aangetoond. Ze hadden voor vrijwel alle belangrijke firewalls een exploit."

Met een exploit voor een firewall kan een aanvaller toegang krijgen tot het interne netwerk van een bedrijf of overheid. Daarom vindt Prins netwerkanalyse de beste beveiliging: "Je netwerk in de gaten houden en indringers tijdig spotten is nog belangrijker dan het inzetten van firewalls om ze buiten te houden."

Prins trekt ook een belangrijke conclusie uit de gelekte NSA-tools: geen bedrijf is veilig voor de Amerikaanse geheime dienst. "Het is niet zo dat als je Amerikaanse routers koopt, zoals die van Cisco of Juniper, dat je dan veilig bent voor de NSA. Ze hacken ook gewoon Amerikaanse apparatuur."

Hack bij ASML

Geheime diensten vormen volgens Prins regelmatig een bedreiging voor bedrijven: "De intellectuele eigendommen van Nederlandse techbedrijven zijn vooral in trek bij de Chinezen en Russen." Niet gek dus dat de AIVD eerder dit jaar ook al voor deze vorm van cyberspionage waarschuwde.

Een voorbeeld van digitale bedrijfsspionage is de hack op de Nederlandse chipmachinefabrikant ASML uit begin vorig jaar, vermoedelijk uitgevoerd door de Chinezen. Of Fox-IT het Nederlandse bedrijf heeft geholpen met het onderzoek naar de hack? Prins: "Dat weet ik niet. En dat zeg ik altijd als ik iets niet kan zeggen of het gewoon echt niet weet."

Banken worden het vaakst aangevallen, zegt Prins: "Daar valt geld te halen. Maar ook de overheid en telecomproviders zijn regelmatig het doelwit." Dit zijn allemaal grote organisaties en bedrijven, maar Fox-IT heeft ook kleinere klanten: "Denk aan een bedrijf dat onderdelen maakt voor de JSF. Dan heb je er als bedrijf baat bij dat je netwerk goed wordt beveiligd."

Cryptodozen van duizenden euro's

Een klein deel van de 270 werknemers van Fox-IT, rond de 35 mensen, heeft toegang tot een beveiligde afdeling in het gebouw. Daar wordt aan encryptietechnologie gewerkt: apparaten die datastromen beveiligen. Sluit zo'n apparaat aan op het internet en je kunt veilig communiceren. 

Eén van deze 'cryptodozen' staat op het bureau van Prins: een groene baksteen die is gemaakt voor Defensie. Je sluit het apparaat aan op het internet en creëert daarmee een geheim netwerk: "Soldaten die een missie uitvoeren kunnen dan veilig communiceren met het commandocenter, waar ze ook ter wereld zijn." 

Deze groene apparaten van Defensie worden volledig in Nederland gemaakt. Het ontwerp en de encryptietechnologie is afkomstig van Fox-IT, de apparatuur wordt in een niet nader te noemen Nederlandse fabriek in elkaar gezet. "De hardware is daardoor wat trager en een stuk duurder, maar zo weet je wel zeker dat er geen achterdeurtjes in zitten." Kosten? Tussen de vijf- en achtduizend euro per kastje.

De Britten

Ondanks dat Fox-IT de Nederlandse overheid en grote Nederlandse bedrijven als klanten heeft, vindt Prins zich nog maar een 'relatief kleine speler': "We maken mooie technologie en het is dan eigenlijk zonde dat we vooral in Nederland klanten hebben. Om een groter deel van de wereld te veroveren hadden we hulp nodig, en die hebben we gevonden bij NCC Group."

De hulp van NCC Group kwam vorig jaar november in de vorm van een overname: Fox-IT werd voor 135 miljoen verkocht aan 'de Britten'. Dat laatste zorgde voor commotie: er werd gevreesd dat de Britse geheime dienst toegang zou krijgen tot de communicatie van de Nederlandse overheid.

Niet zonder slag of stoot

"Ik had ook niet gedacht dat de overname zonder slag of stoot zou gaan", vertelt Prins, die door de deal ongeveer 40 miljoen euro rijker is. "Ik snap dat een bepaalde community moeite heeft met de overname. Maar dat je aandelen bezit in een Nederlands bedrijf betekent niet dat je hier zomaar binnen kunt lopen. Ze kunnen niet opeens zeggen: in het volgende doosje dat je voor de overheid maakt moet dit achterdeurtje zitten."

Prins lichtte de overheid wel van tevoren in over de deal: "Organisaties reageren minder emotioneel dan mensen op het internet. Zij weten welke controles we hanteren bij onze beveiligde afdeling. Daar kom je gewoonweg niet binnen als je daar niets te zoeken hebt. Zelfs de AIVD laat ik daar niet binnen. De geheime dienst heeft hier niets te zoeken. Als ze toegang tot ons netwerk willen, moeten ze ons maar proberen te hacken."

Auteur

Daniël Verlaan (@danielverlaan) is techredacteur bij RTL Z en Bright. Houdt van de middeleeuwen en terabytes. Fietst heel snel korte afstanden. En is in het echt (en op Twitter) véél knapper.