CISO KPN: Hard- en software van leveranciers vaak onveilig

Jaya Baloo, Chief Information Security Officer (CISO) van KPN, werkte van 1998 tot 2002 bij KPN. Daar moest ze vertrekken met het schrappen van de internationale activiteiten door Ad Scheepbouwer. Ze werd freelancer, werkte voor France Telecom (Orange) en Verizon Business in beveiliging, om in 2013 glorieus terug te keren naar KPN als hoogste bazin voor beveiliging. Peter Olsthoorn praat met haar.

 

Hoe raakte u in beveiliging verzeild?

“Beveiliging beweegt zich altijd tussen vertrouwelijkheid, integriteit en beschikbaarheid van systemen. Ik begon bij KPN met het laatste, de spullen en netwerken moesten het doen. Oersaai als alles het doet, maar die andere twee fascineerden me. Alles doet het nu altijd. Mijn dochter van twee weet hoe de mobieltjes en tablets werken. Ze kent ook onze pincodes. De oudste twee – acht en zes – weten onze pincodes maar bekommeren zich nu om beveiliging.”

jaya Baloo

Geestig, de hoogste beveiligingsbaas van KPN geeft pincodes aan kinderen. Goed voor het imago?

“Die apparaten zijn puur privé. En de jongens leren al feilloos hoe belangrijk beveiliging en privacy zijn. Jong bewust worden is zo belangrijk. Ze weten wat ze doen. Ze spelen met Codable, om te leren programmeren. Kinderen moeten leren wat software doet. Ze spelen met Minecraft om het delen van hun informatie te doceren. Als kinderen leren lezen moeten ze beveiliging en privacy ook leren. Programmeren ook, ja. Ik gaf de oudste een Raspberry Pi, maar hij is nu obsessief bezig met voetbal en dat is wel zo gezond.”

 

Wat doen de veertig mensen van uw team?

“Ze zijn verdeeld over de drie fasen van de security lifecycle: preventie, detectie met een Red Team en response met het Cert-term. Ik heb dus een strategie- en beleidsteam om te voorkomen, een Red Team van ethische hackers om proactief te detecteren en voor reactie en bestrijding een Computer Emergency Response Team (Cert). Dat zijn excellente personen voor de uitschakeling van dreigingen. Dan hebben we een gezamenlijk Joint Secure Operations Command die reactief detectie en response doet. We richten ons op het minimaliseren van de ruimte tussen die kwetsbaarheden en incidenten.”

 

Komen we bij Edward Snowden die bevestigde wat we al vijftien jaar weten via het Echelon-rapport: de NSA tapt alles af. Hij vindt dat massaal data tappen niet nodig is voor terrorismebestrijding. En u?

“Ik denk dat wettelijke aftapverplichtingen duidelijk zijn. Alles wat daarbuiten gebeurt daar ben ik tegen. KPN introduceert ook middelen om massa-interceptie, oftewel sleepnetpraktijken, tegen te houden met de producten als de Blackphone van Silent Circle in Zwitserland die we uiteraard zelf uitgebreid getest hebben. Onze hard- en software voor klanten moet veilig zijn, zodat zowel boeven als inlichtingendiensten zoals de Britse CHGQ er geen misbruik van kunnen maken om alsnog te kunnen binnendringen en afluisteren.”

 

Maar al die sleutels liggen toch bij de NSA?

“Nee, de Blackphone hanteert peer-to-peer encryptie met het ZRTP-protocol van Phil Zimmermann, die medeoprichter is van Silent Circle. De sleutels worden louter bij de twee communicerende partijen vervaardigd, voor elke sessie opnieuw. Dat staat in de app en is niet te onderscheppen. Dit is ook allemaal gebaseerd op opensource software. Dit is de ideale manier om mensen zelf hun beveiligingsniveau optimaal te laten regelen. Anders kunnen we blijven praten over beveiliging en privacy, maar blijft er argwaan.”

 

Is er behoefte aan in de markt?

“Alle bedrijven en personen die groot belang hechten aan vertrouwelijke informatie en communicatie, zoals ook advocaten en journalisten. Sleepnetpraktijken worden gebruikt in heel veel landen waar onze klanten heen reizen om zaken te doen. Ze hoeven geen speciaal toestel of hardware te kopen, maar kunnen gewoon de app gebruiken om ongewenste onderschepping te voorkomen.”

