Jaya Baloo, CISO KPN
Eind september was KPN CISO Jaya Baloo gastspreker bij het Data Science Center in Eindhoven. Op de High Tech Campus sprak ze bijna anderhalf uur lang in een moordend tempo in vlekkeloos Amerikaans over it-security, met een flinke dosis humor en zelfreflectie. ICT/Magazine was erbij en als het onderwerp niet zo ernstig was, zouden we haar optreden bijna afficheren als een ‘one-woman-show’.
Baloo begint haar betoog met de wake-up call die KPN kreeg in 2012. “In 2012 realiseerden wij ons plotseling dat het geen kwestie is óf je wordt gehackt, maar wanneer. Dat jaar werd KPN gehackt door een 16-jarige jongen en niemand had enig idee hoe dat mogelijk was. Hoe had die jongen toegang kunnen krijgen tot 300 verschillende systemen? KPN heeft geen juridische stappen ondernemen tegen deze jongen. Eelco Blok, CEO, zei dat het te ver ging om de jongen te bedanken voor deze heldere waarschuwing, maar in wezen was dat wel wat het was. Ik zou die jongen overigens wel willen bedanken, omdat ik nu bij KPN werk dankzij zijn hack.”
Naming and shaming
Iedere setup van security begint met die ene fundamentele vraag: wat moeten we beschermen en tegen wie? De opzet van de KPN it-securitystrategie is pragmatisch. Baloo moet proberen om slechte dingen te voorkomen, maar tegelijkertijd weet ze dat ze daar niet in zal slagen. “Mijn uitgangspunt in security is dat het misgaat. Ik ga ervan uit dat we op dit moment worden gehackt en dat ik mij daartegen zal moeten verdedigen. Wanneer je ervan uitgaat dat het misgaat, ben je veel beter voorbereid wanneer het daadwerkelijk gebeurt. Je richt je aandacht dan op het detecteren van bedreigingen, ook als je ze niet kunt tegenhouden. Na het detecteren moet een respons volgen, en wel zo snel mogelijk. Vervolgens verifieer je of dat ook daadwerkelijk is gedaan door de hele organisatie van 20.000 mensen. De enige twee dingen waar ik vanuit deze pragmatische houding in ben geïnteresseerd zijn kwetsbaarheden en incidenten. Van de bekende kwetsbaarheden in mijn netwerk wil ik weten hoe lang we erover doen om ze te sluiten. Hoe langer iets open staat namelijk, hoe groter de ‘window of opportunity’ waar een hacker doorheen kan kruipen. Veel bedrijven doen er maanden over om sommige kwetsbaarheden dicht te timmeren. Er zijn nog steeds bedrijven die hun netwerk open hebben staan voor Wannacry. Op welk punt wordt dit pas echt onacceptabel? Wat moet er gebeuren voordat we eindelijk zeggen: tot hier en niet verder? Ons management is op de hoogte van onze kwetsbaarheden en we communiceren open en helder, bijvoorbeeld over welke managers verantwoordelijk zijn voor incidenten en wie kwetsbare plekken te lang open laat. En dan heb ik het niet eens over de complexe zaken. Dit, het ‘naming and shaming’ is heel pragmatisch en basaal. Maar wat pas echt basaal is, is vertrouwen op compliancy. Je kunt volledig compliant zijn, maar toch op dagelijkse basis worden gehackt. Dus vergeet compliancy, dat is de bodem, het plafond is security.”
Rood en blauw
KPN maakt onderscheid tussen twee vormen van beveiliging: reactief en proactief. “Het proactieve deel van onze monitoring wordt verzorgd door onze ethische hackers”, vertelt Baloo. “Ons REDteam is in constante strijd verwikkeld met ons BLEUteam. Wij vragen beide teams, de aanvallers en de verdedigers, om ons te laten zien hoe goed zij zijn. De gedachte hierachter is dat ze daadwerkelijke ervaring opdoen met elkanders aanvallen en hun werkwijze. Als ze naast verdediging ook de aanval kennen, hebben ze wellicht een kans tegen de echte hackers. Met deze vorm van beveiliging trachten we een geheime ingang in ons systeem te ontdekken, voordat een of andere 16-jarige knul die we niet kennen dat doet.”
Hoewel ze ongetwijfeld beide vormen van beveiliging belangrijk vindt, laat Baloo er geen twijfel over bestaan welke haar voorkeur heeft. “Het reactieve deel van onze beveiliging is niet echt nieuw. Ik noem het ‘mensen die naar het scherm staren’. In wezen wachten zij tot er iets gebeurt, en ze zijn net zo goed als de tooling die ze gebruiken.”
