Security is een speerpunt binnen ons bedrijf. Men weet vaak wel dat het belangrijk is, maar het kan soms voelen als een ver-van-je-bed-show. Wat moet je wel of niet doen? Waar begin je?
Om die vragen te beantwoorden, organiseerden we een Community event met als thema security. Verschillende experts gaven ons een uniek inkijkje in hun werk en deelden waardevolle inzichten. Lees je mee?
Hoe zorgt KPN voor een veilig en betrouwbaar internet?
We zijn als KPN niet alleen een provider die zorgt voor je verbinding. We zijn ook constant bezig met de veiligheid op ons netwerk en van onze klanten. Onze visie is helder: het veilig, duurzaam en betrouwbaar verbinden van mensen via onze netwerken.
Dit gaat veel verder dan alleen jouw internetverbinding en wachtwoorden. KPN draagt verantwoordelijkheid voor het netwerk van heel Nederland. Dat vraagt om een sterk securitybeleid en continue verbetering. Maar hoe doen we dat? Na een warm welkom met koffie en thee in het Service Quality Center (SQC) in Hilversum, doken we in de wereld van cybersecurity.
Team Red, Blue en Purple: de digitale verdedigingslinie
We begonnen onze dag met Mark. Hij hoort bij één van de teams die binnen KPN verantwoordelijk zijn voor het testen en onderzoeken van alle producten en diensten van KPN op kwetsbaarheden: het Red team.
Dit team bestaat uit ethical hackers die actief proberen kwetsbaarheden te vinden in KPN-systemen, producten en diensten. Ze voeren aanvallen uit om zwakke plekken bloot te leggen en ontwikkelen adviezen om de beveiliging te verbeteren. Dit kan variëren van social engineering*-tests (zoals phishing) tot fysieke en technische penetratietests**.
Het was heel gaaf om te horen dat KPN één van de beste ethical hackers teams ter wereld heeft, prijzen wint en op nationaal en internationaal niveau samenwerken met andere ethical hackers en grote Nederlandse multinationals.
Mark gaf interessante voorbeelden: hackers zitten niet altijd driftig op een toetsenbord te rammen, maar gebruiken verschillende methoden. Zo vertelde hij hoe je door chaos te creëren, op een kinderlijk eenvoudige manier toegang tot een gebouw kunt krijgen.
Een ander voorbeeld van een hacker die op heterdaad werd betrapt door de politie: voordat hij meegenomen werd, lockte hij snel zijn computer. De politie slaagde erin het wachtwoord te kraken en in te voeren, maar de computer bleef vergrendeld. Wat bleek? De jonge hacker had een spatie achter het wachtwoord geplaatst. Een spatie aan het einde van je wachtwoord is vaak niet zichtbaar in loggers of andere systemen…
Blue Team
Dit team noemt zichzelf de digitale brandweer van KPN. Zij monitoren het netwerk 24/7 (!) en grijpt direct in bij verdachte activiteiten of cyberaanvallen. En het KPN Netwerk is groot, het bereikt niet alleen al onze particuliere en zakelijke klanten maar denk ook aan ons mobiele netwerk en 112. Coen, lid van het Blue team heeft uitgelegd dat KPN de hele dag door te maken heeft met bijvoorbeeld DDOS-aanvallen en dat ze continu bezig zijn met het beperken van aanvalsverkeer. Het was interessant om te horen hoe ze dat doen, welke middelen zij daarvoor hebben en hoe zij steeds bezig zijn om aanvallers een stap voor te zijn.
Samen met Coen en Johan speelden we ook een spel: "Backdoors and Breaches". Het spel gaf een inkijkje in hoe zij veiligheidsissues (kunnen) afhandelen en welke afwegingen zij maken om tot een oplossing te komen.
Purple Team
De termen Blue en Red team komen van het Amerikaanse leger, waar in simulaties Blue zorgt voor de verdediging en Red voor de aanvallen. Dit doen onze teams Red en Blue ook! Het Purple team hebben ze daar zelf aan toegevoegd: Blue en Red werken in dit team samen aan kennisontwikkeling en het uitwerken van aanvalsscenario’s om zo de verdediging verder te versterken.
KPN Abuse Team
Twee bekende KPN-medewerkers
Ons Abuse-team houdt 24/7 toezicht op ons netwerk om ervoor te zorgen dat alles veilig en betrouwbaar blijft. Wanneer er iets verdachts gebeurt, zoals een hackeraanval, virusuitbraak of ander ongewenst gedrag, grijpen zij onmiddellijk in om het probleem te stoppen voordat het zich verder kan verspreiden.
De afdeling Abuse is speciaal opgericht om snel te kunnen reageren op dreigingen. Als je als klant tijdelijk geblokkeerd wordt, kan dit vervelend zijn, maar het is een noodzakelijke maatregel om te voorkomen dat schadelijke activiteiten zich verder verspreiden. Zo beschermen we niet alleen onze systemen, maar ook die van andere klanten. Het doel is om schade te voorkomen en de algehele veiligheid van het netwerk te waarborgen.