 

Is dat niet onwettig? De telecomwet verplicht jullie alle diensten aftapbaar te leveren. Terroristen en misdadigers zijn de eerste gebruikers.

“Ik ontken niet dat het gevoelig ligt. In de jaren 20 zeiden mensen dat je met nieuwe snelle auto’s makkelijker een bank kon overvallen. Bij technische innovaties snijdt het mes vaak aan twee kanten. Overigens is de app niet van KPN. Het is een zogenaamde ‘over-the-top’-dienst die wij doorverkopen. Het is al beschikbaar op de markt. Dus we overtreden de wet niet.” (Red: vorige week, 18 maart, verklaarde de rechter de zogenaamde bewaarplicht ongeldig.)

 

Vinden Justitie en de Cyber Security Raad het prettig dat KPN hier ook boeven mee helpt? KPN heeft samen met terrorismebestrijding het voorzitterschap van de Cyber Security Raad. Eelco Blok, is co-voorzitter van de Raad, die over nationale veiligheid waakt.

“De Cyber Security Raad acteert op een hoger niveau. Om samen te kijken hoe Nederland veiliger te maken is, door samenwerking met alle partijen. Ingeval van acties van kwaadwillenden delen we informatie over de praktijk en middelen die zij inzetten. Daar sta ik ook voor.”

 

Welke discussies voert u met High-Tech Crime Unit, politie, AIVD, terrorismebestrijding? Wat willen zij en waar liggen uw grenzen?

“We helpen elkaar waar mogelijk en nodig. Het is voornamelijk informatie delen over aanvallen en methoden simpelweg omdat niemand dit alleen kan doen. Je moet verschillende informatiebronnen hebben om de cyber wapenwedloop überhaupt aan te kunnen.”

 

Twee handen op één buik, KPN en de nationale beveiliging?

“De Cyber Security Raad is een heel breed gremium, met behalve overheden en bedrijven ook academici. Een niveau lager ben ik actief. Wij hebben dagelijks contact met het Nationaal Cyber Security Center.”

 

De veiligheidsbelangen van bedrijfsleven en overheid lopen parallel?

“Ja, soms wel. Dan is het goed dat we informatie kunnen delen over zaken als malware, misbruik, inbraak, indicatoren van storingen en aanvallen. Hoe maken we netwerken veiliger? Daarin is geen concurrentie. We worden samen sterker.

De NCSC heeft een nationaal detectienetwerk om informatie te delen en een nationaal responsnetwerk om snel te acteren. Ook internationaal. De NCSC organiseert hier dit jaar in april de Global Conference on Cyberspace. Er is veel samenwerking, gestuurd vanaf het hoogste niveau van overheden en bedrijfsleven.”

 

CEO Eelco Blok is medevoorzitter van die Raad, maar heeft natuurlijk geen tijd. Gaat u in zijn plaats?

“Nee, hij neemt dat heel serieus en gaat zelf naar vergaderingen. Hij gaf recent een rondleiding bij ons nationaal Service Quality Center in Hilversum, die wij hadden opgezet. Ik heb ontzettend veel steun van Eelco, Hij maakt het voor mij makkelijk om binnen KPN beveiligingsmaatregelen door te voeren. De Raad van Bestuur beseft dat beveiliging onze positie bij klanten veel sterker maakt en voert het beveiligingsbeleid. Wij voeren het uit en zijn sparringpartner”

 

Wat zijn grote bedreigingen voor de netwerken van KPN? Chinese overheid, NSA, ‘carders’, bedrijfsspionage?

“De motivaties van aanvallers kunnen heel divers zijn. Winstbejag, politiek of plezier, maar dat weet je pas achteraf. En ook nog vaak niet zeker. Ik maak me de grootste zorgen om de kwetsbaarheden die binnenkomen met aangekochte hard- en software. Wij ontdekken fouten waar garanties voor veiligheid van leveranciers dus niet worden waargemaakt. Mijn Red Team test alles voor alle vitale delen van onze infrastructuur en wat wij leveren aan klanten. Dat kost veel tijd en energie. Het is zo veel en zo complex dat ik zou willen dat leveranciers zelf hun verantwoordelijkheid opschroeven.”

