‘En terwijl je daarmee bezig bent,’ voegde ik eraan toe, ‘ga je stiekem je cv bijwerken. Niet omdat je per se weggaat. Maar omdat je weet dat je dat kunt, waardoor het makkelijker is om nee te zeggen als ze je de last van de hele wereld in handen proberen te geven.’
Jordan lachte zwakjes. « Je laat het zo simpel klinken. »
‘Nee,’ zei ik. ‘Ik heb gehuild in mijn auto toen ik voor het eerst mijn werktelefoon in het weekend uitzette. Mijn handen trilden alsof ik iets illegaals had gedaan. Maar je kunt een systeem dat ontworpen is om je kapot te maken niet redden. Je kunt alleen bepalen hoe lang je het toelaat.’
We hebben nog een half uur gepraat. Ik gaf ze de naam van een recruiter die ik vertrouwde, een lijst met vragen die ze tijdens hun volgende gesprek konden stellen, en een simpele zin om te oefenen: « Dat is niet vol te houden, en dit is waarom. »
Nadat we hadden opgehangen, keek ik vanuit mijn kantoorraam naar de vlaggen op het gerechtsgebouw aan de overkant van de straat en realiseerde ik me iets.
Houseian dacht dat mijn tweede baan advieswerk voor een concurrent was geweest.
Maar de echte tweede baan – waar ik me niet eens voor had aangemeld zonder dat ik het wist – was deze.
De persoon zijn die iemand als Jordan recht in de ogen kan kijken, zelfs via de telefoon, en zeggen: « Je bent niet gek. Dit gaat te ver. Het is oké om hieruit te willen stappen. »
Die avond, zittend op de bank met mijn laptop op mijn knieën en mijn mok met de vlag erop om mijn handen te verwarmen, schetste ik een nieuwe dia voor onze presentatie over Helion Secure. Niet over firewalls, inbraakdetectie of zero-trust-architecturen.
Over burn-out.
Over hoe de gemiddelde diensttijd van beveiligingsprofessionals afnam. Over hoeveel mensen het vakgebied helemaal verlieten. Over de verborgen kosten van het behandelen van je ‘sterren’ als bodemloze putten.
De volgende ochtend liet ik het aan Vega zien.
‘Weet je zeker dat je dit erin wilt zetten?’ vroeg ze, terwijl ze door de cijfers scrolde. ‘Het aankaarten van hoe slecht mensen hun eigen teams behandelen, zou sommige managers wel eens in de verdediging kunnen drijven.’
‘Prima,’ zei ik. ‘Als ze zich meer zorgen maken over het ongemak dan over het oplossen ervan, dan zijn het geen klanten voor ons.’
Ze glimlachte. « Herinner me eraan dat ik nooit aan je slechte kant moet komen. »
‘Te laat,’ zei ik. ‘Je hebt me aangenomen.’
Dit is iets wat ze je nooit vertellen over wraak: hoe dichter je erbij komt, hoe minder je je bekommert om de oorspronkelijke verwonding en hoe meer je je bekommert om het voorkomen van een volgende.
In de maanden die volgden, stroomde de inbox van Helion Secure vol met variaties op hetzelfde verhaal dat Jordan me had verteld. Anonieme DM’s van mensen van ziekenhuizen, universiteiten en overheidsinstanties. Lange e-mails van specialisten die begonnen met « Ik weet niet of je dit zult zien, maar… » en eindigden met « Ik dacht dat ik de enige was. »
We konden ze niet allemaal in dienst nemen. We konden niet elke organisatie die hulp nodig had adviseren. Maar we konden wel iets anders doen.
We begonnen met het publiceren van geanonimiseerde casestudies – niet alleen de technische, maar ook de menselijke. Verhalen over wat er gebeurde toen een overwerkte ingenieur uiteindelijk ontslag nam. Over hoeveel miljoenen een bedrijf verloor omdat ze tweehonderdduizend per jaar aan salarissen bespaarden. Over hoe lang het duurde om het vertrouwen te herstellen na een vermijdbare storing.
Elke keer dat we er een plaatsten, ontplofte mijn inbox.
‘Heb je het over ons?’ vroegen mensen, half grappend, half doodsbang.
‘Als je het moet vragen,’ zou ik antwoorden, ‘dan weet je het antwoord al.’