Fun fact: Toen phishing voor het eerst opkwam, dacht de afdeling dat de e-mails van zulke slechte kwaliteit waren dat bijna iedereen wel zou herkennen dat het geen echte e-mail was. Vaak waren ze ook in het Engels. Tegenwoordig zijn phishing-e-mails bijna niet meer van echte e-mails te onderscheiden. Heb je een valse e-mail ontvangen of twijfel je? Lees hier meer over wat je kunt doen.
Hacken: slimmer omgaan met bestaande systemen
Johan, nog een expert op het gebied van Security, zei: "Never waste a good crisis! Hiermee bedoelt hij dat een crisis of moeilijke situatie ook kansen kan bieden. In plaats van alleen te focussen op de negatieve aspecten, kun je van een crisis gebruik maken om veranderingen door te voeren, processen te verbeteren of nieuwe kansen te ontdekken. KPN is hier een goed voorbeeld van: na dit incident, hebben we deze situatie aangewend om onze beveiliging drastisch te versterken en onze processen te verbeteren: en met heel veel succes!
Hij gaf ons ook een nieuwe kijk op hacken: het is niet altijd high-tech en ingewikkeld. Het kan ook gaan om het slim misbruiken van bestaande systemen. Hij gaf hele interessante voorbeelden, zoals hoe een hack kon zorgen voor lege schappen bij Albert Heijn en hoe Uber werd gehackt door social engineering. Zelfs iets simpels als een sleutelkastje kan volgens hem een groot beveiligingsrisico vormen!
Hij deelde ook een filmpje over hoe een onverwachte techniek een beveiligingssysteem kan omzeilen:
De belangrijkste les van de dag: bewustwording is de eerste verdediging!
Het was een terugkerend thema in alle presentaties: security begint bij jezelf. Het is niet de vraag of je ermee te maken krijgt, maar wanneer.
Dit Community event heeft ons laten zien hoe belangrijk het is om alert te blijven. De belangrijkste securitytips die we van de experts hebben meegenomen zijn:
- Hergebruik geen wachtwoorden – Gebruik voor elke dienst een uniek wachtwoord.
- Gebruik een wachtwoordmanager – En zorg dat deze zelf ook goed beveiligd is.
- MFA is een must! – Multi-Factor Authenticatie voegt een extra beveiliging laag toe.
- Wees kritisch op e-mails en links – Klik niet zomaar op verdachte links en controleer de afzender.
- Deel niet zomaar je gegevens – Zoals een kopie van je legitimatiebewijs.
- Houd je software up-to-date – Updates dichten beveiligingslekken en beschermen je tegen aanvallen.
- Gebruik je boerenverstand – Als iets te mooi is om waar te zijn, is het dat waarschijnlijk ook!
Het event was een eyeopener voor iedereen en zorgde voor meer bewustwording. Als Community willen we hierop inspelen door bewustwording te bevorderen via ons platform. Samen maken we de digitale wereld veiliger. We maken security toegankelijker en delen praktische tips. Meer hierover volgt snel, tot die tijd: maak gebruik van de gratis, nationale cursus Digitale Weerbaarheid! Deze cursus helpt je je kennis over digitale veiligheid te vergroten en je vaardigheden te verbeteren.
Het belang van onze community
Bij KPN luidt onze missie: “De technologie van KPN stelt je in staat om te doen wat jij leuk of belangrijk vindt.”
Om jou echt van dienst te kunnen zijn, vinden wij het interessant om te weten wie je bent en wat jij belangrijk vindt. We horen dit graag van jou via onze community! Hier kunnen we samen ideeën uitwisselen, ervaringen delen en elkaar inspireren. Door jouw feedback en betrokkenheid kunnen wij onze producten en diensten blijven verbeteren en aanpassen aan wat echt belangrijk is voor jou.
Of je nu zeer actief bent, af en toe je online gezicht laat zien, of alleen meeleest: jouw betrokkenheid wordt enorm gewaardeerd!
We vinden dit soort meet-ups erg leuk en kijken ernaar uit om nog meer van dit soort waardevolle en inspirerende bijeenkomsten te organiseren en met jullie te delen.
Wil jij ook deelnemen aan een van onze meet-ups of heb je een leuk idee voor een nieuwe bijeenkomst? Laat het mij dan gerust weten in dit topic of via een privébericht.
*Social engineering is een slimme manier waarop oplichters of hackers proberen informatie te krijgen door mensen te manipuleren. In plaats van computers te hacken, proberen ze mensen zover te krijgen dat ze zelf gevoelige gegevens prijsgeven, zoals wachtwoorden of bankgegevens. Dit gebeurt vaak via e-mails, telefoontjes of zelfs persoonlijke interacties.
**Een technische penetratietest (of pentest) is een gesimuleerde cyberaanval op een IT-systeem, netwerk of applicatie om kwetsbaarheden te ontdekken voordat echte hackers dat doen. Het doel is om zwakke plekken in de beveiliging op te sporen en aanbevelingen te geven voor verbetering.
