Tech

Jaya en haar jagers hacken de baas voor de kost

Chris Koenis • 05 november 2016 12:30 @chriskoenis

De Amerikaanse Baloo (42) werd door KPN ingelijfd na een grote hack. Beeld © Chris Koenis

Nederlandse bedrijven en ondernemers - groot én klein - zijn bijzonder in trek bij hackers, zegt securitybaas Jaya Baloo van KPN. Ze legt uit hoe zij de telecomreus veilig houdt en geeft direct vijf belangrijke tips wat je als ondernemer zelf kan doen. "Kijk door de ogen van een aanvaller."

Ze praat snel, enthousiast, weet van wanten en is nooit bang om stelling te nemen. De Amerikaanse Jaya Baloo (42) werd in oktober 2012 door KPN ingelijfd als Chief Information Security Officer (CISO) en is zonder twijfel de meest kleurrijke vrouw in de Nederlandse tech scene

We ontmoeten haar op de achtste verdieping van één van de bijgebouwen van het iconische hoofdkantoor van KPN aan het Maanplein in Den Haag. 

Thumbnail

Het megakantorencomplex werd onlangs verkocht, KPN verhuist naar Rotterdam. (foto: Chris Koenis)

Daar zetelt de forensische cyber security unit van het telecombedrijf. Haar team van security-experts - die ze constant haar dudes noemt - telt binnenkort 51 mensen en is verantwoordelijk voor alle informatiebeveiliging van KPN en haar klanten.

Klanten aanvallen als jagers

De afdeling werkt nauw samen met het Security Operations Center (SOC) dat in Hilversum 24/7 de complete ICT-infrastructuur bewaakt en een team van 15 ethische hackers, het zogeheten REDteam in Amsterdam. De beveiliging werd stevig opgeschroefd nadat KPN in januari 2012 zelf in ernstige verlegenheid werd gebracht toen een zeventienjarige hacker inbrak op honderden servers van het bedrijf. Hoewel de gevolgen meevielen, was de hack volgens Baloo een wake-up call.   

Thumbnail

In Hilversum monitoren zo'n 50 medewerkers het klokje rond alle netwerken (foto: KPN).

Het REDteam telt hackers uit Australië, Turkije, Bulgarije en de VS. Zij zijn grofweg zestig procent van de tijd druk bezig met het plaatsen van geavanceerde cyberaanvallen op producten, diensten en netwerken van ​KPN zelf. In de overige uren richten ze hun pijlen op klanten, veelal multinationals en organisaties in de publieke sector. Het doel is nieuwe hard- en software en ook de organisatie zelf testen op bugs, zoals kwetsbaarheden in dit vakgebied aangeduid worden.

"Ik noem het mijn jagers: go out and hunt - en kom nooit met lege handen terug", zegt Baloo in afwisselend Nederlands en Amerikaans. "Je vindt altijd wat, als je maar lang genoeg zoekt."

Aanvallers in kaart

Nederland heeft een buitengewone 'internetdichtheid', met veel internetaansluitingen, hostingpartijen en een hypermodern internetknooppunt. Baloo: "Dat zorgt ervoor dat wij continu een target zijn. Tegen wie je jezelf moet beschermen moet je categoriseren. De motivatie van hackers gaat van fun, naar profit, naar politics."

Op het whiteboard achter haar tekent ze het uit:

1. Amateur (ook wel 'script kiddie' genoemd, hackt voor de lol of uit baldadigheid)
2. Hacktivist (hackt uit protest om een organisatie publiekelijk aan te pakken)
3. Cybercrimineel (pleegt misdrijven met maar één doel: geldelijk gewin)
4. Door de staat gesponsorde hacker (betaald door een overheid, hackt andere landen of bedrijven om politieke redenen)

Maar wanneer is er sprake van een aanval? Baloo: "Wij tellen een portscan al. Daarbij scant een aanvaller vooraf de hele infrastructuur en dat doen ze allemaal altijd. Het is de eerste stap van de kill chain." Met dat laatste doelt ze op het verdedigingsmodel dat securitybedrijven hanteren tegen internetcriminelen.

Thumbnail

Jaya Baloo wil dat gekochte ICT-apparaten 'tot op het chipniveau veilig zijn'. (foto: Chris Koenis)

Baloo: "Kijk door de ogen van een aanvaller. Ik vind dat wij een bepaalde verantwoordelijkheid hebben om daar best ver in te gaan. Dat mag je verwachten van KPN. Dat verwacht ook onze Raad van Bestuur zodat ons bedrijf, dat eind 19e eeuw is opgericht, door kan gaan voor de volgende honderd jaar."

