Bij de Rijksoverheid zoeken ze geen IT security specialisten, ze zoeken iemand die iets weet van compjoeters en die een beetje meedeint met de rest en vooral niet kritisch is. En ja, dat is een behoorlijke verloedering van iemands diploma.

Als we spreken van ICT security op top-niveau (militair), dan moet je sowieso niet in Nederland zijn. In Nederland (IMHO) is de cultuur gewoon verziekt met mensen die je lopen af te zeiken, en daar is geen normaal gesprek mee te voeren. Doe geen moeite, want het is parels voor de zwijnen.

Ik denk dat ze dit vooral doen omdat ze geen cowboys willen van het type "wat vroeger hacker was maar nu bekeerd is en voor een bedrijf wil werken".

Je verhaal is nogal warrig, maar ik snap wat je bedoeld.

Een mooi voorbeeld zag ik recent voorbij komen. Gevraagd, een Kubernetes specialist met minimaal 10 jaar ervaring. Maar de initiële release van Kubernetes was in 2014, hoe kan je dan in 2020 naar 10+ jaar ervaring vragen?!?!?!

Ze hebben in elk geval wel behoefte aan een Kubernetes expert, want zelf weten ze er niet zo heel veel van :-).

Nou dan moet je toch echt eens gaan kijken bij VUSec (VU) of SNE/OS3 (UvA). Talloze bekende onderzoeken, waaronder de rowhammer exploit. Op beide opleidingen zitten docenten die precies weten wat er in de buitenwereld speelt en vaak op de hoogte zijn van problemen die nog niet eens gepubliceerd zijn.

lol!

Dat lijkt me de ultieme binnenkomer bij die sollicitatie: "Ik zie dat jullie een expert nodig hebben, want aan de vacature tekst te zien snappen jullie het zelf niet zo goed. Wel, daar ben ik dan."

Dan weer serieus, vacatures plaatsen is (ook maar) mensenwerk, daar gaat dus ook van alles mis. Je zou zo'n misser ook kunnen zien als aanknopingspunt, om op die manier je expertise te laten zien.

Naar mijn mening zijn er een hoop IT Security Specialisten die dan misschien wel goed zijn in hun vakgebied, maar niet zo goed in het zorgen dat de rest van de organisatie evenveel waarde hecht aan het voorkomen van een inbreuk op de beveiliging van data, processen, systemen, etc. die benodigd zijn voor de bedrijfscontinuiteit.

Of je het nou leuk vindt of niet, er zitten in de managementlagen van veel organisaties managers die belang hechten aan opleidingen en die eerder geneigd zijn om dingen aan te nemen van werknemers die met goed gevolg een opleiding afgerond hebben. Dat diegenen nog niet uitgeleerd zijn als ze van school afkomen is natuurlijk een feit, maar dat wil niet zeggen dat de meeste van deze geen feeling voor IT Security hebben.

Goed punt!

In stukjes mijn mening (as a very very long time security enthousiast en junior pentester):

Ja, school is geen *** waard in IT security gebied. (Buiten bedrijven als kennissen om en je motivatie verklaring jaren lang kansloze documenten schrijven met de hoop op een mooie baan) Je leert hier en daar wel wat, maar het is vooral 3 keer per jaar een cognitief beeld vormen van kleine dingetjes (leren dat iets bestaat zodat je zelf kan leren en specialiseren).

Werk kundig (echt je werk kunnen uitvoeren):
- Certificeringen: tonen werk ervaring en commitment
- Werkervaring (dingen kunnen en gedaan hebben) is het belangrijkste (gepaard met social "clique" skills) Dit + zelf proberen en zelf studeren leer je naar mijn mening het meeste van.

