Beheer

Security
Oscar Koeroo

Hoe werkt jouw keten van falen?

“Soms moet je even gehackt worden; om het echt te voelen.”

Oscar Koeroo, security officer © KPN
30 oktober 2018

“Soms moet je even gehackt worden; om het echt te voelen.”

Gehackt worden, wens je anderen eigenlijk niet toe. Maar toch lijkt security-topman Oscar Koeroo van KPN het aan te raden: om het echt te voelen. Tabletop-theorie versus harde praktijk. Voor betere security. KPN weet het uit eigen ervaring.

“Never waste a good incident”, adviseert de security-expert van KPN. Want elk security-incident, van kleine hack tot grote dataramp, kan gevoed en gevoeld worden aan management. Koeroo heeft het in gesprek met AG Connect over het cruciale verschil tussen tabletop-scenario’s voor security en de harde werkelijkheid.

Wijze les

De expert die bij het team van KPN's CISO Jaya Baloo werkt aan securitystrategie en -beleid spreekt vanuit een organisatie met praktijkervaring. Als groot telecombedrijf en ISP (internet service provider) met miljoenen klanten ben je dagelijks bezig je systemen nog beter te beveiligen, legt Koeroo uit. De geruchtmakende KPN-hack van 2012 heeft was een wake-up call, en heeft veel waardevolle inzichten opgeleverd. Koeroo spreekt daar ook over op de IT DeepDive van AG Connect op 19 november in Maarssen.

“Hoe werkt jouw keten van falen?”, stelt Koeroo de kritische vraag. Het antwoord daarop moeten veel organisaties schuldig blijven. Hoe gaan zij ermee om als dingen fout gaan, als er security-incidenten plaatsvinden? En, wat in wezen nog belangrijker is: wat leer je ervan en doe je daarna dan?

Stop met brandjes blussen

De security lifecycle die KPN heeft uitgewerkt in de jaren sinds de hack van begin 2012 omvat een complex en terugkoppelend geheel van detectie en preventie, van middelen en processen. “Niet meer alleen incident response doen, wat neerkomt op telkens brandjes blussen. Maar over naar threat intelligence”, wat vergelijkbaar is met brandveiliger werken, legt Koeroo uit.

“En daar komt weer beleid uit voort.” Zo beschouwd, valt security ‘op te schalen’ van slechts een ICT-kwestie naar een bedrijfsbreed initiatief met managementaandacht en -support. Hierbij komen ook strategische vragen om de hoek kijken, zoals waar de organisatie heen wil. “Wat is je toekomst, waar wil je heen?” Antwoorden op die haast abstracte vragen hebben bepalende invloed op je infrastructuur maar ook op je security, zo weet de security-expert van KPN.

Gevolgen van 5G, agile, DevOps

Hij vertelt dat het telecombedrijf nu druk bezig is met de nieuwe generatie mobiele netwerken, zoals 5G, wat ook gevolgen heeft voor de interne infrastructuur. Breedbandige mobiele connecties ‘aan de buitenkant’, dus voor klanten van de het bedrijf, betekenen een forse verandering voor ‘de binnenkant’. Naast capaciteit raakt dat ook aan beveiliging.

Een minder telecom-gericht voorbeeld is de trend van sneller ontwikkelen en releasen van IT-middelen. “Wij doen nu aan agile, DevOps. Dat heeft gevolgen voor je tools, én voor je security.” Waar voor een bedrijf als KPN 5G de toekomst is, heeft agile ontwikkelen voor nagenoeg elke onderneming futuristische waarde.

Ondanks de meekomende complicaties of zelfs dreigende securitygevolgen, is het een geval van moeten. Moeten meegaan, en dus moeten omgaan met de consequenties. “Als je niet meegaat in de evolutie dan sterf je uit.” Tegelijkertijd, zo erkent Koeroo, wil je als organisatie ook stabiel zijn. Een ware Herakles-opgave.

Evolutie, voor licht en duister

Het verwaarlozen van de security-aspecten is minstens zo gevaarlijk als het negeren van de evoluties in je markt. De securitymarkt én de cybercrimemarkt zijn immers ook volop in ontwikkeling en je bent nooit klaar. “Als je in de tooling of featuresets van securityleveranciers iets tegenkomt waar je verbaasd over bent, dan is er vaak een goede noodzaak voor door ontwikkelingen in de tools van aanvallers”, houdt KPN’s Koeroo voor.

