Eind september was KPN CISO Jaya Baloo gastspreker bij het Data Science Center in Eindhoven. Op de High Tech Campus sprak ze bijna anderhalf uur lang in een moordend tempo in vlekkeloos Amerikaans over it-securitystrategie.
Met een flinke dosis humor en zelfreflectie. ICT/Magazine was erbij en als het onderwerp niet zo ernstig was, zouden we haar optreden bijna afficheren als een ‘one-woman-show’.
16 jaar
Baloo begint haar betoog met de wake-up call die KPN kreeg in 2012. “In 2012 realiseerden wij ons plotseling dat het geen kwestie is óf je wordt gehackt, maar wanneer. Dat jaar werd KPN gehackt door een 16-jarige jongen en niemand had enig idee hoe dat mogelijk was. Hoe had die jongen toegang kunnen krijgen tot 300 verschillende systemen? KPN heeft geen juridische stappen ondernemen tegen deze jongen. Eelco Blok, CEO, zei dat het te ver ging om de jongen te bedanken voor deze heldere waarschuwing, maar in wezen was dat wel wat het was. Ik zou die jongen overigens wel willen bedanken, omdat ik nu bij KPN werk dankzij zijn hack.”
Naming and shaming
Iedere setup van security begint met die ene fundamentele vraag: wat moeten we beschermen en tegen wie? De opzet van de KPN it-securitystrategie is pragmatisch. Baloo moet proberen om slechte dingen te voorkomen, maar tegelijkertijd weet ze dat ze daar niet in zal slagen. “Mijn uitgangspunt in security is dat het misgaat. Ik ga ervan uit dat we op dit moment worden gehackt en dat ik mij daartegen zal moeten verdedigen. Wanneer je ervan uitgaat dat het misgaat, ben je veel beter voorbereid wanneer het daadwerkelijk gebeurt. Je richt je aandacht dan op het detecteren van bedreigingen, ook als je ze niet kunt tegenhouden. Na het detecteren moet een respons volgen, en wel zo snel mogelijk. Vervolgens verifieer je of dat ook daadwerkelijk is gedaan door de hele organisatie van 20.000 mensen. De enige twee dingen waar ik vanuit deze pragmatische houding in ben geïnteresseerd zijn kwetsbaarheden en incidenten. Van de bekende kwetsbaarheden in mijn netwerk wil ik weten hoe lang we erover doen om ze te sluiten. Hoe langer iets open staat namelijk, hoe groter de ‘window of opportunity’ waar een hacker doorheen kan kruipen. Veel bedrijven doen er maanden over om sommige kwetsbaarheden dicht te timmeren.”
“Er zijn nog steeds bedrijven die hun netwerk open hebben staan voor Wannacry. Op welk punt wordt dit pas echt onacceptabel? Wat moet er gebeuren voordat we eindelijk zeggen: tot hier en niet verder? Ons management is op de hoogte van onze kwetsbaarheden en we communiceren open en helder, bijvoorbeeld over welke managers verantwoordelijk zijn voor incidenten en wie kwetsbare plekken te lang open laat. En dan heb ik het niet eens over de complexe zaken. Dit, het ‘naming and shaming’ is heel pragmatisch en basaal. Maar wat pas echt basaal is, is vertrouwen op compliancy. Je kunt volledig compliant zijn, maar toch op dagelijkse basis worden gehackt. Dus vergeet compliancy, dat is de bodem, het plafond is security.”
Rood en blauw
KPN maakt onderscheid tussen twee vormen van beveiliging: reactief en proactief. “Het proactieve deel van onze monitoring wordt verzorgd door onze ethische hackers”, vertelt Baloo. “Ons REDteam is in constante strijd verwikkeld met ons BLEUteam. Wij vragen beide teams, de aanvallers en de verdedigers, om ons te laten zien hoe goed zij zijn. De gedachte hierachter is dat ze daadwerkelijke ervaring opdoen met elkanders aanvallen en hun werkwijze. Als ze naast verdediging ook de aanval kennen, hebben ze wellicht een kans tegen de echte hackers. Met deze vorm van beveiliging trachten we een geheime ingang in ons systeem te ontdekken, voordat een of andere 16-jarige knul die we niet kennen dat doet.”
Hoewel ze ongetwijfeld beide vormen van beveiliging belangrijk vindt, laat Baloo er geen twijfel over bestaan welke haar voorkeur heeft. “Het reactieve deel van onze beveiliging is niet echt nieuw. Ik noem het ‘mensen die naar het scherm staren’.
Lees het hele verhaal online of in ICT/Magazine van oktober/november.