 

De NSA streeft naar zo veel mogelijk achterdeuren op apparatuur. Zelfs de Ams-IX kan niet controleren of haar Foundry apparatuur uit Amerika volkomen veilig is…

“De apparatuur in ons eigen netwerk testen we zelf uitvoerig. Leveranciers en fabrikanten moeten zich veel meer inspannen op security testen voordat ze producten over de toonbank schuiven. We kunnen niet alles checken, want we bezitten de initiële broncode van de software niet. Als we die wel hebben, kan die onderweg nog veranderd zijn op de apparatuur zelf en kan alsnog veranderen met een andere configuratie. Het is buitengewoon complex om broncode van software te verifiëren. Dat neemt niet weg dat je het alsnog moet testen en moet proberen het veiliger te maken. Dat doen we dus ook. Het Red Team houdt zich ook daarmee bezig.”

 

Je hebt externe hulp nodig. In Silicon Valley worden white hackers bedankt en betaald. Bij KPN ook?

“Ja, wij ook: ze krijgen een ontzettend gaaf T-shirt, bedrukt met daarop ‘I hacked KPN and all I got was this lousy T-shirt’. Het belangrijkste is dat wij ze verwelkomen. Toen ik binnenkwam was KPN nog bang voor het woord ‘hacker’, ook vanwege de inbraak van die zeventienjarige jongen. Dat heb ik veranderd. Ik denk dat een hacker heel positief kan bijdragen.”

 

Kan deze jongen z’n taakstraf bij KPN uitvoeren of hier in dienst komen?

“Zijn vaardigheden waren niet precies waarnaar wij zochten. Maar ik heb enkele hele goede hackers in mijn team, die ook zogeheten ‘zero day kwetsbaarheden’ hebben gevonden. Iedereen in mijn team kwamen binnen via mond-tot-mond informatie. In het circuit kent men elkaar.”

 

U bent op Facebook verbonden aan Rop Gonggrijp, de vermaarde hacker en Brenno de Winter, privacyjournalist. Vindt de AIVD dat leuk?

“Ik ken ze goed en beiden zijn heel gerespecteerd in hun vak. Ik spreek ze graag en ik kan het ook heel goed vinden met de AIVD. Ook bij politie, justitie en inlichtingendiensten zitten hele aardige mensen. Als je op de mensen zelf laat aankomen, is dit een hele leuke wereld. Er zijn ook heel veel niet-leuke mensen die voor hele leuke organisaties werken. Ik beoordeel iedereen persoonlijk, niet op basis van z’n visitekaartje.”

 

Hoe denkt u over terughacken?

“Persoonlijk ben ik er tegenstander van. Hoe kunnen wij straks bij een aanval over onze netwerken zien of die wordt uitgevoerd door politie, een geheime dienst of door een crimineel? Bovendien houdt het een zero day markt voor kwetsbaarheden in stand waar wij allemaal zwakker van worden.”

 

U krijgt straks eerst een telefoontje van justitie dat ze gaan hacken?

“Als het een wettelijk bevel is, dan moet en zal KPN meewerken. Maar hoe gaan ze die aanvallen op vermeende boeven uitvoeren? Via bekende kwetsbaarheden of via zero day kwetsbaarheden? Die worden dan in stand gehouden door deze partijen, terwijl KPN en andere netwerkbeheerders die zo snel mogelijk willen bestrijden voor zichzelf en hun klanten.”

 

Ik vernam via-via dat de AIVD in vrijwel elke PC kan komen in geval van nood? Een geruststelling in geval van nood of gevaarlijk?

“Dat heb ik nooit gehoord en kan dat niet bevestigen. Ik heb in mijn groep hele getalenteerde hackers, maar die kunnen ook niet bij alles binnendringen. Je kunt je beginnen te beschermen met een goed geconfigureerde firewall en antivirus en alles wat je communiceert doen met encryptie.”

 

Antivirus werkt toch niet?

“Ik houd mijn mening niet voor me. De meerderheid van antivirus programma’s is niet in staat om je 95 procent detectie van virussen te bieden, hooguit 60 tot 70 procent. Antivirus is dus niet de ‘silver bullet’. Daar kan ik wel een uur lang over praten. En toch moet je streven naar die 95 procent of meer. Ik investeer niet alles in preventie, maar ook in detectie en bestrijding, want je kunt beveiligingsproblemen niet voorkomen.”

