KPN is bloedserieus als het om digitale veiligheid gaat

KPN heeft dit jaar een aantal maatregelen genomen om de IT-systemen te verbeteren en veiliger te maken. Ook werkt het bedrijf aan het verder vergroten van de bewustwording onder zijn mensen. Aanleiding was een hackincident waarmee KPN begin 2012 te maken kreeg.

Met de uitvoering van de maatregelen heeft KPN digitale veiligheid van de diensten en de bescherming van klantgegevens volgens eigen zeggen tot een belangrijke strategische prioriteit gemaakt. KPN realiseert zich dat het verder vergroten van de digitale veiligheid een proces is dat permanent aandacht vergt. De in 2012 getroffen maatregelen vormen de basis om in de komende jaren de weerbaarheid op de digitale snelweg verder te vergroten.

Hackincident

Meteen na het constateren van het hackincident begin 2012 is de beveiliging van IT-systemen en klantgegevens integraal en strategisch onder de loep genomen. Wat de directe beveiliging betreft, worden alle IT-systemen nagelopen op kwetsbaarheden, en waar nodig maatregelen genomen. Tevens worden er scans uitgevoerd om kwetsbaarheden in de netwerken van KPN te ontdekken. Dergelijke scans zullen periodiek worden uitgevoerd. Een andere maatregel rond de IT-veiligheid betreft projecten die ervoor moeten zorgen dat alle IT van KPN voldoet aan internationale securitystandaarden. Het gaat dan om alle netwerken, servers, applicaties en websites van KPN.

Transparant

Verder is een speciaal incidentproces ingericht voor securityproblemen, zodat deze gestructureerd en effectief worden opgepakt en opgelost. Daarbij is een belangrijk principe dat KPN volgens eigen zeggen transparant is wanneer zich een incident voordoet waarbij veiligheid van klantgegevens in het geding is. KPN realiseert zich dat 100 procent veiligheid op de digitale snelweg niet te garanderen is, en richt daarom zijn systemen en processen zo in dat als zich een incident voordoet, er snel kan worden ingegrepen om eventuele schade voor klanten en KPN tot een minimum te beperken.

Bewustwording

KPN heeft ook een aantal stappen gezet om de bewustwording onder personeel verder te begroten. Zo werd bijvoorbeeld in november voor alle medewerkers van KPN een week over integriteit en veiligheid georganiseerd. Het doel was om het interne bewustzijn van integriteit en veiligheid te vergroten en medewerkers te laten zien dat iedereen daar een belangrijke rol in heeft. Tijdens deze week - waarbij CEO Eelco Blok, topmanagers en externe experts direct betrokken waren - werden medewerkers van KPN in workshops en met cases uitgedaagd op het onderwerp.

Samenwerking

In het vergroten van de digitale veiligheid van zijn organisatie zoekt KPN actief de samenwerking met andere partijen, zowel met andere bedrijven, specialistische instellingen als ook met de overheid. Op deze wijze wil KPN kennis en onderzoek delen en gezamenlijk initiatieven ontplooien om zo op nationaal en internationaal niveau een bijdrage te leveren aan het verhogen van de digitale veiligheid. Zo speelt KPN een actieve rol in de Cyber Security raad, waarvan CEO Eelco Blok co-voorzitter is. Met de hoofdvestiging in Den Haag is KPN ook betrokken bij The Hague Security Delta met regionale initiatieven om de digitale veiligheid te bevorderen.

Kenniscentrum

Meer recent richtte KPN samen met Alliander, DNV KEMA, TNO en de Radboud Universiteit een nieuw Europees kenniscentrum voor cyber security op, het European Network for Cyber Security (ENCS). ENCS gaat zich bezighouden met onderzoek, testen, kennisdelen en training op het gebied van internetveiligheid voor vitale infrastructuren, zoals energie, water en telecom. Het kenniscentrum helpt zo eigenaren van infrastructuren zich beter te beveiligen. KPN, Alliander en TNO waren in oktober eveneens ondertekenaar van de wereldwijde principes van het World Economic Forum. Deze hebben als doel de digitale weerbaarheid van zowel de eigen organisatie als die van anderen te verhogen. Met het mondiale karakter van deze principes ontstaat een wereldwijd netwerk van organisaties die op bestuursniveau maatregelen treffen om te borgen dat de door hun gebruikte informatietechnologie veilig is.

