“Ten eerste werk ik op afstand. Ik zet geen voet meer in uw gebouw.”
« Prima. »
“Ten tweede geef ik alleen instructies. Uw team voert ze uit. Ik krijg geen directe toegang tot uw systemen.”
“Dat is… onconventioneel, maar acceptabel.”
“Ten derde ontvang ik een open brief waarin wordt erkend dat ik herhaaldelijk heb gewaarschuwd voor deze kwetsbaarheden en dat die waarschuwingen zijn genegeerd. Mijn ontslag wordt officieel ingetrokken.”
Deze keer een langere pauze. Ik kon Legal bijna horen grimassen op de achtergrond.
“De juridische implicaties—”
‘Het is minder ernstig dan een faillissement,’ zei ik. ‘Ten vierde ontvangt elk lid van mijn voormalige team dat bij eerdere reorganisaties is ontslagen een ontslagvergoeding van zes maanden en positieve referenties. En ten vijfde financieren jullie de door mij vorig jaar voorgestelde structuur voor het beveiligingsteam volledig met salarissen conform de markt en een daadwerkelijke stem in de besluitvorming. Geen zwakke punten meer.’
De stilte duurde zo lang dat ik me afvroeg of de verbinding was verbroken.
‘Dit zijn geen eisen om u te straffen, meneer Walsh,’ voegde ik eraan toe. ‘Het zijn de minimale veranderingen die nodig zijn om te voorkomen dat dit nogmaals gebeurt wanneer de volgende persoon overspannen raakt of vertrekt.’
Gedempte stemmen. Geritsel van papieren. Eindelijk kwam hij terug.
‘We zijn het eens,’ zei hij. ‘Overal mee eens. Wanneer kunt u beginnen?’
‘Zodra ik de bankoverschrijving en de ondertekende voorwaarden zie,’ antwoordde ik.
Twintig minuten later kreeg ik ze in mijn inbox.
Ik nam mijn mok met de vlag mee terug naar de vergaderzaal van Helion en vertelde Vega waar ik mee had ingestemd.
‘Hun crisis gebruiken om structurele veranderingen af te dwingen,’ zei ze knikkend. ‘Dat is geen wraak. Dat is hervorming.’
‘Het voelt als allebei,’ gaf ik toe.
‘Voor de goede orde,’ voegde ze eraan toe, ‘dit sluit aan bij iets waar ik het met je over wilde hebben. De raad van bestuur heeft zojuist een voorstel goedgekeurd om hier een afdeling voor beveiligingsadvies op te zetten. We hebben sinds het verhaal van Houseian in het nieuws is gekomen, zeventien bedrijven benaderd. Ze zijn doodsbang dat zij de volgende zijn. Ik wil dat jij de leiding neemt.’
Ik staarde haar aan.
« Wil je dat ik een bedrijf opbouw op basis van een les die mijn oude bedrijf weigerde te leren? »
‘Precies,’ zei ze. ‘Neem je frameworks mee. Neem je oorlogsverhalen mee. En neem die belachelijke vlagmok mee naar de pitchvergaderingen. Dat past perfect bij het merk.’
Ik heb die week voor het eerst gelachen.
Die middag logde ik in op een beveiligde videoverbinding met aan de andere kant een tiental uitgeputte gezichten van Houseian. Ingenieurs, beheerders, Arlo zelf, met bloeddoorlopen en holle ogen.
‘Arya,’ begon hij, met een trillende stem. ‘Ik—’
‘Dit is geen gesprek over gevoelens,’ onderbrak ik hem voorzichtig. ‘Dit is een triage. Laten we ons concentreren op de patiënt.’
Vier uur lang, voor vijftigduizend dollar per uur, heb ik hen begeleid bij een herstelproces dat ik een jaar eerder nauwgezet had beschreven in een rampenbestrijdingsplan dat niemand de moeite had genomen te lezen.
‘Open de map met onderhoudsprocedures met het opschrift ‘Worst Case’,’ zei ik. ‘Ja, die. Pagina twaalf. We gaan die regel voor regel doornemen.’
Terwijl ze aan het werk waren, legde ik niet alleen uit wat ze moesten doen, maar ook waarom elke stap belangrijk was. Hoe een verkeerd geconfigureerde cronjob hier een authenticatieprobleem daar veroorzaakte. Hoe een sluiproute die ze zes kwartalen geleden hadden genomen om een deadline te halen, stilletjes een tikkende bom was geworden.
‘Dit bedoelde ik,’ zei ik op een gegeven moment, toen iemand klaagde dat het proces te traag verliep. ‘Je kunt een ontwerpfout niet zomaar oplossen door opnieuw te beginnen.’
Tegen de avond kwamen de systemen moeizaam weer tot leven. Klanten konden weer inloggen. Transacties werden verwerkt, eerst langzaam, daarna sneller. De toezichthouders lieten het toezicht varen, of trokken zich zelfs helemaal terug.