Laten ontploffen
Zodra het proactieve team of het reactieve team iets vinden, is respons de directe volgende stap. En die respons is anders dan wij zouden verwachten. Baloo: “Je kunt door het bedrijf heensluipen als een explosieven opruimingsdienst om alle kwetsbaarheden en mogelijke gevaren weg te nemen, maar je kunt de bom ook op een veilige manier laten ontploffen. Als wij een bedreiging vinden dat wij nader willen bestuderen, laten we het op gecontroleerde wijze zijn gang gaan. Op die manier trachten we hogerop te komen in de voedselketen, zodat we niet alleen die ene malware kunnen uitschakelen, maar iedere vergelijkbaar opererende malware die we tegenkomen. Dankzij deze werkwijze hebben we al heel veel responsen, tools en scenario’s klaarliggen.”
Het actieplan
Het besef dat het trachten te verhinderen van cyberaanvallen zinloos is, wil natuurlijk niet zeggen dat Baloo en haar team het allemaal maar gelaten over zich heen laten komen. Hun actieplan bestaat uit drie hoofdelementen. Om te beginnen 1) security awareness. “Veel medewerkers weten vaak niet wat ze moeten doen vanuit hun functie. Maar of je nu CEO bent of een helpdesk employee, je moet je bewust zijn van wat er speelt. Al zou ik als aanvaller meer aandacht besteden aan die helpdeskmedewerker, omdat directe toegang tot een CEO een stuk lastiger is. Security awareness moet in mijn optiek op maat worden gemaakt voor iedere rol binnen het bedrijf. Wie specifieke netwerkrechten heeft, of admin-rechten of iets soortgelijks, scoort hoger in dit plaatje en zal meer begeleiding behoeven. Maar iedereen in een organisatie moet begrijpen dat een e-mail van een Nigeriaanse prins waarin heel veel geld wordt aangeboden, nep is.”
Het tweede element in het actieplan, nadat je zeker weet dat iedereen zich bewust is van beveiligingsissues van zijn of haar rol in het bedrijf, is de gang van zaken monitoren. Dat doe je met 2) visibility risk intelligence. Volgens Baloo gaat dat niet alleen over logging. “Ik heb het over echte zichtbaarheid, het zien dat wanneer een bepaald bedrijfsproces extreem traag werk, er iets aan de hand is. Zaken dus die de technische netwerksystemen er niet uit kunnen filteren. Anders word je gebombardeerd met duizenden logs, waar de SOC zo stevig onder begraven wordt dat ze er kop noch staart in kunnen ontdekken. Dankzij risk intelligence begrijp je de interne ‘assets’ en hun relatieve positie ten opzichte van de processen die essentieel zijn voor de organisatie. Daarnaast heb je zicht op externe informatie die je vertelt dat een concurrent onlangs is aangevallen, zodat je een voorsprong hebt ingeval jij door diezelfde hacker wordt aangevallen. Leer van de binnenkant, maar zeker ook van wat er zich buiten afspeelt.”
Als derde punt van het actieplan noemt Baloo 3) beveiligingscapaciteit. “Ieder onderdeel van je business weet hoe te handelen om veiliger te zijn. Niet alleen de netwerkjongens, of het beveiligingsteam, maar ook de persoon die ziet dat een proces niet verloopt zoals het normaal verloopt. Dat zelfs de CEO om drie uur ’s nachts exact weet wie hij moet bellen, als hij ineens allerlei merkwaardige e-mail voorbij ziet komen.”
Kip zonder kop
Tijdens haar presentatie neemt de CISO van KPN ruim de tijd om enkele hacks uit het verleden te bespreken. Dat doet ze niet uit sensatielust, maar omdat ze van iedere hack iets leert. Als eerste noemt ze de hack op TalkTalk, een grote Britse telco en netwerkprovider. “Wat wij hiervan hebben geleerd, is dat nooit je CEO voor de camera moet laten optreden wanneer het over security gaat. Helemaal niet wanneer je nog geen idee hebt van de reikwijdte en de impact van de hack. Dido Harding liet zich op tv interviewen nadat de volledige klantendatabase was gestolen.” Harding vertelde over diverse drastische maatregelen die waren genomen en ook dat er helemaal geen wettelijke eis was die stelde dat het verplicht was om klantendata te encrypten. “In werkelijkheid”, vervolgt Baloo, “was het werkelijke incident niet eens zo dramatisch. Er waren veel minder klanten bij betrokken dan men aanvankelijk dacht. Ik wil dit incident vergelijken met de hack op KPN in 2012. Het was absoluut erg dat die jongen in onze systemen kon komen, maar gelukkig heeft hij daar geen schade aangericht. Maar enkele maanden later was er een apart incident, waarbij het ging om heel veel usernames en wachtwoorden die op internet stonden. Ze leken sterk op KPN usernames en wachtwoorden, dus wij dachten dat we alweer waren gehackt. Onderzoeksjournalist Brenno de Winter wist toen te achterhalen dat de namen niet vanaf KPN waren gelekt, maar dat ze afkomstig waren van de website Baby Dump. Maar voordat dit naar buiten kwam, waren wij zo bang dat nog meer klantendata zou worden gelekt, dat we onze internet- en mailservices drie dagen lang uit hebben gezet. Het spreekt voor zich dat dit niet op prijs werd gesteld. Maar wat is nu erger? Ten onrechte denken dat je bent gehackt, of daadwerkelijk worden gehackt en ‘mea culpa’ zeggen? Volgens mij sta je in beide situaties erg zwak. Je wilt echt niet als bedrijf dat dit gebeurt. Als je die drie punten uit het actieplan op orde hebt, ren je in ieder geval in zo’n situatie niet rond als een kip zonder kop. En dat is precies wat bij TalkTalk gebeurde, wat Dido Harding uiteindelijk ook haar positie heeft gekost.”