Veiligheidslekken

Ook in het signaleren van veiligheidsrisico’s of lekken haalt KPN de buitenwereld naar binnen. Zo is er sinds november een meldingsprocedure via het meldingsloket. Het blijkt namelijk dat personen die een lek tegenkomen vaak te goeder trouw zijn en willen helpen het lek te dichten. Met een meldingsprocedure voor gewetensvolle hackers - de Responsible Disclosure-procedure - biedt KPN sinds kort een laagdrempelig loket om een beveiligingslek te melden en gegevensmisbruik te voorkomen. Veiligheidslekken melden kan via het klantengedeelte van kpn.com en via de corporate website van KPN. Meer in het algemeen zoekt KPN steeds meer de actieve samenwerking met externe internetspecialisten en gewetensvolle hackers. Gedacht kan worden aan situaties waarbij deze experts uitgenodigd worden om onze systemen te testen of workshops om de deskundigheid te bevorderen.

CIO Office

Verder heeft KPN op organisatorisch vlak maatregelen genomen om de besturing van IT te versterken. Zo is onlangs het CIO Office ingericht. Het CIO Office richt zich onder meer op IT security, IT-architectuur en de besturing van grote leveranciers. Deze unit komt onder leiding van de nieuwe chief information officer Bert van Barneveld die per 1 september jongstleden deze rol op zich heeft genomen. Bert van Barneveld heeft een zeer brede en langdurige ervaring in de IT in internationaal opererende bedrijven. Daarbij heeft hij in verschillende rollen geopereerd (interim-CEO, consultant, outsourcing expert). Zijn doel is de diversiteit aan IT-systemen te vereenvoudigen tot één logisch architectuursysteem. Binnen het CIO Office is daarnaast Jaya Baloo per 1 oktober jongstleden aangesteld als chief information security officer. Zij was hiervoor werkzaam bij Verizon Business en heeft een groot aantal internationale bedrijven geadviseerd. Met deze nieuwe functie krijgt KPN volgens eigen zeggen een heldere eenduidige aansturing van alle aspecten die met IT veiligheid te maken hebben. Voorafgaande aan de benoeming van Baloo had KPN eerder dit jaar al een Security Operations Center opgezet. Net als de wijze waarop KPN het telecomnetwerk 24 uur per dag in de gaten houdt, worden nu ook de verkeersstromen rond de eigen internetnetwerken en IT-systemen 24 x 7 bewaakt.

KPN realiseert zich terecht dat 100 procent veiligheid op de digitale snelweg niet te garanderen is, en richt daarom zijn systemen en processen zo in dat als zich een incident voordoet, er snel kan worden ingegrepen om eventuele schade voor klanten en KPN tot een minimum te beperken. De tijd zal moeten uitwijzen of de waslijst aan preventieve, corrigerende en personele maatregelen afdoende is om nieuwe veiligheidsincidenten te voorkomen.

BTG: Verbinding, verbreding en verdieping

Branchevereniging ICT en Telecommunicatie Grootgebruikers (BTG) behartigt de belangen van Nederlandse bedrijven en instellingen door kennis over te dragen en ervaringen uit te wisselen o.a. tijdens events

BTG in beeld en geluid

Expertsessies

Magazine

BTG in Business - Najaar 2021
Lees de laatste editie

Meld je aan voor onze nieuwsbrief!

Op de hoogte blijven van evenementen en het laatste nieuws? Schrijf je dan nu in voor onze nieuwsbrief.
  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.