Digitale aanvallers zijn ook innovatief bezig, of dat nu professionele cybercriminelen zijn of ‘slechts’ een zolderkameropportunist. “Cybercriminelen willen ook efficiënt werken”, zij wegen ook hun inzet af tegen hun mogelijke winst. “De zwarte markt is ook een economie”, compleet met SLA’s, ROI, en dergelijke.

“Alles aan de light side zit ook aan de dark side.” Diverse onderzoeken door securityleveranciers maar ook door bijvoorbeeld de Technische Universiteit Eindhoven hebben de gewone bedrijfseconomische aard van cybercrime al bevestigd. Bovendien is georganiseerde misdaad, zowel digitaal als ook ‘traditioneel’, niet het enige gevaar. Een zogeheten zolderkameropportunist is namelijk min of meer wat KPN jaren terug is overkomen, met flinke security-impact.

Ook perceptie heeft gevolgen

Enerzijds nuanceert Koeroo de grote KPN-hack: aan de binnenkant van het bedrijf bleek het niet helemaal zo’n grote ramp te zijn als wat mediaberichten toen deden geloven. Anderzijds veegt hij die eigen nuancering gelijk van tafel: bepalend is hoe jouw organisatie in de media staat, wat jouw klant vindt.

Als afnemers, toeleveranciers of andere bedrijfsrelaties vertrouwen verliezen dan heeft dat zakelijke gevolgen. Dat voelt de organisatie, dat merkt het management. Terwijl bedrijven de meeste security-incidenten wel kunnen overleven, gaat dat gepaard met schade. Massale wegloop van klanten of partners is misschien niet altijd aan de orde, maar de kostenposten zijn er zeker.

Koeroo verwijst nog naar de grote datadiefstal bij een Britse telecomaanbieder. Die zag na een geruchtmakende hack een klantenvertrek van zo’n 10 tot 11 procent. Dat was aanzienlijk meer dan normaal. “De Nederlandse cultuur is wat behoudender, maar een security-incident weegt uiteindelijk wel mee.”

Digitaal + fysiek

Tel daar nog bij op de groeiende afhankelijkheid van ICT plus de verdergaande verweving van het digitale met het fysieke. De securitygevolgen van laatstgenoemde zijn pijnlijk duidelijk gemaakt door de wereldwijde impact van ransomware-infectie NotPetya. Een lamleggend security-incident dat een grote internationale containerreus door toeval heeft overleefd.

De bulkvervoerder wist zijn neergehaalde infrastructuur te herstellen dankzij een stroomstoring in Ghana. Was het afgelegen kantoor in Ghana niet toevallig offline tijdens de NotPetya-infectie dan was herstel veel moeilijker of zelfs onmogelijk geweest. Koeroo’s kritische vraag blijkt van toepassing: “Hoe werkt jouw keten van falen?” Dit omvat naast disaster recovery eigenlijk een nog verdergaande overweging: “Als álles kapot gaat. Kun je dan van scratch af aan opnieuw opbouwen?”

Ervaren

Een vraag van business continuity management. Het antwoord hierop zal voor veel organisaties te kostbaar zijn, maar een slimmere security-aanpak kan al een hoop schelen. Voorkomen is beter dan herstellen, en beperken is beter dan ondergaan. Goed voorbereid zijn, kan echter toch ondergaan vereisen. “Ik ben voorstander van zelf ervaren, in plaats van alleen ‘tabletop’.”

KOEROO OP IT DEEPDIVE

Security is anno 2018 méér dan nuttig. Naast noodzakelijk kan het ook een onderscheidende factor zijn in concurrentie met andere partijen. Security als unique selling point (USP). Oscar Koeroo geeft in een powercollege een kijkje in de CISO-keuken van KPN en hoe de chefs daar de telecomprovider sturen op gebied van informatiebeveiliging. Struikelblokken, keuzes en visie.

Meer informatie over IT DeepDive of aanmelden, kan hier.

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.