Bedrijfs kundig (management stack, hira etc):
- Certificeringen: Voor hackers en gatekeepers (hiring, human resource, management stacks) is het belangrijk om certificeringen of andere dingen te hebben waar aan ze snel kunnen inschatten wat jou skillset is. Dat krijg je niet op school.
- Goed management is net zo zeldzaam als goede hackers/IT-ers, alleen is het voor mensen moeilijker om door bullshit heen te prikken omdat het vak teveel softskills bevat. Bij IT is het gewoon kapot of slecht (dat is niet autistisch maar concreet en duidelijk).

- Diploma's: Diploma's zijn naar mijn mening niets meer waard dan een verklaring voor interresse, stressbestendigheid (echt, fuck school, wat een gekut, je schrijft alleen maar dode tekst en niemand leert er echt veel.) en werk niveau (hoeveel worden per minuut je kan schrijven en plannen). Leraren afzeiken is niet echt mijn ding. Zeker niet, maar onderwijs op dit gebied mag wel op de schop vind ik. (wat zeker op de schop mag is hun management holyfuck wat een trage oude stoffige boel).

Veel bedrijven weten niet goed wat ze willen inhuren, vooral recruiters niet. Deze mensen zoeken net iets te vaak voor mijn smaak naar "special unicorns", mensen die alles kunnen en 80 jaar ervaring hebben als een 20 jarige. Ze snappen niet dat IT zeer veel subgroepen bevatten en dat je continue moet blijven lereren in de meeste van deze subgroepen.

Voor de zeer specifieke IT Security subgroup "hackers en pentesters" zijn er bijvoorbeeld al een aantal subgroepen (en nog veel meer):
- hardware hackers
- application hackers
- web-app hackers
- infrastructure and network hackers
- binary exploitation hackers
- exploit and script developers
- Hackers with a Assembly and C background of andere programmeer talen
- Hackers with a psychology/socialengineering/management/socialogy/criminology background
- Etc.

Veel hackers kunnen wel een mix van dingen, maar dat is wel zeer "intensief" aangezien je actief je skills moet hooghouden en leren. Veel hackers snappen het zelf ook niet. Software hackers blaffen netwerk hackers altijd af omdat ze scriptkiddies zijn (ookal lezen en controlleren ze de exploit code etc). Netwerk hackers vinden veel software hackers traag en niet realistisch, je leest simpelweg niet alle code die je gebruikt. Begin maar met je OS of uberhaupt netcat.

IT blijft mensen werk en we houden het niet simpel en duidelijk genoeg. Verbeter maar versimpel wat je kan.

Lang verhaal kort:
- Relevante Certificaten zijn zeer waardevol (eJPT eWPT OSCP) (Je mag naar huis met je CEH, kansloos! :D )
- Relevante Werk ervaring (Een hacker met een ex supermarkt management functie is zeer relevant voor project/team werk ;) ) Ook zeer waardevol.
- School is niet compleet kansloos! maar het is de simpele "cultuur technisch ingeprente manier van gaan. begin > school > werk". Didactiek is moeilijk. Je moet de stof 100% (90%) begrijpen en simpel overbrengen.

En nog een klein dingetje. Het kunstmatig creeeren van stress op scholen om ze beter te leren adapten op de wereld zorgt voor springers (groffe pun). Kap ermee, het zit erin of het zit er niet in. Je leert het toch wel op de werkvloer. Mensen spelen te veel voor god en dat gaat ze vaak slecht af.

Goed bedoelt :-)

Hacken is geen religie, maar een vaardigheid.

Zelf gebruik ik de term hacken nooit, want de betekenis ervan is in elke omgeving anders.

Probleem is: een sollicitatietraject is inherent kort. Je hebt geen maanden de tijd om te kijken of iemand die ervaring x of y heeft ook echt zo goed is als hij claimt dat hij is. Je zult ergens op af moeten gaan en dan zijn certificaten (afhankelijk van de functie) een aardige graadmeter om in ieder geval een idee te krijgen van wat iemand kan.

