Mikko Hyppönen loopt heen en weer op het podium met zijn kenmerkende donkerblonde paardenstaart rustend op een onberispelijk blauwgroen pak. Als ervaren spreker probeert hij een belangrijk punt duidelijk te maken voor een zaal vol andere hackers en beveiligingsonderzoekers op een van de wereldwijde jaarlijkse bijeenkomsten van de branche.
“Ik noem het vaak ‘cybersecurity Tetris'”, zegt hij met een serieus gezicht tegen het publiek, waarbij hij de regels van de klassieke videogame terzijde schuift. Wanneer je een hele rij stenen hebt voltooid, verdwijnt de rij en vallen de rest van de stenen op een nieuwe lijn.
“Dus je successen vervagen terwijl je mislukkingen zich opstapelen”, vertelt hij het publiek tijdens zijn keynote bij Black Hat in Las Vegas in 2025. “De uitdaging waar we als cybersecurityprofessionals voor staan, is dat ons werk onzichtbaar is… als je je werk perfect doet, is het eindresultaat dat er niets gebeurt.”
Het werk van Hyppönen is echter zeker niet onzichtbaar geweest. Als een van de langst dienende figuren op het gebied van cyberbeveiliging in de sector, heeft hij meer dan 35 jaar lang malware bestreden. Toen hij eind jaren tachtig begon, was de term ‘malware’ nog verre van alledaags taalgebruik; de termen waren in plaats daarvan computervirussen of Trojaanse paarden. Het internet was nog steeds iets waar maar weinig mensen toegang toe hadden, en sommige virussen waren afhankelijk van het infecteren van computers ermee diskettes.
Sindsdien schat Hyppönen dat hij duizenden verschillende soorten malware heeft geanalyseerd. En dankzij zijn veelvuldige sprekers op conferenties over de hele wereld is hij een van de meest herkenbare gezichten en gerespecteerde stemmen in de cyberbeveiligingsgemeenschap geworden.
Hoewel Hyppönen een groot deel van zijn leven heeft geprobeerd te voorkomen dat malware op plaatsen terechtkomt waar het niet bedoeld is, doet hij nu nog steeds veel van hetzelfde, zij het met een iets andere aanpak: zijn nieuwe uitdaging is het beschermen van mensen tegen drones.
Hyppönen, die Fins is, vertelde me tijdens een recent interview dat hij ongeveer twee uur verwijderd is van de Finse grens met Rusland. Een steeds vijandiger Rusland en zijn grootschalige invasie van Oekraïne in 2022 het merendeel van de sterfgevallen naar verluidt voortkomend uit drone-aanvallen, heeft Hyppönen ertoe gebracht te geloven dat hij een hernieuwde impact kan maken door drones te bestrijden.
Voor Hyppönen is het ook een kwestie van erkennen dat, hoewel er nog steeds slepende problemen zijn die moeten worden opgelost in de wereld van cyberbeveiliging (malware gaat nergens heen en er zijn genoeg nieuwe problemen aan de horizon), de industrie de afgelopen twintig jaar grote vooruitgang heeft geboekt. Een iPhone, die Hyppönen als voorbeeld noemde, is een extreem veilig apparaat. De cyberveiligheidsaspecten van drone-oorlogvoering blijven daarentegen vrijwel onbekend terrein.
Van virussen en wormen tot malware en spyware…
Hyppönen kreeg een vroege start op het gebied van cyberbeveiliging door in de jaren tachtig videogames te hacken. Zijn liefde voor cyberbeveiliging kwam voort uit reverse engineering-software om een manier te vinden om de bescherming tegen piraterij van een Commodore 64-thuiscomputer te verwijderen. Hij leerde coderen door avonturenspellen te ontwikkelen en scherpte zijn reverse engineering-vaardigheden aan door malware te analyseren tijdens zijn eerste baan bij het Finse bedrijf Data Fellows, dat later de bekende antivirusmaker F-Secure werd.
Sindsdien staat Hyppönen in de frontlinie van de strijd tegen malware en heeft hij gezien hoe deze zich heeft ontwikkeld.
In de beginjaren ontwikkelden virusschrijvers hun kwaadaardige code vaak puur uit passie en nieuwsgierigheid om te zien wat er allemaal mogelijk was met code alleen. Hoewel er behoorlijk wat cyberspionage bestond, hadden hackers nog geen manieren ontdekt om volgens de huidige normen geld te verdienen met hacken, zoals ransomware-aanvallen. Er bestond geen cryptocurrency om afpersing te vergemakkelijken, noch een criminele marktplaats voor gestolen gegevens.
Formulier.Awas bijvoorbeeld begin jaren negentig een van de meest voorkomende virussen die computers infecteerden met een diskette. Eén versie van dat virus vernietigde niets – liet soms alleen een bericht op het scherm van de persoon zien en dat was het. Maar het virus reisde de hele wereld rond, inclusief het landen op de onderzoeksstations op de Zuidpool, vertelde Hyppönen me.
Hyppönen vertelde over het beruchte ILOVEYOU-virusdie hij en zijn collega’s in 2000 als eersten ontdekten. ILOVEYOU was een worm, wat betekent dat hij zich automatisch van computer naar computer verspreidde. Het kwam via e-mail binnen als tekstbestand, zogenaamd een liefdesbrief. Als het doelwit het zou openen, zou het enkele bestanden op de computer van de persoon overschrijven en vernietigen en zichzelf vervolgens naar al zijn contacten sturen.
Het virus besmette meer dan 10 miljoen Windows-computers wereldwijd.
