Ik bouwde in realtime een nieuwe verdedigingslaag, de ene patch leidde tot de andere, alsof ik rails voor een rijdende trein legde. Toen het klaar was, stuurde de CEO een e-mail naar alle medewerkers waarin hij zichzelf feliciteerde met onze « robuuste beveiligingscultuur ». Ik kreeg een cadeaubon van $500 en een vermelding in de interne nieuwsbrief, tussen een aankondiging van een inzamelingsactie voor conservenblikken en foto’s van het kerstfeest waar ik te druk voor was geweest.
Dat was de avond waarop ik besefte dat ik niet onmisbaar was.
Ik was onzichtbaar.
Niet lang daarna plande ik een vergadering met Arlo, de CFO, en een paar leidinggevenden met functies waarin woorden als ‘risico’ en ‘operations’ voorkwamen. Ik kwam binnen met grafieken, branchevergelijkingen en een lijst met bijna-incidenten die hen meer angst hadden moeten inboezemen dan welke hacker dan ook.
‘Onze huidige beveiligingsbezetting is niet houdbaar,’ zei ik, terwijl ik door de dia’s bladerde. ‘We hebben minstens drie extra specialisten nodig om deze architectuur op een verantwoorde manier te onderhouden. Stel dat mij nu iets overkomt—’
De CFO stak een hand op. « Mocht er iets met u gebeuren, dan zorgen we er gewoon voor dat alles wat u doet gedocumenteerd wordt. We hebben geen extra personeel nodig. We hebben betere documentatie nodig. »
Ik hoorde iets kraken in mijn borst.
‘Ik heb al achttien maanden documentatieverzoeken ingediend,’ antwoordde ik kalm. ‘Ze worden elk kwartaal minder belangrijk geacht. Zonder mensen die getraind zijn om deze architectuur te begrijpen, is documentatie slechts inkt op papier. Als ik morgen door een bus word aangereden, hebben jullie binnen enkele dagen kleine problemen en binnen enkele weken catastrofale storingen.’
Stilte. Ongemakkelijk geschuifel. Iemand schraapte zijn keel en leidde ons naar het volgende agendapunt.
Ik verliet die kamer met het besef dat het werkelijke risico bij Houseian helemaal niet van buitenaf kwam.
Het waren de mensen aan de top die dachten dat een systeem eeuwig kon blijven draaien op de onbetaalde overuren van één uitgeputte medewerker.
Een maand later stuurde Houseian me naar een cybersecurityconferentie in Boston, omdat de organisator – een oude studievriend – me een spreekbeurt had aangeboden over adaptieve dreigingsresponsarchitecturen. Reisbudgetten waren « bevroren », maar gratis publiciteit voor het merk? Dat was de vlucht en het goedkope hotel meer dan waard.
Ik stond op een podium onder felle lampen, de Amerikaanse vlag hing in de hoek van de balzaal, en sprak veertig minuten lang over theoretische kaders voor systemen die konden buigen zonder te breken. Ik hield mijn presentatie neutraal. Geen logo’s. Niets gepatenteerds. Alleen concepten, modellen en duizend uur onzichtbaar werk, samengevat in diagrammen.
Nadien, terwijl ik niptte aan een slechte kop conferentiekoffie in mijn favoriete, ietwat beschadigde mok – dezelfde mok waarvan het vlaggetje door jarenlang gebruik in de vaatwasser was vervaagd – kwam er een vrouw van ongeveer mijn leeftijd naar me toe.
‘Ik ben Vega Ramirez,’ zei ze, terwijl ze haar hand uitstak. ‘Hoofd beveiliging bij Helion Systems.’
Ik kende de naam. Iedereen in de fintech-wereld kende hem. Helion was onze grootste concurrent: een gelikte merkidentiteit, agressieve groei en lovende recensies in zakenbladen.
‘Dat was een van de duidelijkste presentaties die ik over adaptieve frameworks heb gehoord,’ vervolgde ze. ‘De manier waarop u uw dreigings-reactiecycli beschreef? De implementatie moet fascinerend zijn. Ik zou graag meer horen over hoe u die concepten in de praktijk hebt gebracht.’
We zochten een rustig hoekje bij het raam op, de Amerikaanse vlag wapperde buiten in de koude wind, en we praatten urenlang. Zorgvuldig. Professioneel. Geen namen van klanten. Geen details over specifieke platforms. Gewoon twee specialisten die filosofieën vergeleken, anekdotes uitwisselden en ideeën schetsten op servetten.
Het was de eerste keer in jaren dat ik een echt gesprek met een collega had – waarbij iemand niet alleen maar wachtte tot ik zou zeggen « Het is opgelost » zodat ze weer aan het werk konden.