Daarnaast is opleidingsniveau wel degelijk van belang omdat afgezien van wat kennis je ook een bepaalde denkwijze meekrijgt: MBO is vooral heel praktisch gericht daar waar WO veel holistischer naar de wereld kijkt. Hierdoor krijg je andere type mensen die elkaar niet uitsluiten. De gemiddelde MBO'er zal diep ongelukkig worden als je die in een strategisch traject over de koers van het bedrijf en de rol van security daarin laat meedenken, net als dat de gemiddelde WO'er diep ongelukkig gaat worden als je die diepgaande analyses gaat laten doen van welke manier van hardening van applicatie X of besturingssysteem Y het best past binnen de daarvoor geschetste kaders. (En ja... hier zijn uitzonderingen op... i know... en ja dit is heel zwart wit)

Dus nee, opleidingsniveau is altijd van belang. Maar daar staat tegenover dat er niet één IT Security is (voor zover IT security al iets is... maar dat is een andere discussie ;-)). Net zoals dat er niet één bakker is. Ik heb op de hoek van de straat een bakker die goddelijk brood bakt. Pattiserie daar moet hij echter niks van hebben (en ik van de pattiserie die hij dan wel maakt ook niet trouwens ;-)). Drie straten verderop zit een pattisier met de meest goddelijke gebakjes en taarten. Die moet weer helemaal niks van het klassieke broodbakken hebben (en doet dit ook gewoon niet).

Dat geldt ook voor IT Security: iemand die in een rol van ISO geacht wordt beleidslijnen uit te zetten is qua skillsets en opleiding een totaal ander iemand dan de beheerder die de boel mag gaan inrichten. Een analist op een SOCof hoe je het ook noemt is een totaal ander persoon dan de incident manager op datzelfde SOC.

Volledig eens met het verhaal, ik zit al jaren "aan de knoppen" om alles op orde te houden/ bij te blijven en zit er bovenop om mensen te helpen als er iets niet werkt binnen de grote verzameling van systemen die we hebben.

Mijn opleidingsniveau: LBO, MBO, HBO in volledig andere richtingen dan ICT maar ik ben erin gerold doordat ik het interessant vond en er nou eenmaal veel teveel moest gebeuren en het merendeel van het bedrijf met z'n eigen werk bezig is.

Ik laat me adviseren door "echte" systeembeheerders en lees veel op het Internet over kwetsbaarheden en technieken om de boel onder controle te houden, checklisten, pentests etc etc (en acteer vervolgens ook op basis van die informatie).

Onderaan de streep heb ik maar zeer beperkt "echte ICT papieren" en zal dus nooit in aanmerking komen voor een vacature waar men alleen maar naar diploma's kijkt, maar ik houd wel al jaren de systemen op orde incl. calculaties voor onderhoud, aanschaf en beheer in overleg met de directie... Ook het "netjes omgaan" met informatie die onder ogen komt valt daaronder, valt me op dat dit punt bijna nooit wordt genoemd (wel dat er screening is etc, maar niets over gedragsregels).

Ik kan me als laatste wel goed voorstellen dat als je een heel specifiek onderdeel in beheer hebt dat je daarvoor specifieke training nodig hebt, zeker als er geen testomgeving voor is.

Vroeg of laat zal ik het dus moeten hebben "van de echte ervaring" en het vertrouwen van een organisatie om eens in gesprek te gaan en verder te kijken dan alleen maar naar papieren...

Ik laat me adviseren door "echte" systeembeheerders < Je klinkt anders behoorlijk als een goede "echte" beheerder. Kritisch maar wel luisteren naar andere en gewoon goed werk willen leveren terwijl je interesse in je vakgebied hebt.

