Volgens minister Plasterk zijn studenten uitstekende hackers. Nu ben ik uitermate trots op onze studenten, maar toch denk ik dat de waarde van een penetratietest door een groep onervaren (maar zeker inhoudelijk deskundige) studenten beperkt is. De overheid wil kennelijk voor een dubbeltje op de eerste rang zitten.
Een penetratietest moet een serieus onderdeel zijn van een totaal beveiligingsplan, en dus professioneel opgepakt worden. Gratis studenten gebruiken wekt bij mij de indruk dat de overheid beveiliging niet echt serieus neemt. Zeker als je bedenkt dat een goeie exploit voor (tien)duizenden euros verkocht kan worden... Daar komt nog bij dat een penetratietest op zichzelf nog maar weinig zegt over de veiligheid van een systeem. Wel als er lekken gevonden worden. (Maar ook dan geldt dat er geen koe zo bont is of er zit wel een vlekje aan.) Maar als er geen gaten gevonden zijn betekent dat niet meteen dat die er ook echt niet zijn. Dat hangt onder meer af van de reikwijdte van de uitgevoerde penetratietest, de tijd die je er in stopt, en de kwaliteit en ervaring van de testers natuurlijk.
Daar staat tegenover dat wij wel de waarde zien van zo'n penetratietest voor de studenten zelf, als onderdeel van hun opleiding tot security expert. Aan de Radboud Universiteit zijn we op dit moment bezig een bachelorprogramma computer security op te zetten, die 1 september 2013 van start gaat. Onderdeel van het bachelorprogramma zou een 2e of 3e jaars vak kunnen zijn waar zo'n penetratietest een onderdeel van uit maakt. Daar gaan we nog eens over nadenken.