Waarom Melvin kapte met HBO-ICT.

Het was een tweet waaraan je zo zou voorbijgaan: een fotootje van een programmeercode met daaronder de tekst This is why I left @hanze university. Maar het bericht dat Melvin Lammerts (24) op 23 april rondtwitterde werd landelijk nieuws. ‘Dat is het positieve van dit alles’, zegt de geboren en getogen Groninger, ‘alle aandacht voor computer security is meegenomen.’ Melvin was helemaal niet uit op het gedoe, de telefoontjes, de aandacht en de pers. ‘Het gaat me om de zaak, die neem ik serieus. Dat heel veel studenten, uit het hele land, m’n zorgen delen, dát is belangrijk.’
In het gezellige kantoor van ITsec Security Services (aangesloten bij de Insite Groep) aan de Sylviuslaan legt Melvin het graag nog een keer uit. ‘Laat ik eerst zeggen dat de ict-opleiding van de Hanze niet slecht is. Ze besteden aandacht aan computer security, dat is al heel wat en het is meer dan menig andere opleiding.’

Maar…
‘Te weinig. Eerstejaars krijgen nog steeds opdrachten waarbij ze zelf een site moeten bouwen en ervoor moeten zorgen dat-ie werkt. Of die site veilig is, wordt niet getoetst. Kijk, programmeren is echt niet makkelijk. Wie helemaal zelf een site bouwt, maakt fouten in de programmeercodes waardoor er lekken ontstaat. Die lekken kun je dichten. Spotfixing, noem je dat, je plakt pleisters op de zwakke plekken. Maar een zwakke plek blijft een zwakke plek. Het analyseren van die codes is m’n dagelijks werk. Achter sommige sites zitten zoveel kwetsbaarheden en lekken in de programmeercodes dat het gewoon niet verstandig is om de gaten te dichten. Je kunt plakkers op een oude fietsband blíjven plakken, maar op een gegeven moment is het verstandiger om een nieuwe band te kopen. Tegenwoordig schrijft geen enkel solide bedrijf de programmeercodes van a tot z zelf. Webontwikkelaars maken gebruik van de principes voor veilig programmeren, en kant-en-klare frameworks helpen daar enorm bij. Die had ik dus ook op de opleiding verwacht, maar helaas.’

Maar studenten leren toch van fouten maken?
‘Wees gerust, als je frameworks gebruikt, is er nog genoeg ruimte voor fouten. De vraag is wat je startpunt is. Bij een timmer-opleiding leer je eerst de vuistregels voordat je een schuurtje in elkaar mag zetten. Als je iemand wilt leren om een sollicitatiebrief te schrijven, geef je hem eerst een idee van hoe zo’n brief eruit moet zien: wat moet er wél in staan en wat níet. Dat is het kader, het houvast. Oké, in de ict geldt: wie een solide, veilige website wil maken, gebruikt frameworks.’

Maar geen enkele opleiding doet dat?
‘Veiligheid heeft nog steeds niet de hoogste prioriteit. Terwijl er zoveel van afhangt, onveilige websites kunnen hele samenlevingen ontwrichten. Iedereen die in de ICT-sector werkt moet daar bij alles wat hij doet volledig van doordrongen zijn. Dus ook het onderwijs.’

Wie is Melvin Lammerts?
Melvin Lammerts (24) begon op z’n zeventiende aan de opleiding Technische Informatica aan de Hanzehogeschool. Na zijn derdejaars stage bij ITsec Security Services bleef hij bij het bedrijf werken als adviseur en ethisch hacker (iemand die in opdracht van bedrijven en instellingen de veiligheid van de ICT-voorzieningen test). Zijn opleiding maakte hij niet af. In 2017 begon hij opnieuw met een opleiding aan de Hanze, hbo-ict dit keer. Nu hij daarmee is gestopt, heeft hij z’n zinnen gezet op dé hackersbrevetten: CEH (Certified Ethical Hacker) en CISSP (Certified Information Systems Security Professional).

Reactie Robin van den Berg, directeur IT Academy Groningen
Anders dan Melvin beschikken veel eerstejaars niet over uitgebreide kennis en ervaring met programmeren en programmeertalen. Daarom maakt de kennismaking met de basisbeginselen deel uit van het eerstejaarsonderwijs. Andere belangrijke aspecten komen later in de opleiding aan de orde. De major Network & Security Engineering (één van de drie majors van HBO-ICT), stelt computerveiligheid zelfs centraal.
De IT Academy Noord-Nederland (onderdeel van de Hanzehogeschool) biedt momenteel verschillende security-opleidingen aan die samen met experts uit het bedrijfsleven zijn ontwikkeld. Docenten en deeltijdstudenten van de Hanzehogeschool kunnen aan deze opleidingen deelnemen. Actuele ontwikkelingen en tools worden via de docenten van de Hanze ook gedeeld met voltijdsstudenten.
Momenteel werkt de IT Academy met verschillende partijen aan een Leergang Secure Programming. De werkgever van Melvin is hier nauw bij betrokken. Melvin is uitgenodigd om input te leveren aan deze nieuwe leergang. De opleiding wordt in eerste instantie aangeboden aan IT-professionals uit Noord-Nederland, maar ook docenten van de Hanzehogeschool en deeltijd-studenten kunnen deelnemen, zodat zij een actueel curriculum aangeboden krijgen dat aansluit op de behoefte van het bedrijfsleven en voorziet in de toenemende vraag naar kennis van veilig programmeren bij IT-professionals.