Hoe kwetsbaar zijn pensioenen? “Nou, je hebt maar één geslaagde DDoS-aanval nodig op een pensioenplatform en miljoenen mensen worden geraakt,” zegt René Huizenga, CISO bij TKP. “Tegelijkertijd denk ik dat grote banken en overheden qua naam en bekendheid kwetsbaarder zijn. Zij zijn misschien iets meer een doelwit dan wij, al zal ik nooit beweren dat wij volledig buiten beeld blijven.”
Pensioen is voor veel mensen niet het meest boeiende onderwerp. Werken in de wereld van pensioenen is echter erg interessant. Het ICT-landschap van veel pensioenuitvoerders staat volop in de steigers. Ondertussen worden aanvallen buiten de deur gehouden door de toegenomen aandacht voor security. TKP, een van de drie grootste pensioenuitvoeringsorganisaties van Nederland, gaat de uitdaging graag aan. Het bedrijf bouwt het beste digitale pensioenplatform van Nederland en wil miljoenen Nederlanders de beste online ervaring bieden. Zodat pensioen bij meer mensen op de radar komt te staan. Dat platform biedt gebruikers veel mogelijkheden, maar moet bovenal veilig zijn. Met 150 developers die constant aan systemen sleutelen, privacygevoelige data van miljoenen Nederlanders, strenge wetgeving en hoogtijdagen voor cybercriminelen, is dat geen geringe opgave.
“Het is een flinke uitdaging om onze ICT veilig te houden”, vertelt René Huizenga, CISO bij TKP. “Door het spanningsveld waarin wij werken, moet alles wat wij hier maken goed in elkaar zitten.” Als onderdeel van het financiële stelsel heeft het bedrijf te maken met veiligheidseisen van onder meer De Nederlandsche Bank. “Maar zelf zien wij natuurlijk ook dat de bedreigingen op het gebied van security overal toenemen. We hadden hier altijd al wel projecten rondom security, maar met een eigen security office zetten we hier nog meer op in. Dit team bestaat momenteel uit drie security officers en een ethisch hacker. Samen zijn wij verantwoordelijk voor het informatiebeveiligingsbeleid, waaronder security monitoring en vulnerability management.”
State-of-the-art
Vanwege veiligheidsoverwegingen is het natuurlijk moeilijk om alle tools prijs te geven. Wel geeft René aan dat er tools gebruikt worden voor onder meer detectie (zijn we gehackt?) en forensics (hoe kunnen we aantonen wat er eventueel gestolen is?). Daarnaast is de transitie van on-premise IT naar de cloud met AWS superinteressant. “We kunnen veel sneller innoveren met de allernieuwste diensten. En ons richten op waar we écht goed in zijn, namelijk pensioenadministratie.” Het biedt behoorlijke state-of-the-art mogelijkheden en het is de toekomst. Nu doen heel veel bedrijven al wel iets ‘in de cloud’, maar voor onszelf is het een belangrijke stap. Wij hebben nu nog onze eigen infrastructuur onder beheer, maar door meer as-a-service af te nemen, kunnen we het verschil maken met onze producten.”
Wat dit betekent vanuit productperspectief is dat TKP snel producten kan selecteren, testen en implementeren. “De time-to-market van nieuwe oplossingen is veel korter geworden. Onze developers kunnen binnen deze omgeving ook veel sneller iets uitproberen.” Maar er is ook een securityperspectief, wat neerkomt op de juiste risicoafwegingen (“Met de mensen en middelen die wij hebben, moeten wij ons platform goed beschermen”) en vooral de keuze voor ‘security by design’ in het ontwikkelproces. “Dit is een andere manier van werken. Developers moeten meer awareness voor security en privacy ontwikkelen, en dat vergt extra energie. Daarbij moet je creatief zijn, nadenken over wat er allemaal mis kan gaan. Met een ethisch hacker aan boord gaan we daar nu stappen in zetten. Dat is ook nieuw voor veel ontwikkelaars. De meeste hebben al wel een bepaald besef van security, maar om in zo’n vroeg stadium, dus by design, al na te denken over security: dat is nieuw.”
