Security Engineer Stijn Crevits off the record over beveiliging
"We zorgen dat er nooit een onveilige applicatie het daglicht moet zien"
De beveiligingsaanpak van DPG Media is top secret-informatie, dus meestal houdt Security Engineer Stijn Crevits de lippen stijf op elkaar. Voor dit gesprek gaat hij off the record, al bepaalt hij zelf welke informatie we mogen hacken. “Ethisch hacken heeft niet als doel om iets kapot te maken, wij verbeteren de cybersecurity van DPG Media, vandaar ons motto: find it, fix it.”De ene noemt het pentesting, de andere verkiest ethisch hacken. Voor Stijn doet de naam er niet toe, het is de kick die telt: "Zoeken naar zwakke plekken, speuren in applicaties, en dan uiteindelijk op iets botsen wat een serieus gevaar kan opleveren..." Stijns ogen lichten op. "Niet alles wat ik vind heeft het kaliber om een site als HLN.be plat te leggen, maar verschillende kleine lacunes kunnen wel tot een groot probleem leiden.”
Stijn is niet verwonderd dat we met enkele vooroordelen aan de start komen: "Hollywood heeft de reputatie van ethische hackers een beetje om zeep geholpen. Mensen denken dat we in kelders werken, alleen naar groene cijfertjes staren en altijd zwarte hoodies dragen", zucht Stijn - die tijdens dit interview overigens een zwarte hoodie draagt. "In werkelijkheid ben ik net als alle andere collega's hier."
Groeispurt
Stijn begon in juni 2021 bij DPG Media als pentester, maar zijn rol evolueerde snel. Hij heeft nu een bredere focus op het technische aspect van security engineering Daar staat hij niet alleen voor, hij kan rekenen op zijn collega’s van het security team. "We werken met duizenden applicaties en talloze teams, dus er is altijd wel iets nieuws te ontdekken. Als Security Engineer leer je de hele organisatie kennen. De ene dag werk je met team A aan de app van het Algemeen Dagblad, de andere dag met team B aan het videoplatform Streamz."
Het team zit midden in een groeispurt, zowel qua aantal collega’s als qua kennis. "Omdat prioriteiten veranderen, en we meer verantwoordelijkheden krijgen, moeten we onze vaardigheden continu upgraden. Ook om hackers voor te blijven, natuurlijk. En daar is alle ruimte voor: we volgen AWS-trainingen, doen mee aan Akamai-programma's en leren over DevSecOps."
We werken met duizenden applicaties en talloze teams: er is altijd wel iets nieuws te ontdekken.
To the left, to the left
Ook de manier van werken is de afgelopen tijd veranderd, Security to the Left is het nieuwe codewoord. "Dat betekent dat we security al implementeren in de developmentfase. We stappen af van het 'klassieke model' waarbij een applicatie ontwikkeld wordt en security die vlak voor ze live gaat, controleert. Want dat werkt gewoon niet in een snel evoluerende omgeving als de onze.”
Stijn en zijn collega's werken samen met de ontwikkelaars om ervoor te zorgen dat beveiliging geen formaliteit op het einde van het proces is, maar is verweven in elke stap. "We delen blauwdrukken, best practices, tools - alles wat ontwikkelteams nodig hebben om veilige applicaties af te leveren. Als er iets boven water komt, kunnen ontwikkelteams de problemen in de volgende sprint aanpakken, zodat er nooit een onveilige applicatie het daglicht hoeft te zien."
Ongevraagd advies geven
Nog een sterkte van het security team is het geven van ongevraagd advies. Zij controleren regelmatig de verschillende applicaties van het bedrijf, vooral als er veel inkomsten aan vasthangen. "Soms hebben we wat marketing nodig om onze oplossing te verkopen", vertelt Stijn. "Ontwikkelaars hebben vaak hun eigen manier van werken en wij moeten hen overtuigen van de meerwaarde van onze aanpak. Ze zijn bang dat die andere aanpak de snelheid van deployments zullen beïnvloeden - wat overigens zelden het geval is."
Ook een incident kan aanleiding geven tot een onderzoek: een bug, een probleem dat gemeld wordt of een cyberaanval op een concurrent. “Het grootste beveiligingsrisico op dit moment is een menselijke fout; een collega die op een phishing-link klikt of per ongeluk malware installeert (en ook daar hebben we tools voor).”
Werk-privébalans
DPG Media veilig houden klinkt als een 24/7-job, maar dankzij de vele tools en technologieën die het team in huis heeft, is de balans tussen werk en privé heel goed. Heel belangrijk voor een vader met een jonge zoon: "Die gebroken nachten zullen wel snel voorbij gaan, toch?”, lacht Stijn met licht slaapgebrek. “Ik ben heel tevreden over die balans tussen werk en privé. Tijdens mijn sollicitatieprocedure hebben we dit besproken, en het werkt perfect in de praktijk. Ik begin de dag meestal met de zorg voor mijn zoontje en start wat later, maar werk ’s avonds ook langer door. Sommige van mijn collega's beginnen juist heel vroeg, zo is er altijd iemand beschikbaar."