Geloof me, professionele hackers/pentesters (ik haat de term whitehat) lachen mensen hard uit als ze zeggen dat ze "pro/L337" hackers zijn terwijl hun enige werk ervaring "hbo-wo" is. Toegeven dat ik zeker niet alles weet (of verre weg van) en dat ik veel wil leren (ook van de hackers zonder school diploma natuurlijk) helpt mij tot nu toe het meeste :)

- RAMLETHAL

Je wilt niet weten hoeveel van die jongen meiden (met VWO) niet meer kunnen rekenen.
Wat als je kassa het begeeft?
Of nog erger, je gepast wisselgeld moet terug geven?

Kosten product 5,95 euro
Betaal met een tientje en leg er een euro bij.
Ik verwacht 5 euro en 5 cent terug, maar kreeg ander (teveel) wisselgeld.:-)
Een oudere kassiere stond te knikken, terwijl ik die lieve meid voorrekende wat ze fout deed.

Dat is (helaas) het niveau van veel middelbare scholieren.
Zie ook maar de noodzaak van een (verplichte) rekentoets op de Pabo.
Schandalig gewoon, dat dit nodig is.

"De computer, telefoon (rekenmachine) of kassa rekent het wel voor me uit." Tot die uit valt...
Zelf iets kunnen is er niet meer bij.

Je moet toetsen niet verplichten, maar trainingen en leertrajecten.

Lieve lezers van alle leeftijden van deze topic-draad. Dit onderwerp gaat me echt wel aan het hart.

Diploma's hangen aan de muur, maar m'n kostje is nog geenszins gekocht,
zoals de bekende ballade weliswaar ons allen wel wil doen geloven.

Bescheidenheid siert de mens. Amerika, Amerika, drie keer in de rondte hopsasa. Ha Pippi Langkous.;)

Waar het nogal eens aan schort, is de kennis van een onbepaald vak als "algemene ontwikkeling".
Gewoon het canon niet volledig gehad of doorgewerkt.

Dus een additioneel en ;positioneel talstelsel niet beheersen bijvoorbeeld (antwoord 4 van phase VI).
Dat wil zeggen. Geen Romeinse cijfers naast Arabische kunnen gebruiken, slechts digitale notaties.

Kijk van mij hoef je niets te weten over getalsaanduidingen in de linguïstiek en de klankwetten van Grimm en Verner.
Ook niet van het verband tussen het oud-Semitisch en Indo-Germaans. Alhoewel het bijzonder interessant kan zijn.

De picturale inhoud van paleo-Hebreeuwse karakters (aleph, oeros, de eerste (want deze witte oeros met een schofthoogte van 2 meter was vaak een leeuw de baas). Dus ook in die betekenis de "eerste" (machtigste). Vergelijk de eerste letter van het 'futhark' alfabet met feh (vee), bezit en zie alom de relationele verbanden.

Ik lees nu in het werk van Moeller (linguïstiek werk over de relatie Hebreeuws-Indo-Germaans) in PDF gezet met financiering van de Schiff Bank te New York.

Wij moderne gewone jongens hebben toch nogal wat moeite om zo'n linguïstiek niveau bij te kunnen benen.
Het onderwijs 'devolueert' de moderne mens.
We worden met de huidige middelen (Internet-resources, Google translate, Reverso Context app)
vooral ook nogal vaak denk-moe gemaakt.

Zo is het natuurlijk met Javascript analyse ook.
Aan specialisatie doen, anders wordt je uitgerangeerd door de minste AI-robot/online tool.
Laat je hersenactiviteit geen luxe worden en hou je verbinding tot het Hogere in stand (Hallelu-j*h).

Er staan er genoeg te trappelen om de religieuze vonk uit 's mensen hersenen voorgoed uit te bannen.
Dit met als pretext, dat het het aantal religieuze fanaten en hun acties zal doen afnemen.
Dus ingegeven in de nooit aflatende "war on terror (oorlog tegen terreur)".
Modificeren dus maar die mens, liefst tot een gemakkelijk te managen "watje".

Er zitten nogal wat kanten aan zo'n discussie. Een woord van dank aan mijn oude leraren,
die zich zoveel moeite hebben getroost om me te brengen, waar ik nu ben.
Toen bestond er nog geen www.studeersnel.nl (college 1 tm 13).