Het was te laat om het imago van Houseian te redden. Te laat om de miljarden aan marktwaarde te redden die in twee dagen waren verdampt. Maar niet te laat om te voorkomen dat het bedrijf volledig instortte.
Aan het einde van het gesprek voegde Walsh zich bij de bridge-speler.
‘Namens het bestuur,’ zei hij stijfjes, ‘dank u wel, mevrouw Wesley. We zullen alle overeengekomen voorwaarden nakomen. Onze openbare verklaring waarin we uw rol en onze tekortkomingen erkennen, zal morgenochtend worden gepubliceerd.’
‘Graag gedaan,’ zei ik. ‘Maar voor de goede orde: het echte werk begint nu. Lees de documentatie die je mensen schrijven. Stel de teams samen die ze nodig hebben. Wacht niet tot de volgende onzichtbare medewerker zomaar vertrekt.’
Ik sloot mijn laptop en keek rond in de vergaderzaal van Helion. Mijn team zat er nog steeds, alsof ze niet luisterden, met hun ogen gericht op hun eigen schermen.
‘Nou,’ zei Ellis uiteindelijk, terwijl ze hun wenkbrauwen optrokken. ‘Hoe voelt het om te weten dat je voormalige werkgever je net tweehonderdduizend dollar heeft betaald om ze te leren hoe ze de pdf’s moeten lezen die ze al die tijd negeerden?’
‘Het is net rente op een schuld die ze nooit hebben erkend,’ zei ik.
Een maand later stond ik in de grootste vergaderzaal van Helion, ons logo oplichtend op het scherm achter me naast een Amerikaanse vlag in de hoek en een dia met de titel: « Van een enkelvoudig zwak punt naar organisatorische veerkracht. »
De directieleden in de zaal – die van ons, niet die van Houseian – keken toe terwijl ik hen de businesscase voor Helion Secure, onze nieuwe adviesdivisie, presenteerde. Marktkansen. Casestudies. (Houseian is uiteraard geanonimiseerd.) Een simpele stelling: technologie is niet veilig tenzij de mensen en structuren eromheen dat ook zijn.
De goedkeuring was unaniem.
Binnen enkele weken namen we al mensen aan. Het team groeide van acht naar twintig specialisten, elk met duidelijke verantwoordelijkheden en een redelijke werkdruk. Onze eerste klanten tekenden een contract nog voordat de landingspagina af was.
In diezelfde maand ontving ik een e-mail van Walsh.
Onderwerp: Dank u wel
Hij schreef dat Houseian eindelijk de teamstructuur had geïmplementeerd die ik jaren eerder had voorgesteld. Dat ze een Chief Security Officer hadden aangesteld die rechtstreeks aan de raad van bestuur rapporteerde. Dat ze tientallen cruciale inzichten hadden ontdekt in « gedeprioriteerde » documentatie, geschreven door mensen zoals ik.
« De kosten van deze lessen zijn hoog opgelopen, » gaf hij toe. « Onze marktwaarde ligt nog steeds dertig procent lager dan vóór het incident, en het zal jaren duren om het vertrouwen van de klanten te herstellen. Maar de culturele verandering is ingrijpend geweest. Uw impact reikt veel verder dan het technische herstel dat u hebt begeleid. Als u ooit wilt terugkeren, staat mijn deur open. »
Ik heb de e-mail gesloten zonder te antwoorden.
Mijn antwoord was al gepubliceerd in vakbladen waarin Helion Secure werd aangekondigd als het snelstgroeiende segment van het bedrijf, met citaten van mij over het bouwen van systemen die niet afhankelijk zijn van één persoon.
Drie maanden na mijn ontslag stond ik weer op het podium tijdens die conferentie in Boston waar ik Vega voor het eerst had ontmoet. Dezelfde zaal. Dezelfde vlag in de hoek. Een ander leven.
Deze keer stond er op mijn badge niet ‘Houseian Architect’.
Er stond: Helion Systems – Directeur, Beveiligingsadvies.
Ik sprak over organisatorische veerkracht, over hoe de ergste datalekken niet altijd werden veroorzaakt door geniale hackers, maar door leidinggevenden die naar een overwerkte specialist keken en zeiden: « We zorgen later wel voor hulp. »
Op de eerste rij zag ik bekende gezichten. Arlo. Een paar Houseian-ingenieurs. Een vrouw die ik niet kende, maar die ik via LinkedIn herkende als hun nieuwe CISO.
Nadat mensen in de rij stonden om me visitekaartjes te geven en te vragen naar een samenwerking met Helion Secure, wachtte de CISO tot het wat rustiger werd in de zaal.
‘Het systeem van je vervangster is indrukwekkend,’ zei ik toen ze me bereikte. ‘Ik heb de recensies uit de branche gelezen.’
‘Het is gebouwd op jouw fundament,’ antwoordde ze. ‘Je documentatie was… buitengewoon. Toen er eenmaal iemand het daadwerkelijk las.’
Ik glimlachte. ‘Je hebt ze gered terwijl je ze achterliet,’ voegde ze er zachtjes aan toe. ‘Dat is zeldzaam.’