Harde lessen
Over de hack op een pacemaker-fabrikant leerde Baloo dat in sommige gevallen een terugroepactie op vrijwillige basis kant noch wal raakt. De berichtgeving omtrent datalekken wakkert haar cynisme aan. “Ieder nieuw datalek is weer ‘het grootste ooit’. Geloof mij, dat is niet waar, want volgende week is er een die nog veel groter zal zijn. In drie jaar tijd is de omvang van gestolen data verviervoudigd en dat zal ongetwijfeld nog veel erger worden.” Heartbleed moeten we volgens Baloo onthouden, omdat het was gebaseerd op openSSL. “Als wij denken aan open source, geloven we nog altijd dat een team van beveiligingsonderzoekers het de hele dag aanvallen, zodat het super veilig is. Niet dus. Open source staat niet gelijk aan veilig.” Met een vergelijkbare ‘lesson learned’ voor wat betreft Linux brengt ze Shellshock naar voren. “De mythe dat niet-Windows platforms in zekere zin veilig of dan toch veiliger zijn, houdt nog altijd stand.” Baloo zet de wonderlijke oorsprong van Wannacry uiteen: “Een bedrijf onder de naam Equation Group maakte voor de Amerikaanse NSA digitale wapens in de vorm van zero day malware. Toen deze Group zelf werd gehackt, maakten de hackers een flinke hoeveelheid van deze zero days buit. Deze werden vervolgens aangeboden op een internetveiling, en om te bewijzen dat het echt goede malware was, gaven ze een kleine sample set vrij. Een van de virussen die op deze manier vrij kwam was dus Wannacry.” De les die hieruit getrokken kan worden, is dat echt niemand en geen enkele instantie kan worden vertrouwd. Dat blijkt ook uit de achtergronden van de Belgacom-hack die in 2013 naar buiten kwam. Was KPN al wakker geschud doordat ze zelf waren gehackt in 2012, de Belgacom-hack zorgde in de hele telco-sector voor nog vollediger ‘verlies van onschuld’. De hackers blijken vooral geïnteresseerd in BICS, een Belgacom-dochter die netwerkdiensten levert aan 700 telecomoperatoren, zodat hun klanten wereldwijd kunnen bellen of mobiel data doorsturen. Het afluisteren van klanten in het Midden-Oosten blijkt het doel te zijn. “Om tot deze klanten door te dringen, moesten de aanvallers eerst Belgacom helemaal aan stukken scheuren”, vertelt Baloo. “Dus hebben ze een ingenieus stuk malware met verschillende zero days erin weten te installeren.” Nader onderzoek, waarbij de openbaringen van Edward Snowden een belangrijke rol spelen, wijst uit dat deze geavanceerde spionagesoftware – REGIN genaamd – van Amerikaans-Britse makelij is. Pas in december 2014 wordt er meer duidelijk. Reeds in 2011 kwam de Britse geheime dienst (GCHQ) binnen in het Belgacom netwerk door drie werknemers te hacken, en kon de dienst twee en een half jaar lang ongestoord rondsnuffelen in het netwerk van Belgacom en dochterbedrijf BICS. Communicatie werd onderschept van individuele Belgacom-klanten, van de NAVO en de EU, en van de klanten van BICS.
