Veiligheid op internet is een hot topic. Hackers richten zich op burgers en bedrijven, maar ook de politiek is niet meer veilig. Wat niet wil zeggen dat je helemaal niks kunt doen. Computerbeveiligingsbedrijven kunnen partijen helpen zich te wapenen tegen ongewenst bezoek. Radical Open Security is zo’n beveiligingsbedrijf. Een bedrijf met een bijzondere visie.

“Negentig procent van onze winst gaat naar goede doelen die werken aan een beter open internet. Verder ligt bij ons de nadruk op een open bedrijf: transparant met een grote nadruk op open source. Dat vinden we heel belangrijk”, aldus CEO  Melanie Rieback. Ander punt waarop Radical Open Security afwijkt van vergelijkbare bedrijven: alleen Rieback is in dienst van het bedrijf. De andere 35 medewerkers zijn allemaal freelancers. “We kunnen inkrimpen als het rustig is en groeien als het druk is. Dat laatste komt veel vaker voor. En als een klant zich bij ons meldt, is het mijn taak om op basis van de hulpvraag ergens op aarde een expert te vinden die kan helpen.” Waarbij op voorhand vast staat dat zo iemand niet uit Rusland komt. “Ik werk niet met Russen. Ik vertrouw hun regering niet.”

“We promoten open source zoveel als we kunnen ”

De openheid van Radical Open Security zal bij sommige partijen wenkbrauwen doen fronsen. Openheid lijkt in hun visie op gespannen voet te staan met veiligheid. Onzin meent Rieback. “Het is een misverstand om te denken dat open en veilig met elkaar in tegenspraak zijn. Openheid en transparantie leiden tot veel meer veiligheid. Kijk bijvoorbeeld naar encryptie: dat kun je alleen vertrouwen als het onderworpen is aan de kritische blik van de beste kenners in het veld. Dus als je niet voor open opteert zijn er veel minder mensen die er kritisch naar kunnen kijken. Meer ogen zorgen voor het verwijderen van meer bugs en dus wordt het dan veiliger.” Daarbij staat de vertrouwelijkheid van klant data natuurlijk geen moment ter discussie.

Naast open werken, staat open source centraal bij Radical Open Security. “We promoten open source zoveel als we kunnen. Alle tools die we maken en hanteren zijn open source. Dat geeft extra waarde, want  dat betekent ook dat onze klanten ermee kunnen werken en ermee kunnen doen wat hen goed lijkt. We nodigen onze klanten ook uit in onze chat omgeving als we aan het werk zijn, zodat ze horen en zien hoe we werken. Dat zorgt voor veel kennis en kennisoverdracht die je feitelijk nergens anders vindt.” Wanneer het bedrijf gevraagd wordt om een zogenaamde penetratietest uit te voeren worden de opdrachtgevers uitgenodigd mee te werken. “We laten onze klanten hun eigen systeem hacken onder leiding van twee van onze professionals. Daarbij verdelen we ze in twee teams, waarna ze een 3-daagse hacktraining krijgen zodat ze de basis kennen. Daarna worden ze 3 tot 5 dagen losgelaten op hun eigen producten.” Groot pluspunt van deze werkwijze: klanten geloven eerder dat er werkelijk iets mis is als ze dat zelf op het spoor gekomen zijn.  “We voorkomen veel discussies. En wat de grootste winst is: iedereen zegt achteraf ‘we zullen nooit meer hetzelfde naar programmeren kijken’. Ze krijgen een hacker mindset.”

“Je kunt jezelf nooit 100% beschermen als individu”

Radical Open Security accepteert niet elke klus die het bedrijf aangeboden krijgt. “Wij hebben het beleid dat we geen twijfelachtige dingen doen, wat zoveel betekent als wanneer een klant zich bezighoudt met zaken waar wij het niet mee eens zijn of ze dingen aan ons vragen waar wij het niet mee eens zijn, wij geen zaken met ze doen.” Klinkt helder, maar is in de praktijk nog best lastig. “Hoe ver wil je gaan? Voor je het weet kun je vrijwel iedereen afwijzen. Zo is het wel voorgekomen dat iemand bezwaar had tegen een NGO omdat een deel van de NGO’s door de CIA gefinancierd zou worden, wat op zich klopt, maar als ik daarom nee zou zeggen, dan blijft er op een gegeven moment wel erg weinig over.” Aanvragen worden dus van geval tot geval beoordeeld. En soms worden speciale voorwaarden gesteld.

100% veiligheid bestaat niet, maar bedrijven kunnen zich bijvoorbeeld met hulp van Radical Open Security zo goed mogelijk wapenen tegen het kwaad. Maar burgers dan? “Je kunt jezelf ook als individu nooit 100% beschermen.” Het beste advies dat Rieback kan geven: let goed op en kijk goed met welke bedrijven je in zee gaat. Zijn zij bereid (een deel van) het risico op zich te nemen, zoals je bijvoorbeeld ziet met de meeste credit card maatschappijen. Het bijna drie jaar oude Radical Open Security maakt tot op heden nog niet veel winst. De medewerkers zijn niet goedkoop en de bemoeienis van een investeerder is altijd afgewezen. “Omdat het bevrijdend werkt. Ik hoef niet voortdurend de beslissingen die ik neem uit te leggen in het licht van wel of niet winst maken. Ik kan succes op andere manieren meten.  Ik meet het niet in geld maar in impact. Dus ik streef geen maximale winst na met mijn bedrijf, maar ik streef maximale positieve impact na.”

(Een verslag van @daalder)

De afleveringen van Top Names zijn via Soundcloud en iTunes als podcast beschikbaar dankzij sponsoring van  Merchandise.