We zijn op een hoge verdieping in een van de torens van het KPN-hoofdkantoor in Den Haag. Naambordjes van afdelingen ontbreken hier, maar we hebben een afspraak met Jaya Baloo, de Chief Information Security Officer (CISO) van KPN. Voor ons interview heeft ze een half uur vrijgemaakt in haar agenda. Dat blijkt genoeg tijd want ze is een spraakwaterval. Onderhoudend, vlot en doeltreffend maar tegelijk uiterst vriendelijk en zonder enige gejaagdheid. Jaya woont sinds een jaar of zeven in Nederland en heeft zich onze taal eigen gemaakt, wat ze onderstreept met typisch Nederlandse formuleringen of gezegden, op het juiste moment. In het gesprek schakelen we aan beide kanten ongemerkt heen en weer tussen Engels en Nederlands. ‘Als je vragen hebt, dan shoot!’
Jaya, kun je ons om te beginnen wat context geven over je werkomgeving?
‘Ik ben zo’n drie en een half jaar gegleden bij KPN aan het werk gegaan. De aanleiding voor mijn baan was een hacking-incident waarna security naar een hoger plan getild moest worden. KPN ging toen op zoek naar wat zij een Cyber Security Officer noemden. Ik heb dat vervolgens maar CISO genoemd, want dan weet iedereen wat je bedoelt. Ik had als missie KPN veilig, betrouwbaar en vertrouwd te maken voor klanten, partners en de samenleving als geheel. Om die missie te realiseren, heb ik grote vrijheid gekregen wat betreft mensen en middelen. Ik besloot daarom een compleet nieuwe beveiligingsorganisatie op te zetten voor heel KPN, die hielp om na de hack het vertrouwen weer te herstellen. Binnen KPN hanteren we een security lifecycle van vier fasen: Prevent, Detect, Respond en Verify. Preventie doen wij door de Security Strategie en Beleid zo goed mogelijk neer te zetten en te laten evolueren. Detectie doen we op twee manieren: proactief en reactief. Proactieve detectie doen mijn ethische hackers, mijn REDteam. Reactieve detectie is de taak van ons Security Operations Center (SOC). Voor de Response-fase hebben we een Computer Emergency Response Team (CERT), dat de bijnaam “bomb squad” draagt. Door de hele organisatie heen hebben we Senior Security Officers. Samen met hen zorgen we ervoor dat de security lifecycle in alle businessunits doorwerkt. In totaal hebben we iets meer dan honderd medewerkers voor de hele interne security-organisatie van KPN. Voor de duidelijkheid: dit is de beveiligingsfunctie, de auditfunctie is ondergebracht in een aparte afdeling.’
‘Verder hebben we een team voor strategie en beleid op het terrein van beveiliging. Het beleid actualiseren we meerdere keren per jaar, zodat het blijft aansluiten met de inzichten die je gaandeweg opdoet. Dat is anders dan in het verleden, toen we jaarlijkse updates doorvoerden. Maar we innoveren ook tussendoor: telkens als we kennisnemen van nieuwe bedreigingen of als we nieuwe aanvalstypen zien, nemen we die direct op in ons beveiligingsbeleid. Het beveiligingsbeleid beweegt dus voortdurend met je mee, en is meer wiki dan wet. Een andere verbetering ten opzichte van de oude aanpak is dat het beveiligingsbeleid niet meer voor verschillende uitleg vatbaar is. Ik wil graag dat het beleid volledige duidelijkheid schept en geen vertaalslagen nodig heeft. Het beleid bestaat uit een aantal lagen. Op het functionele niveau staan de standaarden. Daaronder heb je de rules, die al wat technischer zijn en vervolgens heb je de guidelines, die nog weer technischer zijn en ten slotte heb je de zeer gedetailleerde tools.’
‘Elk afzonderlijk product of dienst die KPN introduceert wordt uitgebreid aan een security-test onderworpen voordat het de wereld in gaat. Check, check, double check: we onderzoeken niet alleen of het te hacken is, maar we keren het helemaal binnenste buiten en gaan bovendien na of het geschikt is om te worden gemonitord als het in bedrijf is.’
Wat zijn je grootse uitdagingen?