'Maak leveranciers aansprakelijk'

Een groot probleem daarbij is de verantwoordelijkheid van leveranciers, stelt ze. "Ook wij in Europa blijven awesome hardware en software integreren en accepteren nog te vaak dat er producten op de markt komen met gebrekkige security. No way dat die geen bugs bevatten. We moeten hier in Europa dus leveranciers veel beter op hun verantwoordelijk aanspreken. Zij zouden zelf hun producten moeten testen."

Om vervolgens nog een stap verder te gaan. "Een echte oplossing zou het zijn wanneer ze aansprakelijk worden voor de veiligheid van hun eigen producten en diensten. Wij bij KPN hebben immers ook een verantwoordelijkheid als netwerk- en IT-leverancier. De transportsector heeft dat, de gezondheidszorg, iedereen! Behalve hard- en softwareverkopers. Iedereen koopt in, net als wij. Dus de makers moeten ook security regelen."

Thumbnail

De wall of fame van externe hackers die KPN op kwetsbaarheden wezen. (Foto: Chris Koenis)

Baloo's beveiligingstips

Dat neemt niet weg dat je zelf ook als ondernemer je digitale zaken op orde moet hebben. En het zijn simpele dingen, aldus KPN's securitybaas. "Om te beginnen maak je een risicoprofiel. Dus: welke data heb je, voor wie kan dat interessant zijn en hoe goed is het beveiligd? Dit risicoprofiel kun je extern laten checken. Ik vind het fijn om die feedback te krijgen."

Vervolgens zorg je dat je de volgende vijf hoofdzaken geregeld hebt:

1. Patches up-to-date

"Veel bedrijven weten niet eens wat ze in huis hebben qua software. Of hoe ze dat als beheerder automatisch updaten. Maar dit is de eerste stap: zorg dat je altijd up-to-date bent met de laatste patches [snelle, tijdelijke softwarereparaties -red.] en releases."

2. Endpoint protection

"Standaard anti-virus is goed. Maar nog beter is endpoint protection, dat ook mobiele apparaten beschermt. De clue is: iedereen heeft smartphone met waarschijnlijk ook e-mail erop. En hoeveel bedrijven hebben endpoint-beveiliging op die devices? Smartphones hebben zelf zeker geen anti-virus en er is zelden MDM [Mobile Device Management]. Dus mensen nemen wel anti-virus op hun pc maar niet op hun smartphone of tablet. Kijk hoe je die data beheert: wat gebeurt er als een medewerker weg gaat? Wordt alle e-mail automatisch gewist van een telefoon? Kijk naar die hele datacyclus."

3. Twee backups

"Je moet echt alles backuppen: online én offline. Zeker in het MKB. Als voorbeeld geef ik de penningmeester van een voetbalclub, die aangevallen was door ransomware [sofware die je pc gijzelt]. Zijn pc, met daarop de betaalgegevens van alle leden, zat op slot. Omdat hij geen backup had gemaakt raakte hij alles van de afgelopen acht jaar kwijt."

4. Encryptie 

"Versleutel al je data. Dus zowel data op je harde schijven die niets doen, als data die in beweging is. Denk na: als je in het buitenland op je laptop zit voor werk, dan stuur je gegevens terug naar Nederland. Gebruik dus een VPN-verbinding [Virtual Private Network] zoals F-Secure Freedome.

Veel is tegenwoordig al geregeld in de cloud, maar not all clouds are created equal. Data mag je niet zomaar overal stallen. Gebruik je diensten van Google of Microsoft: check dan in de gebruikersvoorwaarden wie je daarmee toegang geeft, is het versleuteld en wie heeft de sleutel?"

5. Veilige wifi-verbinding

"Kleine ondernemers vergeten vaak hun wifi-verbinding te beveiligen. Al is dat ook de schuld van de makers: je wordt nog altijd niet geacht om meteen een nieuw wachtwoord aan te maken als je bijvoorbeeld een router koopt. Die staat standaard ingesteld met de user default credentials, zoals bijvoorbeeld 'admin' en 'welkom01'. Maar die kun je als aanvaller gewoon googelen en dan ben je binnen. Het is idioot dat ze iedereen dezelfde credentials toesturen. Zorg dus direct bij het in gebruik nemen dat je een nieuw en sterk wachtwoord invoert."

Deze week is het Techweek op RTL Z. Met veel extra verhalen over de laatste technologische trends. Lees ze hier allemaal terug.

Bron • RTL Z / Chris Koenis