Rogier Fischer: van tienerhacker tot cybersecurityondernemer
Waar de meeste veertienjarige jongens druk zijn met huiswerk en gamen, hielden Rogier Fischer en zijn compagnon Olivier Beg er heel andere hobby's op na. Als pubers hackten ze de digitale systemen van grote, internationale organisaties als Microsoft en PayPal. Kwade bedoelingen hadden ze niet. Ze verdienden duizenden euro’s met zogeheten bug bounties: het melden van kwetsbaarheden in de IT-infrastructuur van organisaties. Met hun kennis van hacken richtten ze Hadrian op, een volledig autonoom en proactief cybersecurityplatform dat de systemen van bedrijven test vanuit het perspectief van hackers. Waar je normaliter tien tot twintig specialisten nodig hebt, combineert Hadrian innovatieve cloudtechnologieën en kunstmatige intelligentie om hackersaanvallen te simuleren en zwakke plekken in kaart te brengen. We spreken Rogier over het succes van hun onderneming.
Rogier Fischer
Hoe ben je ooit begonnen met hacken?
Op de basisschool volgde ik een extra vakkenpakket voor programmeren en het bouwen van websites, waarna het balletje is gaan rollen. Als je eenmaal snapt hoe je websites moet bouwen, leer je ook hoe daarin fouten worden gemaakt. En dat vond ik veel interessanter. Wat mij vooral opviel was dat er overal hetzelfde type fouten werden gemaakt. Met het opsporen van dat soort fouten ben ik mijn zakgeld gaan verdienen. In het begin werden we niet altijd serieus genomen wanneer we bedrijven benaderden met wat we gevonden hadden. Dat werd makkelijker toen in 2012 HackerOne werd opgericht, een platform waar je geld verdiende met het opsporen van digitale kwetsbaarheden. Olivier en ik waren één van de eerste gebruikers.
We waren simpelweg met een heleboel nerds die enthousiast waren over de technologie en experimenteerden met de mogelijkheden.
Voordat je met Hadrian startte, heb je het cryptoplatform LiteBit opgericht. Waarom heb je besloten hiermee te stoppen?
Ik heb in 2020 besloten om te stoppen met LiteBit, omdat de markt mij niet langer aansprak. Toen ik in 2012 begon met crypto waren we met een heleboel nerds die enthousiast waren over de technologie en experimenteerden met de mogelijkheden. Ik vond het heel tof om grote, complexe systemen te bouwen. Maar op een gegeven moment werd de markt gereguleerd en in plaats van ‘vette dingen bouwen’, was ik steeds meer tijd kwijt aan finance-vraagstukken en het naleven van de regels. Toen heb ik besloten om iets nieuws te gaan doen.
Wat was jullie grootste uitdaging in het oprichten van Hadrian?
Vergeleken met LiteBit zijn wij met Hadrian een veel complexer probleem aan het oplossen, wat veel meer technische innovatie vereist. Het vraagt veel meer flexibiliteit, omdat systemen op zoveel verschillende manieren kunnen reageren. Dat zal altijd de grootste uitdaging blijven. Wél een ontzettend leuke uitdaging.
Wat zijn de belangrijkste tipping points geweest in het succes van Hadrian?
Wij hebben op het juiste moment de juiste partners gevonden om Hadrian te financieren. Dat heeft ervoor gezorgd dat wij nu in een heel goede positie zitten, met een sterk team van goede professionals. De markt is daarna een stuk minder aantrekkelijk geworden voor investeerders.
Natuurlijk moet je altijd wat geluk hebben, maar voor een groot deel creëer je je eigen kansen. Ik geloof in een shotgun approach, waarbij je een zo groot mogelijk scala aan diensten en oplossingen levert. Met Hadrian hebben we oplossingen ontwikkeld voor allerlei specifieke problemen. Zo hadden we regelmatig het ‘geluk’ een grote klant binnen te halen, omdat we nét een oplossing hadden ontwikkeld voor een beveiligingsprobleem waar ze een week eerder mee te maken hadden gehad.
Jullie hebben in korte tijd meer dan twintig miljoen euro aan financiering opgehaald. Is het uitdagend om investeerders te vinden? In hoeverre zijn de investeerders ook betrokken bij de bedrijfsvoering van Hadrian?
Dankzij de gunstige timing van onze eerste financieringsronde zaten we in een luxepositie waarin we zelf konden kiezen met wie wij wilden werken. De keuze was niet alleen gebaseerd op de voorwaarden van de investering. Het was ook belangrijk dat we een goede klik hadden met de investeerders. Officieel zijn ze niet betrokken bij de bedrijfsvoering, maar ik heb ze wel regelmatig aan de lijn. Je haalt namelijk niet alleen een investering binnen, maar ook een schat aan ervaring in het bouwen en opschalen van bedrijven. Ik heb misschien ervaring met het bouwen van producten en het aansturen van een technisch team, maar ik heb nog nooit enterprise software verkocht. We kunnen zo enorm veel van elkaar leren.
Hadrian richt zich op het detecteren van beveiligingsrisico's, niet op het oplossen daarvan. Is daar vanuit bedrijven voldoende vraag naar?
Als je het heel erg plat slaat, richten wij ons inderdaad op het detecteren van beveiligingsrisico’s. Maar onze belangrijkste toegevoegde waarde zit hem in het begrijpen van de complexiteit van de IT-systemen en het prioriteren van de risico’s. Dat houdt in dat wij volledig in kaart brengen waar mogelijke risico’s liggen en wat de impact van die risico’s is op de algehele infrastructuur van een bedrijf. Daarbij houden wij rekening met ‘de context van het bedrijf’, de impact van het risico op de voortgang van de bedrijfsvoering.
Vaak gaat het om een eenvoudige oplossing zoals het updaten van de servers. Dat lijkt eenvoudig, maar voor een groot bedrijf met tienduizenden servers is het belangrijk om te weten waar ze het beste kunnen beginnen en welke servers nog wel even kunnen wachten.
Welke andere producten of diensten willen jullie in de toekomst aanbieden?
Op dit moment ligt onze focus op het verder uitbouwen en optimaliseren van ons platform. Eén uniform platform, dat door al onze klanten gebruikt kan worden. Natuurlijk kunnen we dit platform heel breed blijven ontwikkelen met allerlei simulaties en manieren om te monitoren. Waar we ons momenteel vooral richten op technische risico’s, zouden we in de toekomst ook sociale risico’s, zoals phishing, willen toevoegen.