Cybertrainee Tim: ‘Rijks I-Traineeship is een mooi startpunt van mijn carrière’
Hoe is het om Rijks I-trainee te zijn? Hoe gaat het werken nu vanuit huis? Hoe zit het met de opleidingen en onderling contact met de trainees? Tim Haasnoot is sinds september 2020 Cybertrainee bij het Rijks I-Traineeship en vertelt over de eerste paar maanden van deze nieuwe ervaring en zijn eerste opdracht bij P-Direkt.
Tim is 23 jaar en volgde de bachelor International Studies in Den Haag. In januari 2020 rondde hij de master Crisis and Security Management met een specialisatie in Cyber Governance af. Via LinkedIn kwam hij het Rijks I-Traineeship tegen. Tijdens een Inhouse Experience werd hij enthousiast over het traineeship, waarna hij solliciteerde en in september 2020 mocht starten als Cybertrainee bij het Rijks I-Traineeship. Tim: ‘Ik wist al dat ik wilde werken bij de Rijksoverheid. Werken voor een commercieel bedrijf waar het grotendeels draait om financiële doelen behalen, is niks voor mij. Ik wil namelijk het gevoel hebben dat ik iets kan bijdragen aan het grotere plaatje. Ik vond echter dat ik nog niet voldoende werkervaring had om een “echte” baan te starten en wist niet precies bij welke rijksorganisatie ik dan zou willen werken. De balans die het Rijks I-Traineeship biedt tussen werken en leren en het feit dat je bij meerdere organisaties in de keuken kunt kijken, vind ik daarom erg prettig. Bovendien sluit dit traineeship mooi aan op mijn studie en interesses. Alles bij elkaar opgeteld is het een mooi startpunt van mijn carrière bij het Rijk.'
Cyber awareness & (spear)phishing
Tims eerste opdracht is bij P-Direkt, een uitvoeringsorganisatie van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties die de salaris- en personeelsadministratie verzorgt van alle rijksambtenaren. Hier staat hij met één been in het Innovatielab en met het andere in de security office. Tim: ‘Eén onderdeel van mijn opdracht is het opstellen van een security-kalender. Daarin komen alle activiteiten terug met betrekking tot security. Denk bijvoorbeeld aan penetratietests wanneer nieuwe apps getest moeten worden op veiligheid.’
Het andere deel van Tims opdracht is het geven van awareness -trainingen aan medewerkers van P-Direkt over bijvoorbeeld (spear)phishing: een vorm van phishing waarbij een hacker doelgericht persoonlijke informatie over hun doelwitten, zoals naam en adres, beroep, werkgever, rekeningnummer of andere relevante informatie gebruikt om "gepersonaliseerde" phishing- berichten te versturen. Met deze trainingen proberen hij en zijn collega het bewustzijn rondom veiligheid en phishing te verbeteren.
Tim: ‘Medewerkers van P-Direkt werken met gevoelige, persoonlijke gegevens. Vanzelfsprekend gaan zij hier veilig mee om, maar er is altijd ruimte om te leren. Vóór de training zoeken we met behulp van legale hackingtools online informatie op over onze collega’s. Als je bijvoorbeeld een deel van iemands mailverkeer, een accountnaam of zelfs een woonadres weet te achterhalen, is dat echt de jackpot. Uiteraard zijn we heel voorzichtig met deze informatie, omdat het om onze collega’s gaat. Om vervolgens een beeld te geven van de persoonsgegevens die we hebben achterhaald en wat daarmee kan gebeuren, laten we in de trainingen voorbeelden zien van gepersonaliseerde phishing-berichten. Vaak krijgen we terug dat de medewerkers inzien hoe ernstig het is en blij zijn met de informatie, en dat ze bereid zijn om nog meer op te letten online. Daar haal ik veel voldoening uit!’
'Als je een deel van iemands mailverkeer, een accountnaam of zelfs een woonadres weet te achterhalen, is dat echt de jackpot'
De diepte in
Werken met hackingtools was nieuw voor Tim: ‘Wat ik leerde op de universiteit was abstracter, dus minder praktijkgericht dan de dingen die ik nu leer.’ Met de digitale opleidingsdagen van het traineeship passeren vooral de generieke onderwerpen de revue, zoals: hoe ziet ICT er bij de overheid uit? Wat is de strategie van de Rijksoverheid op dat gebied? Welke organisatie doet wat op het gebied van cyber? Tim: ‘Deze opleidingsdagen zijn tot nu toe vaak nog met alle ICT-, Data- en Cybertrainees van mijn lichting. Later gaan we vaker met onze eigen track aan de slag en gaan we met de Cybertrainees dieper in op de beleidsmatige en technische aspecten van cybersecurity bij het Rijk. Laatst hadden we met de Cybertrack wel al een hele interessante opleidingsdag die werd verzorgd door het Nationaal Cyber Security Centrum (NCSC). We gingen echt de diepte in over internetprotocollen en wat er gebeurt aan de achterkant van een webbrowser. Met dit soort opleidingsdagen merk ik dat ik echt zin heb om meer te leren over hoe cybersecurity zich tot de praktijk verhoudt!’
Starten in coronatijd
In 2020 startte de sollicitatieperiode op 20 maart. Het coronavirus kwam rond die tijd de hoek om zeilen, dus alle selectiegesprekken moesten in plaats van fysiek ineens digitaal worden gevoerd. Tim: ‘Dit was natuurlijk even schakelen. Ik heb er toen wel voor gezorgd dat ik goed voorbereid was, een neutrale achtergrond had tijdens het videobellen en een fatsoenlijke microfoon had.’ In september startte de nieuwe Rijks I-trainees bij hun eerste opdrachtgever en kennismaken ging ook veelal digitaal. Tim: ‘Ik heb een aantal collega’s alleen maar in de eerste week gezien, daarna alleen maar via het beeldscherm. Af en toe is dit nog best onwerkelijk, maar je past je gewoon aan. Wat dan wel enorm helpt, is dat ik terecht ben gekomen in een leuk, relatief jong team. Iedereen staat open voor nieuwe ideeën en je eigen bijdrage wordt serieus genomen. Dan krijg je wel het gevoel dat je ertoe doet en part of the team bent. Daarnaast heb ik regelmatig contact met het Rijks I-Traineeship team, dat is fijn. Ook is de betrokkenheid tussen de trainees heel hoog: iedereen zit in hetzelfde schuitje. We hebben wekelijks veel contact en steunen elkaar!’