Voordat we vertrokken, schoof Vega een kaart over de tafel.
« We zijn delen van ons beveiligingsraamwerk aan het herzien, » zei ze. « Voorlopig alleen nog op papier. We zouden uw perspectief als externe adviseur goed kunnen gebruiken. Alleen in het weekend, op afstand. Niets operationeels, niets dat de omgeving van uw werkgever raakt. U zou adviseren over onze voorgestelde architectuur, niet over de implementatie ervan. »
Toen vertelde ze me het tarief.
Voor twee dagen advieswerk in het weekend per maand betaalde Helion me meer dan Houseian me normaal gesproken betaalde.
Ik aarzelde ongeveer tien seconden, lang genoeg om de geheimhoudingsbepalingen door te nemen en te controleren of er niets in strijd was met mijn huidige contract. Geen operationele toegang, geen code, geen productiesystemen. Alleen adviserende beoordeling van documenten en diagrammen.
‘Oké,’ zei ik uiteindelijk. ‘Alleen in het weekend.’
Acht weken lang leidde ik een dubbelleven.
Van maandag tot en met vrijdag was ik het onzichtbare skelet van Houseians infrastructuur – ik repareerde, stemde af en paste dingen aan die niemand anders wilde begrijpen. Op zaterdag en zondag zat ik in videogesprekken met de architecten van Helion, mijn mok met de vlag erop naast mijn laptop terwijl we gemoedelijk discussieerden over hypothetische faalscenario’s en veerkrachtpatronen.
Bij Houseian werden mijn waarschuwingen genegeerd. Bij Helion werden mijn vragen genoteerd.
Bij Houseian was ik « onze rockster ». Bij Helion was ik « onze adviseur ».
Je kunt waarschijnlijk wel raden welke titel met daadwerkelijk respect werd geschreven.
Ik heb nooit aan de live systemen van Helion gezeten. Ik heb nooit een regel code van Houseian gedeeld. Ik hield me strikt aan de afspraken in beide contracten, alsof die op de vloer geschilderd stonden.
Maar grenzen doen er niet veel toe als iemand besluit dat je een probleem bent dat ze liever willen verwijderen dan begrijpen.
Op een donderdagavond parkeerde ik mijn auto twee straten verderop van het kantoor van Helion in het centrum voor een persoonlijke strategiesessie met het team van Vega. Het was gewoon makkelijker dan weer een haperend videogesprek, en we wilden een whiteboard. Ik droeg een spijkerbroek, een hoodie en mijn Houseian-badge zat in mijn tas.
Op weg naar binnen kwam ik een van onze junior developers van Houseian tegen, die net uit een hamburgerrestaurant ernaast kwam. We keken elkaar even aan. Hij fronste lichtjes, alsof hij probeerde te bepalen waar ik was. Ik glimlachte, stak mijn hand op en liep verder.
De volgende ochtend ontving ik een Outlook-uitnodiging van de HR-afdeling zonder onderwerp.
Zo belandde ik in de glazen vitrine met Edison en Finn, de korrelige foto op de tablet en mijn kleine mok met de vlag erop, die als een getuige tussen ons in stond.
« We hanteren een nultolerantiebeleid voor dit soort verraad, » herhaalde Finn, alsof hij het een aangename verrassing vond.
Ik had het kunnen uitleggen.
Ik had ze het Helion-contract en de Houseian-overeenkomst naast elkaar kunnen laten zien. Ik had kunnen wijzen op de passages waarin stond dat adviesdiensten waren toegestaan, zolang ik maar geen code of productiesystemen aanraakte. Ik had ze eraan kunnen herinneren dat wanneer je iemand drie jaar lang slaap, steun en elementair respect ontneemt, diegene dat soms ergens anders gaat zoeken.
In plaats daarvan keek ik naar de mok.
Drie jaar lang lauwe koffie. Drie jaar lang om 3 uur ‘s nachts alarmen. Drie jaar lang degene die ze belden als al het andere faalde. Niemand merkte die mok op tot de dag dat ze me ontsloegen.
‘Jullie hebben gelijk,’ zei ik tegen hen. ‘Ik moet me op één positie concentreren.’
Edison fronste zijn wenkbrauwen. « Ik weet niet zeker of je het begrijpt, Arya. Dit is ontslag om gegronde redenen. Je toegang wordt per direct ingetrokken. De beveiliging zal— »
‘Ik begrijp het volkomen,’ zei ik. ‘U wilt niet iemand in dienst nemen die volgens uw eigen juridische documenten niet aan de regels voldoet. U wilt een voorbeeld stellen.’
Dat vonden ze niet leuk.