Fixen duurder dan veilig ontwikkelen
“De extra aandacht voor security by design levert in latere stadia veel op”, stelt René. “Een fix op een oplossing die al in productie is, is veel duurder dan veilig ontwikkelen. In het geval van een datalek is dat al helemaal het geval. Je gaat dan in een crisismodus en dat is ingrijpend.” Het kost hem als CISO gelukkig steeds minder moeite anderen te overtuigen van het nut hiervan. “Er is bij TKP veel aandacht voor het thema security. Neem recent nog de Citrix-exploit die uitgebreid in het nieuws kwam. Dat soort incidenten helpt zeker mee om mensen bewuster te maken.”
Het in huis hebben van een ethisch hacker helpt ook het besef van security te vergroten onder collega’s. “En dat is goed, want we zijn daar met z’n allen voor verantwoordelijk, dus niet alleen de security office.” Naast een interne hacker en het live pentesten met een geautomatiseerde oplossing (zowel in de pre-productieomgeving als daarna) schakelt TKP ook nog een externe partij in. “Dit is een vrij groot en bekend bedrijf op dit gebied. Zij komen één keer per jaar een paar dagen online langs via onze portalen waarbij zij proberen deze te hacken. Maar ook nodigen we ze uit bij ons op kantoor, waar ze onder meer op ons LAN-netwerk testen.”
Eerder reageren met SIEM
De jaarlijkse bezoeken van de securityspecialist zijn waardevol, vindt René. “Wij denken erover na om deze frequentie te verhogen. Externe en interne pentesten zijn wat mij betreft allebei belangrijk: mijn collega Hendrik kent onze omgeving goed en kan daardoor goed in zwakke plekken prikken, terwijl de externe partij juist veel kennis van de markt heeft.” Naast pentesting is detectie overigens ook een belangrijk thema. “Gehackt worden is vreselijk, maar gehackt worden en het niet doorhebben is zo mogelijk nog erger. Daarom proberen we er met verschillende SIEM-oplossingen bovenop te zitten om te zorgen dat we niks missen. We bouwen use cases en kijken naar combinaties van signalen die erop kunnen duiden dat er iets aan de hand is, waardoor we sneller kunnen reageren op incidenten.”
“Je moet er gewoon vanuit gaan dat je een keer gehackt gaat worden.” ICT’ers zijn de komende jaren hard nodig om het pensioenplatform van TKP veilig te houden en ondertussen de dienstverlening voor miljoenen Nederlanders te verbeteren. “Pensioen als onderwerp is best saai. Maar de snel veranderende wereld rondom pensioenen én de technische mogelijkheden zorgen ervoor dat er strenge eisen worden gesteld aan onze organisatie. TKP loopt in de sector voorop, en dat maakt ons echt high-tech. Veel staat nog volop in de steigers en dat biedt mooie kansen voor ICT’ers bij ons.”
Benieuwd geworden naar wat TKP jou als ICT’er te bieden heeft? Kijk op Werkenbijtkp.nl/tech.
Dit artikel is geen redactioneel artikel, maar een advertorial. Mocht je ideeën met ons willen delen over deze vorm van adverteren, dan horen wij dat graag. Hierover kun je met ons in gesprek via [Discussie] Reclame algemeen, daar zullen collega's aanwezig zijn om jouw vragen en/of opmerkingen te bespreken/beantwoorden.
:strip_icc():strip_exif()/u/5964/crop56503163e97a5.jpeg?f=community){kind=small}
:strip_exif()/u/53522/crop583d477015a24.gif?f=community){kind=small}
/u/253626/crop636d14e9a93d3_cropped.png?f=community){kind=small}
/u/217510/crop660db19c1cf7b_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/6764/cergorach.jpg?f=community){kind=small}