Jaya Baloo, Chief Information Security Officer (CISO) van KPN, werkte van 1998 tot 2002 bij KPN. Daar moest ze vertrekken met het schrappen van de internationale activiteiten door Ad Scheepbouwer. Ze werd freelancer, werkte voor France Telecom (Orange) en Verizon Business in beveiliging, om in 2013 glorieus terug te keren naar KPN als hoogste bazin voor beveiliging. Peter Olsthoorn praat in de maarteditie van ICT/Magazine met haar.
De KPN-topvrouw is blij dat het bedrijf terug is als voorloper op technisch gebied. “We worden op een aantal terreinen weer, de beste in de markt en niet langer vooral door marketing gedreven.”
Hoe dat in zijn werk gaat?
“De apparatuur in ons eigen netwerk testen we zelf uitvoerig. Leveranciers en fabrikanten moeten zich veel meer inspannen op security testen voordat ze producten over de toonbank schuiven.”
Baloo’s medewerkers zijn verdeeld over de drie fasen van de security lifecycle: preventie, detectie met een Red Team en response met het Cert-term. ” Ik heb dus een strategie- en beleidsteam om te voorkomen, een Red Team van ethische hackers om proactief te detecteren en voor reactie en bestrijding een Computer Emergency Response Team (Cert). Dan hebben we een gezamenlijk Joint Secure Operations Command die reactief detectie en response doet. We richten ons op het minimaliseren van de ruimte tussen die kwetsbaarheden en incidenten.”
Datalekken en tappen
“KPN introduceert ook middelen om massa-interceptie, oftewel sleepnetpraktijken, tegen te houden met de producten als de Blackphone van Silent Circle in Zwitserland, uiteraard zelf uitgebreid getest. Volgens Baloo moet de aangeboden hard- en software veilig zijn, zodat boeven en inlichtingendiensten er geen misbruik van kunnen maken.
“De Blackphone hanteert peer-to-peer encryptie. De sleutels worden louter bij de twee communicerende partijen vervaardigd, voor elke sessie opnieuw. Dat staat in de app en is niet te onderscheppen. Dit is ook allemaal gebaseerd op opensource software. Dit is de ideale manier om mensen zelf hun beveiligingsniveau optimaal te laten regelen. Anders kunnen we blijven praten over beveiliging en privacy, maar blijft er argwaan.”
Volgens de topvrouw is er bij bedrijven en personen die groot belang hechten aan vertrouwelijke informatie en communicatie veel behoefte aan dergelijke oplossingen. Daarom biedt KPN ze ook aan. “Sleepnetpraktijken worden gebruikt in heel veel landen waar onze klanten heen reizen om zaken te doen. Ze hoeven geen speciaal toestel of hardware te kopen, maar kunnen nu gewoon de app gebruiken om ongewenste onderschepping te voorkomen.”
Lees het hele interview met CISO Jaya Baloo van KPN door Peter Olsthoorn online of in ICT/Magazine van maart.