 

KPN heeft 16.000 werknemers. Die moet je controleren, kunnen malafide zijn. Spioneren jullie intern?

“Nee, we hebben goede identiteit en access managementsystemen. We loggen en monitoren wel om misbruik daarin te detecteren. We rapporteren dat aan de Raad van Bestuur. We hebben integriteitsprogramma’s voor de werkvloer en integriteits-officers, die acteren bij concrete aanwijzingen. Dat is mijn taak niet. Maar ik ga uit van het goede in mensen.”

 

U was tien jaar weg bij KPN. Wat was er veranderd?

“Ik herinner me KPN als een ontzettend gaaf bedrijf om te werken, heel innoverend. Ik werd overtollig toen Ad Scheepbouwer ging reorganiseren. Hij schrapte veel internationale activiteiten. Jammer, want KPN International Consultancy was zo gaaf.”

 

Waarom?

“Meer techniek dan marketing. We liepen technisch voorop in Europa en timmerden daarmee internationaal aan de weg. Ik werkte voor bijvoorbeeld Cesky Telecom, waar KPN 55 procent in had. In Ierland hadden we ook deelnemingen en een internationaal georiënteerde onderzoekstak. Het was zo enerverend om daar markten op te bouwen. Daarna is er een correctie gekomen richting vergroting van omzet en winst, dus meer marketing. Dat was volgens mij een overcompensatie. Toen ik terugkwam was KPN technisch niet meer zo ‘bleeding edge’. Ik zie nu dat we daar langzamerhand weer op terugkomen. We worden op een aantal terreinen weer ‘bleeding edge’, de beste in de markt en niet langer vooral door marketing gedreven.”

 

Scheepbouwer redde het bedrijf, maar hoefde niet voorop te lopen?

“Ik vind het moeilijk om over Scheepbouwer te praten, want ik was er niet toen hij actief was en hoor alleen veel meningen. Eelco is zeer gedreven om KPN behalve commercieel ook technisch de eerste de beste te maken op alle gebieden. Dat is ons onderscheid. Hij staat er zelf voor om bijvoorbeeld ook in beveiliging voorop te lopen. Daar is hij heel duidelijk over.”

 

Ten koste van gladde marketing?

“Ik houd niet van ‘ten koste van’. Neem een Dilbert strip met een marketingman die vraagt waarom technici de overhand hebben. Het antwoord: omdat we alles maken. Waarop de marketingman zegt: je moet dat wel verkopen. Je hebt beide nodig. Een technicus bouwt VoDSL, maar welke Telegraaflezer koopt er nu VoDSL? Dan heb je slimme marketing nodig. Tien jaar geleden werd er niet genoeg geluisterd naar de markt, nu beter.”

 

Welke mogelijke volgende carrièrestappen ziet u voor uzelf?

“Het liefst ga ik door als CISO. Bij KPN heb ik nog zeker enkele jaren boeiend werk te verrichten in deze functie. Mijn ambities zijn niet gering. De middelmaat is niet genoeg. Ik wil de beste beveiligingsafdeling van Europa hebben. Aantonen dat we het beste team hebben en externe erkenning krijgen. Bijvoorbeeld bij de Cyberlympics en andere hackwedstrijden. Met m’n verdere loopbaan ben ik niet zo bezig, omdat ik het bij KPN naar mijn zin heb. Het liefst zou ik ook meer tijd hebben voor de kinderen, want ik zie soms door de bomen het bos niet meer, zo druk is het. Ook meer tijd om ideeën te ontplooien. Want ik heb genoeg ideeën, maar ik heb niet genoeg tijd om die te realiseren.”

 

Geen loopbaanplanning. Stel, mevrouw Kroes klopt aan met haar startup-club in Amsterdam?

“Lijkt me echt heerlijk om te doen. Maar zo zijn er legio functies die me geweldig lijken, als het maar op het gebied is van digitale veiligheid. Maar mijn weg ligt nu hier. En bij KPN hebben we nog veel wensen voor innovatie. Er zijn hier nog zoveel mogelijkheden.”

 

Geef een reactie

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

Gerelateerde berichten...

X