Permanente educatie dus, is nu geboden en doorgaan tot het gaatje.
Wegblijven van achter de pelargoniums (geraniums), dat doet je goed en houdt je scherp.

Een gemeende groet aan allen hier,

luntrus

Ik geloof je, en heb een aanvulling hierop.

'Professioneel' betekent dat de persoon betaald krijgt voor werk, en de misvatting is vaak dat het om een hoog niveau dus gaat.

Het 'uitlachen' van andere mensen is iets wat mij tegenhoudt om in een dergelijke omgeving te werken, want het doel is daardoor vertroebeld. Dingledine lacht de intel uit, want er zijn intel-kneuzen die privacy haten. Een CISOs lacht een hackertje uit die in de zaal schrikt als blijkt dat zijn telefoon traceerbaar is. Defensie ligt dubbel van het lachen als ze een bepaalde source-code online knallen en een beurskoers crasht.

Wat is het doel nu van hun werk? De clown uit hangen, of de maatschappij verbeteren?

Doe dat maar niet, dat werkt helemaal niet. Dan zouden ze moeten toegeven dat ze te geen vacature kunnen schrijven. Ze willen geen betweters. Zelfs niet als er in de vacature staat dat ongevraagd commentaar geven een van de onderdelen van de functie is.

Ze willen eigenlijk jong iemand die hielen likt en hen aanbid als goden. Met een salariseis die lager ligt dan 50% van normaal.

Ik merk vaak dat de werkgevers clueless zijn maar ze vermelden wel het een of andere buzz woord. Vaak een term die bij een bepaalde leverancier hoort, waar echte experts een totaal ander woord voor gebruiken. Leg maar aan zulke werkgevers uit dat hun duur gekochte applicatie gewoon een herverpakking is van open source software. Nee, je snapt het echt niet als je wel met een command line uit de voeten kunt en dan hetzelfde moet doen met een muis. Dat laatste is veel moeilijker.

Met de privacy van van sollicitanten is het slecht gesteld. Vaak moet je akkoord gaan met een privacy policy anders kan je niet solliciteren. Een privacy policy is er nooit om mee akkoord te gaan, dat is immers een uitleg van een bedrijf in vage bewoordingen waaruit blijkt dat ze geen verstand hebben van de AVG. Er moet volgens de AVG wel worden gevraagd om toestemming als de vacaturesite gegevens voor andere doelen dan de sollicitatie wil gebruiken. Bijvoorbeeld als een vacaturesite de gegevens wil gebruiken voor "optimalisatie" van hun site (<handpalm>) of dat doodleuk wordt gezegd dat alle gegevens een half jaar worden bewaard. Dat dient dus opt-in te zijn, niet opt out.

Nou precies. We weten niet om welke advertentie het gaat maar het kan goed zijn dat de gevraagde vaardigheden niet zo zeer op het gebied van techniek liggen maar meer op het nivo van management, auditing, formele documentatie, etc.
Waarschijnlijk doen ze het technische werk helemaal niet zelf maar is dit allemaal uitbesteed, en moet de gevraagde functionaris daar toezicht op houden.
Dan ben je als self-made autistische hacker helemaal niet op zijn plaats op die functie, al ben je nog zo goed.

Daar komt ie al weer, buzzword "outsourcing". Ken je het scenario? ASL monitoring moet gedaan worden door een cloudboer of via een online account en daar wordt juist de laatste Trickbot versie uri via colour.php gemist (nog niet gemeld via URLHaus vandaar, slechts 1 engine en 1 medewerker ter plaatste diet 'm flagt.).

Dan ben je toch een hele spekkoper als je mensen "in house" hebt, die je hiervoor zouden kunnen behoeden?