Ondertussen bleef Houseian steeds weer opduiken in het nieuws als een waarschuwend voorbeeld. Telkens wanneer een ander bedrijf een nieuwe Chief Security Officer aankondigde die rechtstreeks aan de raad van bestuur rapporteerde in plaats van aan de IT-afdeling, werd er steevast een opmerking gemaakt over « lessen die de sector heeft geleerd van recente, spraakmakende storingen ».
Ze noemden ons natuurlijk nooit rechtstreeks in die artikelen. Maar soms, ‘s avonds laat, kreeg ik screenshots van oude collega’s.
Komt dit je bekend voor? Ze stuurden een berichtje onder een kop als « geen zwakke punten meer ».
Een paar van hen hadden de royale ontslagvergoedingen aangenomen die Houseian vanwege mijn consultancyvoorwaarden wel moest aanbieden en hadden elders een betere baan gevonden. Een van hen, Ravi, stuurde me een foto van zijn eerste dag bij een startup in de gezondheidszorg.
Nieuw insigne, schreef hij. Team van zes. Verplichte oproepdienst met een vast rooster. Mijn nieuwe manager zei dat ik om vijf uur naar huis moest. Ik stond bijna te huilen op de parkeerplaats.
Dat was de werkelijke score die ik bijhield, ongeacht hoeveel nullen er in onze consultancycontracten stonden.
Op een middag in de late herfst, ongeveer negen maanden na mijn ontslag, sloot Helion Secure een contract met een federale instantie waarvan de naam je zou herkennen van elk luchthavenbord en elke late-night comedy monoloog. Ze wilden dat we hun systemen zouden auditeren en een routekaart voor systeemcontinuïteit zouden voorstellen. Het was het soort contract dat van een « snelgroeiend segment » een pijler van het bedrijf maakte.
De aftrapbijeenkomst vond plaats in Washington D.C., in een beige vergaderzaal op drie blokken van het Capitool. In elke hoek wapperden vlaggen. Portretten van voormalige directeuren sierden de gang.
Tijdens de vlucht naar beneden leunde Ellis over de armleuning.
‘Ben je nerveus?’, vroegen ze.
‘Een beetje,’ gaf ik toe. ‘Elke keer als ik een van deze gebouwen binnenloop, heb ik het gevoel dat de beveiliging tevoorschijn komt en zegt: « Grapje, we hebben je gegoogeld, je mag hier niet naar binnen. »‘
« U leidde een team dat een Fortune 500-bedrijf van de ondergang heeft gered, » zei Ellis. « Ze zouden zich juist zorgen moeten maken. »
De CIO van het bureau, een vrouw met staalgrijs haar en een zakelijke blazer, begroette ons met een stevige handdruk.
‘We willen niet in de krantenkoppen terechtkomen,’ zei ze, terwijl ze ons gebaarde te gaan zitten. ‘We hebben gezien wat er met Houseian is gebeurd. We willen het liefst voorkomen dat de markt ons de les leert die we al van de fouten van anderen hadden moeten leren.’
Dat was een uitspraak die we steeds vaker hoorden.
We brachten drie dagen door in dat gebouw, interviewden medewerkers, brachten systemen in kaart en probeerden voorzichtig de draadjes los te maken waar niemand in jaren aan had gezeten. Het technische werk was bevredigend, maar het was een gesprek op de laatste middag dat me het meest is bijgebleven.
Een ingenieur van middelbare leeftijd, misschien eind dertig, bleef na onze workshop nog even hangen.
‘Ik heb je verhaal gelezen,’ zei hij zachtjes toen de kamer leeg was.
Mijn verhaal?
“Ja. Die over die onbekende fintech. Ik heb het zelf uitgezocht. Ik werkte toen bij een andere bank. We hebben die storing allemaal als een horrorfilm bekeken.”
Hij verplaatste zijn gewicht.
« Ik was de enige oorzaak van de problemen bij mijn vorige werkgever, » zei hij. « Toen ik zag wat er met dat andere bedrijf was gebeurd, heb ik mijn baas dezelfde dag nog een ontslagbrief en een risicorapport van twintig pagina’s overhandigd. Ik zei dat ze het moesten oplossen of iemand anders de schuld moesten geven als het misging. En terecht, ze hebben het opgelost. Daarna hebben ze mijn huidige functie gecreëerd. »
Hij gebaarde de kamer rond.
« Ik rapporteer nu rechtstreeks aan haar, » voegde hij eraan toe, terwijl hij naar de deur van de CIO knikte.
‘Hoe voelde dat?’ vroeg ik.
« Het was alsof ik van een klif was gevallen en ontdekte dat er al die tijd een brug was geweest, » zei hij.
