Partnerpagina KPN

- - - - -

Wie beveiligt het drinkwater?

Hacker stelt beveiliging Dunea op de proef

artikelen, 10 november 2016

Drinkwaterbedrijven zijn van vitaal belang voor Nederland. Het is dan ook essentieel dat ze onder alle omstandigheden goed beveiligd zijn. Dat geldt ook voor hun data. Reden genoeg voor het Zuid-Hollandse drinkwaterbedrijf Dunea om niet alleen veel te investeren in maatregelen, maar ook de effectiviteit hiervan te laten toetsen door een ethische hacker.


Dunea levert dagelijks drinkwater aan 1,3 miljoen klanten in het gebied van Den Haag tot en met Noordwijk. Het drinkwaterbedrijf beheert daarvoor drie duingebieden tussen Monster en Katwijk. Iwan Boutkan is Teammanager Beheer & Support bij Dunea. Hij vertelt: “Goed en veilig drinkwater is weliswaar niet compleet afhankelijk van ICT-systemen, maar bij nagenoeg elk werkproces is ICT een belangrijke, ondersteunende factor. Onze medewerkers moeten bij de juiste informatie kunnen, maar tegelijkertijd mag die informatie niet op straat liggen. Met de tientallen applicaties, medewerkers en systemen in ons verzorgingsgebied moet je hier steeds zorgvuldig naar kijken. Maar dan nog is het belangrijk af en toe buitenstaanders er met een frisse blik naar te laten kijken. Zij wijzen je op zaken die wij, in de waan van de dag, wel eens missen.”

In slaap sussen

Een penetratietest kan dit soort blinde vlekken in beeld brengen, weet Boutkan. Belangrijk, want protocollen en ISOcertificering zijn weliswaar mooi, maar ze kunnen een ICT-organisatie ook in slaap sussen. “De tests geven een realistisch beeld van de staat van de informatiebeveiliging van onze organisatie. Vrijwel ieder bedrijf of instelling werkt met protocollen voor informatiebeveiliging en in grote organisaties als de onze is een ISO-certificering een vanzelfsprekendheid. Maar de praktijk is weerbarstiger dan regels en normen. Wij laten regelmatig dit soort tests uitvoeren. Het ICT-landschap verandert immers voortdurend en daarmee ook de mogelijke bedreigingen en risico’s. Dat speelt voor iedere organisatie.”

Track record met ethische hackers

Er zijn twee soorten penetratietesten. Met een externe penetratietest proberen ethische hackers via het internet firewalls, VPN’s en allerlei andere maatregelen te omzeilen en zo informatie te verzamelen. Een interne penetratietest begint binnen de organisatie. Welke risico’s zijn er als kwaadwillenden toegang hebben tot een werkplek of het netwerk? Zijn er ongeautoriseerde manieren om bij systemen en informatie te komen?
Om een zo compleet mogelijk beeld te krijgen, koos Dunea voor zowel een externe als een interne penetratietest. Uitvoerder was KPN, dat inmiddels een aardige track record heeft opgebouwd met zijn team van ethische hackers.

Het ICT-landschap verandert voortdurend en daarmee ook de mogelijke bedreigingen en risico’s

In 2015 nog haalde het ethische hackersteam van KPN de finale van de Global Cyberlympics, een internationale hackerswedstrijd. Boutkan geeft toe dat het ‘even wennen’ was om hackers bewust de systemen van Dunea aan te laten vallen. “Maar hackers zijn dé specialisten in de zoektocht naar lekken in de beveiliging.” Jeffrey Bilderbeek, Accountmanager KPN Zakelijk, vertelt hoe de ethische hackers van KPN te werk gaan. “Bij een externe test laten we hackers het systeem van onze opdrachtgevers van buitenaf aanvallen om te achterhalen of er lekken zijn en of de infrastructuur te beschadigen is. Het kennisniveau van de hackers over de organisatie die zij aanvallen is nihil. Op die manier kunnen zij blanco de aanval aangaan en ontdekken zij de blinde vlekken. Bij de interne test probeert een hacker vanaf een pc op één van de werkplekken binnen de organisatie bij beveiligde data te komen en om informatie mee te nemen.”

Niet achterover leunen

Boutkan is tevreden over de aanpak. De deskundigheid van de hackers, de kwaliteit van de tests en de begeleiding door KPN bevielen hem. Over de exacte pijnpunten die zichtbaar werden, wil hij (uiteraard) niet uitweiden. Wel zegt hij daarover: “We weten nu objectief hoe we ervoor staan. Veel maatregelen bleken effectief, maar er zijn altijd verbeterpunten. KPN levert hiervoor een uitgebreide, onderbouwde en natuurlijk vertrouwelijke rapportage. Dit is een goede ondersteuning om enerzijds het belang van de bestaande maatregelen te onderbouwen binnen de eigen organisatie, maar ook om een aantal, al geplande veranderingen direct prioriteit te geven. Ik zeg niet dat we nu achterover kunnen leunen, maar we zitten wel een stukje lekkerder.”

tags: ,

- - - - -

De met een * gemarkeerde velden zijn verplicht. U ziet eerst een voorbeeld en daarna kunt u uw bijdrage definitief plaatsen. Uw e-mailadres wordt niet op de site getoond. Reacties zonder achternaam worden verwijderd. Anoniem reageren alleen in uitzonderlijke gevallen in overleg met de redactie.