Of zit ik nu helemaal verkeerd te denken en werkt het echt anders. Ze nemen liever iemand in dienst die "paart" schrijft i.p.v. "paard" en niet weet wat het woord etmaal betekent, maar wel wil werken voor iets meer als het McBurger tarief. Hij doet dat graag, want anders zit is als gemiddelde "gamer" toch maar lekker z'n tijd thuis te verdoen tijdens de Corona kommer-en-kwel.

En zo, beste lieden, leidt men ons de dagen van BBB (build back better) binnen. Het bestaande werkt niet meer, mag zelfs niet meer werken. Nieuwe orde scheppen uit de Chaos. Desnoods gooien we alles op zwart en geven de laatste conventionele en populistische krachten hiervan de schuld, als zijnde vuige racistische intellectuelen. Schuld aan Russen en Chinezen, die onze Hogere Scholen bevolken, wellicht?

"Het is in het leven net als met haar, het groeit, maar zelden zoals je het hebben wil".

Jodocus Oyevaer

Compleet mee eens, ik bedoelde het alleen anders, mijn excuus ;). Mensen die zich als hele goede hackers voordoen maar het niet kunnen worden niet sirieus genomen. Maar dat komt bij die mensen vaak voor uit onzekerheid en mee willen draaien met de rest. Dus je kan het ze ook niet kwalijk nemen.

- RAMLETHAL

Je verhaal begon sterk, ik volg je echter niet meer.

Zie het als een vertwijfelde poging om uit te leggen waar het zoal is misgegaan, als we zitten in de situatie, die we nu hebben.

Neem die site met die Trickbotversie. Word Press website, redelijk veilig. Vanuit website onderhoud kun je de eigenaar/developer niets verwijten. De ellende komt dan van een hosting server, waar de site op draait.
Oude server versie daar met een heleboel kwetsbaarheden. Server staat in Singapore.
Conclusie via een shodan.io IP rapportje.
Dan kan GoDaddy je ook niet meer weghouden van eventuele hacks.
Moet dus niet aangemerkt worden als GoDaddy abuse.

Dan ga je zoeken. Waar begint de oorzaak of oorzaken, dat de algemene veiligheidssituatie op Interwebz maar zo gebrekkig blijft, als ie al jarenlang is. Is het educatie? Is het opzettelijk beleid van de bovenbazen? Facebook's M.Z. spreekt vloeiend Chinees en heeft een Chinese eega, maar krijgt in de CCP voorlopig nog geen poot aan de grond.

Waarom is men hier in het westen "verliefd" op dit model. Zitten we weer in een situatie van een herhaling van zetten a la 1920-21 (het wonder aan de Weichsel tegen het overstromen van heel Europa door het Bolsjewistische gevaar). Anders hadden we ook heel lang in de Sovjetsfeer gezeten als een soort satellietland (net als de zogenaamde 'demoludy' - aanduiding voor de democratische landen destijds, term uit het Pools).

Ik ben een Fravia-adept en zie het hele adagio van deze veel te vroeg overleden anti-smut & anti-ad searchlore guru volledig teloor gegaan. Waar gaan we heen met een monocultuur als die van Google, een globale speler, die nu al dicteert wat er in browsers dient te gebeuren en machtiger is als hele continenten? Conclusie - het gaat niet de goede kant uit en het gaat heel snel.

Volgt u mij? Ik snap niet waarom men blijft hangen in een a priori onveilige infrastructuur. Zijn het geldelijke, giga-advertentie-winsten en totale surveillance belangen om de massa eronder te houden? Ik vraag het me enkel af en u stopt dan met lezen.

Alleen met code-analyse en error-hunting is het niet te verklaren. Bij lange na niet. Te veel gedoogde cybercrime,
dataleaks. Het moet dus iets anders zijn. Gebeurt het toevallig of opzettelijk?

Wat denkt u eigenlijk zelf? Zitten we al in een soort van ongoing cyberwar?

Jodocus Oyevaer