Malware is sindsdien dramatisch veranderd. Vrijwel niemand ontwikkelt malware als hobby, en het creëren van kwaadaardige software die zichzelf repliceert, is vrijwel een garantie dat deze zal worden gepakt door cyberbeveiligingsverdedigers die in staat zijn om de malware snel te neutraliseren en mogelijk de auteur ervan te pakken te krijgen.
Niemand doet het meer uit liefde voor het spel, aldus Hyppönen. “Het tijdperk van virussen ligt achter ons”, zei hij.
Zelden zien we nu zelfvoortplantende wormen – met zeldzame uitzonderingen, zoals de destructieve WannaCry-ransomware-aanval van Noord-Korea in 2017; en de massale hackcampagne NotPetya gelanceerd door Rusland later dat jaar werd een groot deel van het Oekraïense internet- en elektriciteitsnet lamgelegd. Nu wordt malware vrijwel uitsluitend gebruikt door cybercriminelen, spionnen en spywaremakers die exploits ontwikkelen voor door de staat gesponsorde hacking en spionage. Deze groepen blijven doorgaans in de schaduw en willen hun instrumenten verborgen houden om hun activiteiten voort te zetten en voorstanders van cyberveiligheid of wetshandhavers te vermijden.
De andere verschillen vandaag de dag zijn dat de cyberbeveiligingsindustrie nu naar schatting 250 miljard dollar waard is. De industrie heeft zich, deels uit noodzaak, geprofessionaliseerd om de opkomst van malware-aanvallen tegen te gaan. Verdedigers gingen van het gratis weggeven van hun software naar het omzetten in een betaalde dienst of product, aldus Hyppönen.
Computers en nieuwere uitvindingen zoals smartphones die begin jaren 2000 populair werden, zijn veel moeilijker te hacken geworden. Als de tools om een iPhone of de Chrome-browser te hacken zes cijfers of zelfs een paar miljoen dollar kosten, betoogde Hyppönen, maakt dit een exploit feitelijk zo duur dat alleen vindingrijke mensen, zoals overheden, er gebruik van kunnen maken, in plaats van financieel gemotiveerde cybercriminelen. Dat is een enorme overwinning voor de consument, en een goed stuk werk voor de cyberbeveiligingsindustrie.
Van het bestrijden van spionnen en criminelen… tot het bestrijden van drones
Medio 2025 stapte Hyppönen over van cybersecurity naar een ander soort defensief werk. Hij werd hoofd van het onderzoek bij Sensofusion, een in Helsinki gevestigd bedrijf dat een anti-dronesysteem ontwikkelt voor wetshandhaving en het leger.
Hyppönen vertelde me dat het gemotiveerd was om een nieuwe, zich ontwikkelende industrie te betreden vanwege wat hij zag gebeuren in Oekraïne, een oorlog gedefinieerd door drones. Als Fins staatsburger die in de militaire reservaten dient (“Ik kan je niet vertellen wat ik doe, maar ik kan je wel vertellen dat ze me geen geweer geven omdat ik veel destructiever ben met een toetsenbord”, vertelt hij me), en met twee grootvaders die tegen de Russen vochten, is Hyppönen zich terdege bewust van de aanwezigheid van een vijand vlak over de grens van zijn land.
“De situatie is heel erg belangrijk voor mij”, zegt hij. “Het is zinvoller om te werken aan de strijd tegen drones, niet alleen tegen de drones die we vandaag zien, maar ook tegen de drones van morgen”, zei hij. “Wij staan aan de kant van de mens tegen machines. Dat klinkt een beetje als sciencefiction, maar het is heel concreet wat we doen.”
De cybersecurity- en drone-industrie lijken misschien mijlenver uit elkaar, maar er zijn volgens Hyppönen duidelijke parallellen tussen de bestrijding van malware en de bestrijding van drones. Om malware te bestrijden hebben cyberbeveiligingsbedrijven mechanismen bedacht, bekend als handtekeningen, om te identificeren wat malware is en wat niet, en deze vervolgens te detecteren en te blokkeren. In het geval van drones, legt Hyppönen uit, omvat defensie het bouwen van systemen die radiodrones kunnen lokaliseren en blokkeren en door frequenties te herkennen die worden gebruikt om de autonome voertuigen te besturen.
Hyppönen legde uit dat het mogelijk is drones te identificeren en te detecteren door hun radiofrequenties op te nemen, ook wel hun IQ-tests genoemd.
“Van daaruit leggen we het protocol vast en creëren we handtekeningen om onbekende drones te detecteren”, zei hij.
Hij legde ook uit dat als je het protocol en de frequenties ontdekt die worden gebruikt om de drone te besturen, je ook kunt proberen er cyberaanvallen tegen uit te voeren. Je kunt ervoor zorgen dat het systeem van de drone uitvalt en de drone in de grond crasht. “Dus in veel opzichten zijn deze aanvallen op protocolniveau veel, veel gemakkelijker in de dronewereld, omdat de eerste stap de laatste stap is”, zei Hyppönen. “Als je een kwetsbaarheid vindt, ben je klaar.”
De strategie van het bestrijden van malware en het bestrijden van drones is niet het enige dat in zijn leven niet is veranderd. Het kat-en-muisspel waarbij je leert hoe je een dreiging kunt stoppen en vervolgens de vijand ervan moet laten leren en nieuwe manieren moet bedenken om de verdediging te omzeilen, enzovoort, is hetzelfde in de wereld van drones. En dan is er de identiteit van de vijand.
“Ik heb een groot deel van mijn carrière doorgebracht met het bestrijden van Russische malware-aanvallen”, zei hij. “Nu vecht ik tegen Russische drone-aanvallen.”