Meer wiki dan wet
Voor de continue verbetering van hun security schakelde KPN al in 2016 de hulp in van iedereen. In eerste instantie is de app, met daarin het securitybeleid en richtlijnen voor de ict-beveiliging gericht op eigen ict-medewerkers. Maar de app kan ook dienen als inspiratiebron voor security-professionals bij andere organisaties. Iedereen die de app downloadt, kan suggesties voor verbeteringen indienen. Naast informatie over de hoofdlijnen van het securitybeleid van KPN bevat de app gegevens over de beveiliging van persoonsgegevens, incidentmanagement en fysieke beveiliging. In berichtgeving over deze app, noemde Baloo het KPN-beleid “meer een wiki dan een wet”. Tijdens haar lezing in Eindhoven benadrukt de CISO dat er niets geheims is aan het corporate veiligheidsbeleid. “Wij richten ons niet op een van die grote formele standaarden als ISO of ISF. Van alles gebruiken wij een beetje dat in onze optiek het meest effectief is. Volgens mij is dat een goede aanpak, omdat die grote standaarden misschien eens per jaar een update ondergaan. Wij doen dat continu. Iedere keer dat we leren van een nieuwe aanval, voeren we een update door. Vier keer per jaar werken we ons beleid bij. Ook zijn we constant bezig om ons responstijden naar beneden te brengen. Naast de activiteiten van ons REDteam en BLUEteam, organiseren we maandelijks een hackbijeenkomst waarbij we gasten van over de hele wereld uitnodigen. Dus we trachten te leren van de buitenkant, maar we proberen dat ook weer terug over te brengen aan de binnenkant. Onze CEO, CFO, COO en CCO ontvangen wekelijks een risk intelligence briefing, waar vijf externe en vijf interne items worden besproken. Hier vindt bijvoorbeeld het ‘naming & shaming’ plaats, recht voor zijn raap: dit is verpest, dit is niet gemaakt, dit staat al open sinds…”
Aan het slot van haar betoog zegt Baloo nog dit: “Het beste dat ons kan overkomen, is dat we blijven onthouden hoe goed wij níet zijn. En zolang wij nederig blijven en aanvaarden dat de mensen buiten KPN ons veel meer te leren hebben dan wij hen, dan blijven we op koers. Op het moment dat we overtuigd raken van ons eigen vermogen tot bescherming, zullen we falen.”
Soorten hackers
In haar uiteenzetting over de verschillende soorten hackers wordt het duidelijk hoe belangrijk Baloo het vindt om ‘de vijand’ goed te kennen. Ze onderscheidt vier soorten hackers, waarbij ze hun motivatie, hun aanpak en de impact van hun handelen uiteenzet. Maar of hackers nu inbreken voor de lol, voor het geld of voor politieke doeleinden, de impact die ze kunnen veroorzaken hoeft niet eens zoveel te verschillen per hacker.
De individuele hacker (KPN 2012)
Hun motivatie is opportunistisch en niet specifiek gericht op iets of iemand. “Het maakt hun niet uit wie ze hacken”, licht Baloo toe. “Als ze maar iemand kunnen hacken. Ze doen het voor de lol en willen gewoon zo ver mogelijk binnendringen.” Vanuit die motivatie zoeken ze naar de kwetsbaarheden die ze tijdens hun activiteiten tegenkomen. Of ze vinden de ingang via een insider. De impact die ze veroorzaken is voornamelijk reputatieschade.
De hacktivist (Ziggo aanval, Panama Papers)
Toen Ziggo werd aangevallen in 2015 hadden hun klanten bijna een week lang geen verbinding. Er gingen toen video’s rond op Youtube waaruit bleek dat het hackerscollectief Anonymous (of Anon Nazi) achter de DDos-aanvallen zat. Als reden voor de aanval gaf het collectief de slechte service van Ziggo. Baloo vertelt dat KPN Ziggo toen heeft bijgestaan. “Dat is wat we doen in de telco-sector, we werken hierin samen, omdat wij morgen het doelwit kunnen zijn. Ziggo gaf ons hun informatie over de aanvallen, zodat wij onze kwetsbaarheden konden aanpakken die Anon Nazi gebruikte.”
De motivatie van de hacktivist is vaak ideologisch of politiek gedreven. Het doel is puur schade aan te richten. Ze werken vaak met grote volumes (DDos) en vallen heel gericht aan. Hacktivist ontwrichten vaak de operatie van hun slachtoffer en veroorzaken eveneens reputatieschade.
De cybercrimineel (TalkTalk, Carbanak: cyberbankrover)
Hun motivatie is helder: winst, fraude, identiteitsdiefstal of het verkrijgen van concurrentiegevoelige informatie. Een hacker die begrijpt dat hij naast het hebben van lol ook serieus geld kan verdienen, wil er meer in investeren en meer onderzoek verrichten voor zijn hacks. De cybercrimineel werkt vaak via een insider of een datalek. Hun impact is uiteraard financieel, maar kan ook te maken met schending van privacy van klanten of het verlies van intellectual property.
De State Actor (Belgacom, SONY)
Heeft doorgaans een geo-politiek doel of doet aan economische spionage. Het zijn bijzonder goede aanvallers die niet makkelijk te ontmaskeren zijn. Hun bedreiging is dus geavanceerd en volhardend omdat ze genoeg tooling, middelen en tijd hebben. Het veroorzaken of vergroten van economische en politieke instabiliteit is meestal hun doel.
