“Ik kreeg honderden e-mails, van liefdesbrieven tot doodsbedreigingen en alles daartussenin.”
Story
“Cybersecurity is geen zwarte magie”
Dr. Melanie Rieback (46), medeoprichter en CEO van Radically Open Security, staat bekend om haar unieke aanpak in cybersecurity. Tijdens de Open Source LeiderschapsTop op 13 december deelt ze haar visie op non-profit ondernemerschap, transparantie en de kracht van open source. Haar levenspad bewijst dat gedurfde keuzes kunnen leiden tot een heel nieuwe beweging.
Het bedrijf Radically Open Security is radicaal anders en radicaal open. Eigenlijk precies zoals medeoprichter en CEO Melanie Rieback zelf. Tegendraads en koersend op haar intuïtie en idealen heeft ze bewezen dat het kan: een succesvol non-profit consultancybedrijf voor cybersecurity. Radically Open Security test de cyberweerbaarheid van klanten, geeft securitytrainingen en wordt ingeschakeld bij cyberaanvallen. Alles gebeurt zo transparant mogelijk en de ontwikkelde software wordt opensource online geplaatst. Daarnaast draagt het bedrijf negentig procent van alle winst af aan stichting NLnet, dat een open internet voor iedereen als missie heeft.
Haar beide ouders werkten bij Bell Labs in Florida, dus je kunt stellen dat de ict er met de paplepel is ingegoten. “Ze zijn inmiddels allebei met pensioen, maar ze hebben me al vroeg veel geleerd over computers en programmeren”, vertelt Rieback. Toch was techniek niet haar eerste keus. Ze twijfelde over een muziekopleiding (“ik had grote passie voor de hobo”), maar haar ouders vonden dat ze advocaat of arts moest worden.
Menselijk genoom
“Ik wist dat ik in ieder geval geen advocaat wilde worden, dus begon ik aan een studie biologie aan de Universiteit van Miami. Op Amerikaanse universiteiten heb je een breed bachelor-curriculum en zo volgde ik mijn eerste vak informatica. Dat vond ik écht interessant. Al mijn vrienden gingen na hun bachelor naar medical school, maar ik had tijd nodig om na te denken over wat ik echt wilde. Ik solliciteerde op een baan bij het Human Genome Project aan MIT. Ik werkte daar aan het in kaart brengen van het menselijk genoom, heel interessant. Maar ik kwam erachter dat je met alleen een bachelordiploma niet ver komt. Ook realiseerde ik me dat ik graag wilde reizen.”
Als promovendus onthult ze beveiligingsrisico's van RFID-technologie, die onder meer in paspoorten zit. Het wordt voorpaginanieuws.
Millenniumwisseling op de Dam
Dus ging ze backpacken door Europa. Ze vierde de millenniumwisseling op de Dam in Amsterdam, waar ze de laatste tien seconden van de eeuw in het Nederlands aftelde. “Dat heeft het zaadje geplant. Toen ik weer terug was in de VS ging ik Nederlands leren van een cassettebandje. Maar misschien moest ik gewoon een tijdje in Nederland gaan wonen, om de taal echt goed te leren? Ik kon een masteropleiding informatica doen aan de TU Delft. Toen ik het mijn ouders vertelde, waren ze woedend: je gaat weg bij MIT om wáárheen te gaan?!”
Het eerste RFID-virus
Na haar studie kreeg Rieback een promotieplek aan de VU. Daar creëerde ze het eerste RFID-virus om de gaten in de beveiliging aan te tonen van deze technologie, die onder meer in paspoorten zit. “Het werd voorpaginanieuws. Ik kreeg honderden e-mails, van liefdesbrieven tot doodsbedreigingen en alles daartussenin. Toen ik een keer de hightech-campus van Philips bezocht, zei de chief privacy officer daar: jouw onderzoek is slecht voor mijn bedrijf.” Schaterend: “Toen wist ik dat ik het echt gemaakt had.”
"Als de bank gehackt wordt, gaat het niet om de bank, maar om alle klanten van wie de gegevens op straat liggen”
Camino de Santiago
Na een periode als universitair docent aan de VU en senior engineering manager bij Citrix in Vancouver besluit ze na een massaontslag bij Citrix de Camino de Santiago in Spanje te gaan lopen. Op zoek naar wat ze, als workaholic zonder werk, écht wilde. “Ik had aanbiedingen voor banen in Silicon Valley, maar dat voelde niet goed. Toen dacht ik: weet je wat, ik kijk op Facebook waar de meeste mensen wonen van wie ik hou en daar ga ik naartoe. En dat was Amsterdam.”