‘Oh gosh! De grootse uitdaging is gelijke tred houden met aanvallen die ontwikkeld worden en alles wat er verder in de buitenwereld gebeurt. Dat gaat allemaal erg snel en het is ook veel. En als je naar de nieuwere aanvallen kijkt, dan zie je dat de kwetsbaarheden eigenlijk overal zitten. Tot voor kort was het relatief eenvoudig. Als een kwetsbaarheid aan het licht kwam, dan was dat beperkt tot, bijvoorbeeld, één type modem of één type router met een specifiek operating system. Zulke dingen. Maar nu zie je kwetsbaarheden verschijnen in allerlei reguliere componenten door de hele infrastructuur heen. Denk bijvoorbeeld aan kwetsbaarheden zoals Heartbleed of Bash. Dergelijke kwetsbaarheden zitten nu ook in de middleware, dus in de “lijm” van je infrastructuur. Dat is behoorlijk alarmerend. Het kan bijvoorbeeld ook in spullen zitten van leveranciers die van niets weten. De grootste les van Heartbleed is uiteindelijk dat we nu weten dat er geen veilig terrein meer is. We dachten altijd dat gesloten software slecht is en open-sourcesoftware goed, omdat daar zoveel ogen naar kunnen kijken. Maar nu zie je iets dat volledig open source is. Iedereen had het kunnen reviewen en toch bleek er onopgemerkt die kwetsbaarheid op de loer te liggen. En dan vraag je je af of er eigenlijk wel iemand is die goed naar al die open-sourcesoftware kijkt? Er is blijkbaar geen veilig gebied, het is uiteindelijk allemaal van dezelfde krakkemikkigheid. Leveranciers zouden meer verantwoordelijkheid voor de veiligheid van hun producten moeten nemen. Veel verantwoordelijkheid wordt afgeschoven op de eindgebruikers. Die worden onder druk gezet om antivirusprogramma’s te implementeren en iedereen moet handelen in overeenstemming met strenge wet- en regelgeving. Ook op grond van de EU cybersecurity-strategie. De enige groep die de dans ontspringt zijn de hard- en softwareleveranciers.’
Wat doet onze overheid goed en wat kan beter?
‘Goed vind ik dat ze echt de noodzaak van cybersecurity beseffen. Een mooi voorbeeld van iets waarin we internationaal gezien voorop lopen is dat we in Nederland op topniveau de publiek-private Cyber Security Raad en het Nationale Cyber Security Centrum hebben. Publiek-private samenwerking is het devies in de strijd tegen cyberdreiging. Maar ik zou ook graag zien dat de overheid een aantal standaarden voor onze samenleving zet. Gewoon aan de slag en uitspraken doen over zaken als IPv6 of DNSSec, Secure Routerings Protocollen, hardening van het mailverkeer, en eisen voor sterke cryptografie. De snelle toename van cybercrime en zaken zoals DDOS, IP & BGP hijacking, en Ransomware vraagt om een oproep tot actie. De overheid moet wat mij betreft ook de daad bij het woord voegen en aan de slag gaan om ons als digitale samenleving te verbeteren en helpen veiliger te maken. Ze moet organisaties in het veld de weg wijzen en daarbij zelf het goede voorbeeld geven. Dat betekent dus ook de standaarden en maatregelen implementeren.’
Hoe kijk je aan tegen de auditafdeling?
‘We hebben een uitstekende relatie met onze auditors en je zou kunnen zeggen dat het twee handen op één buik is. Audit houdt ons een spiegel voor en dat vind ik prima. Het uitgangspunt is dat Audit altijd gelijk heeft. Als ze iets opschrijven wat niet klopt, dan moet je het kunnen uitleggen en als je dat niet kunt, hebben zij simpelweg gelijk. Neem dus gewoon hun advies ter harte. En we hebben ook veel andere sympathisanten: de Legal-afdeling, de Privacy-afdeling, en uiteraard de Physical Security-afdeling. Je moet samenwerken, want je kunt dit niet in je eentje.’
Wat is je boodschap voor IT-auditors?
‘De slechtste audit krijg je als een auditor de materie niet echt snapt en alleen maar een checklist afloopt. Dit leidt op geen enkele manier tot een betere beveiliging of tot verbetering op welk ander terrein je ook maar onderzoekt. Dat moeten auditors dus vooral niet doen. Ik heb grote waardering voor auditors die zich werkelijk verdiepen in de inhoud en de traditionele benadering combineren met een pragmatische visie. Wat ik bijzonder waardeer bij KPN is dat we hier een sterk auditteam hebben, waar we ook goed mee samenwerken. Ze rollen hun mouwen op en staan met de voeten in de modder als dat nodig is.
Tot slot
Tijdens de NCSC-conferentie 2015 was het motto aan het eind van je toespraak: ‘Live well, laugh often and encrypt absolutely everything’. Wat wilde je daarmee zeggen?
‘Dat laatste bedoelde ik letterlijk. Zeker voor een gehoor van securityspecialisten, want het valt me op hoe weinig, zeker door die doelgroep, encryptie wordt toegepast. En verder moeten we meer plezier maken en relativeren. Dat is goed voor iedereen!’