“Consultants creëren de illusie dat cybersecurity een soort black magic is die alleen zij beheersen, en daarom moet je ze steeds weer inhuren.”
Pak, das en dikke rekening
Ze kreeg er een baan als hoofdonderzoeker in het cybercrime-team van ING. “In die tijd werd de bank slachtoffer van een DDoS-aanval. Alle systemen waren offline. We schakelden een cybersecurity-consultancybedrijf in. Daar kwamen de consultants binnengeparachuteerd, in pak en das. Ze zeiden: wij zijn de experts, stand back, we lossen alles voor jullie op. En daarna krijg je een rapportage en een dikke rekening.”
Heel boos
“Ik zei: als jullie zo goed zijn, kan ik vast veel van jullie leren, ik wil graag meekijken. Maar dat wilden ze niet. Ze gooiden logfiles weg en deden er alles aan om hun werk verborgen te houden. Ik heb uiteindelijk fysiek over hun schouder staan meekijken omdat dat de enige manier was waarop ze niet van me af konden komen. Natuurlijk werken zij met precies dezelfde opensource-tools als iedereen, maar ze willen niet dat je dat weet. Ze willen de illusie creëren dat cybersecurity een soort black magic is: alleen zij kunnen dat en daarom moet je ze steeds weer inhuren. De arrogantie! Ik werd daar heel boos van. Want als de bank gehackt wordt, gaat het niet om de bank, het gaat om alle klanten van wie de gegevens op straat liggen.”
“Ik wilde mijn bedrijf ánders maken, een not-for-profit business"
Rare ervaring
Dat kan ik beter, dacht Rieback, en ze stapte op bij ING om Radically Open Security te starten. “Ik wilde mijn bedrijf ánders maken, een not-for-profit business. Ik ging naar een incubator, maar ik vond het een rare ervaring. Op dag één krijg je een Powerpoint te zien met een exponentiele curve waaraan jouw winstgroei moet gaan voldoen. En ze zeggen dat je doel is om jouw bedrijf te verkopen. Dit past niet bij mij, dacht ik.”
“Toen ik mijn idee pitchte bij een investeerder, zei die: je start geen bedrijf, je start een beweging.”
Gek of geniaal
Op de laatste dag van het traject moest ze pitchen voor durfkapitalisten. “Toen ik vertelde dat ik negentig procent van mijn winst ging doneren aan een goed doel, zei een van de investeerders: of je bent gek, of je bent een genie. Een ander zei: je start geen bedrijf, je start een beweging.” Iedereen verklaarde me voor gek, maar in het tweede jaar waren we winstgevend en kon ik mezelf een directeurssalaris betalen, totdat ik weer op het niveau zat van wat ik bij ING verdiende.”
“Winst onttrekken aan mijn bedrijf om een Porsche te kopen, is niet alleen onnodig, het is ook niet goed voor de onderneming"
Post Growth Entrepreneurship
Naast het runnen van haar bedrijf adviseert ze nu ook startende ondernemers en geeft ze colleges aan de UvA over het duurzame economische model waarover ze niet uitgepraat raakt: Post Growth Entrepreneurship. “Winst onttrekken aan mijn bedrijf om een Porsche te kopen, is niet alleen onnodig, het is ook niet goed voor de onderneming. Je hebt dan minder geld voor research & development, het goed betalen van je werknemers en het verlagen van de prijzen voor je afnemers. Kosten worden afgewenteld op de maatschappij en het milieu.”
Inmiddels is Rieback met haar bedrijf tien jaar en vele innovatie- en vakprijzen verder en heeft ze bovendien ruim 1 miljoen euro aan NLnet geschonken. En zijn haar ouders, nu ze zien dat ze succes heeft, toch wel blij met de keuzes die ze heeft gemaakt.
Open Source LeiderschapTop
Dr. Melanie Rieback is een van de sprekers tijdens de Open Source LeiderschapsTop op 13 december 2024. Welke opensource-boodschap heeft ze voor bestuurders in onderwijs en onderzoek? “Je moet goed nadenken over een sociaal procurement-beleid waarmee sociale, not-for-profit- of open source-ondernemingen kunnen groeien. Waar je je geld aan uitgeeft, vormt de wereld die je wil bouwen. Dus als je je geld besteedt aan big tech, krijg je een wereld waar commerciële belangen heersen.”
Tekst: Josje Spinhoven
Foto’s: Vera Duivenvoorden