Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie
Advertorial

Door Tweakers Partners

TKP bouwt ‘secure by design’-pensioenplatform

27-02-2020 • 08:00

27 Linkedin

Hoe kwetsbaar zijn pensioenen? “Nou, je hebt maar één geslaagde DDoS-aanval nodig op een pensioenplatform en miljoenen mensen worden geraakt,” zegt René Huizenga, CISO bij TKP. “Tegelijkertijd denk ik dat grote banken en overheden qua naam en bekendheid kwetsbaarder zijn. Zij zijn misschien iets meer een doelwit dan wij, al zal ik nooit beweren dat wij volledig buiten beeld blijven.”

Pensioen is voor veel mensen niet het meest boeiende onderwerp. Werken in de wereld van pensioenen is echter erg interessant. Het ICT-landschap van veel pensioenuitvoerders staat volop in de steigers. Ondertussen worden aanvallen buiten de deur gehouden door de toegenomen aandacht voor security. TKP, een van de drie grootste pensioenuitvoeringsorganisaties van Nederland, gaat de uitdaging graag aan. Het bedrijf bouwt het beste digitale pensioenplatform van Nederland en wil miljoenen Nederlanders de beste online ervaring bieden. Zodat pensioen bij meer mensen op de radar komt te staan. Dat platform biedt gebruikers veel mogelijkheden, maar moet bovenal veilig zijn. Met 150 developers die constant aan systemen sleutelen, privacygevoelige data van miljoenen Nederlanders, strenge wetgeving en hoogtijdagen voor cybercriminelen, is dat geen geringe opgave.

“Het is een flinke uitdaging om onze ICT veilig te houden”, vertelt René Huizenga, CISO bij TKP. “Door het spanningsveld waarin wij werken, moet alles wat wij hier maken goed in elkaar zitten.” Als onderdeel van het financiële stelsel heeft het bedrijf te maken met veiligheidseisen van onder meer De Nederlandsche Bank. “Maar zelf zien wij natuurlijk ook dat de bedreigingen op het gebied van security overal toenemen. We hadden hier altijd al wel projecten rondom security, maar met een eigen security office zetten we hier nog meer op in. Dit team bestaat momenteel uit drie security officers en een ethisch hacker. Samen zijn wij verantwoordelijk voor het informatiebeveiligingsbeleid, waaronder security monitoring en vulnerability management.”

State-of-the-art
Vanwege veiligheidsoverwegingen is het natuurlijk moeilijk om alle tools prijs te geven. Wel geeft René aan dat er tools gebruikt worden voor onder meer detectie (zijn we gehackt?) en forensics (hoe kunnen we aantonen wat er eventueel gestolen is?). Daarnaast is de transitie van on-premise IT naar de cloud met AWS superinteressant. “We kunnen veel sneller innoveren met de allernieuwste diensten. En ons richten op waar we écht goed in zijn, namelijk pensioenadministratie.” Het biedt behoorlijke state-of-the-art mogelijkheden en het is de toekomst. Nu doen heel veel bedrijven al wel iets ‘in de cloud’, maar voor onszelf is het een belangrijke stap. Wij hebben nu nog onze eigen infrastructuur onder beheer, maar door meer as-a-service af te nemen, kunnen we het verschil maken met onze producten.”

Wat dit betekent vanuit productperspectief is dat TKP snel producten kan selecteren, testen en implementeren. “De time-to-market van nieuwe oplossingen is veel korter geworden. Onze developers kunnen binnen deze omgeving ook veel sneller iets uitproberen.” Maar er is ook een securityperspectief, wat neerkomt op de juiste risicoafwegingen (“Met de mensen en middelen die wij hebben, moeten wij ons platform goed beschermen”) en vooral de keuze voor ‘security by design’ in het ontwikkelproces. “Dit is een andere manier van werken. Developers moeten meer awareness voor security en privacy ontwikkelen, en dat vergt extra energie. Daarbij moet je creatief zijn, nadenken over wat er allemaal mis kan gaan. Met een ethisch hacker aan boord gaan we daar nu stappen in zetten. Dat is ook nieuw voor veel ontwikkelaars. De meeste hebben al wel een bepaald besef van security, maar om in zo’n vroeg stadium, dus by design, al na te denken over security: dat is nieuw.”

Fixen duurder dan veilig ontwikkelen
“De extra aandacht voor security by design levert in latere stadia veel op”, stelt René. “Een fix op een oplossing die al in productie is, is veel duurder dan veilig ontwikkelen. In het geval van een datalek is dat al helemaal het geval. Je gaat dan in een crisismodus en dat is ingrijpend.” Het kost hem als CISO gelukkig steeds minder moeite anderen te overtuigen van het nut hiervan. “Er is bij TKP veel aandacht voor het thema security. Neem recent nog de Citrix-exploit die uitgebreid in het nieuws kwam. Dat soort incidenten helpt zeker mee om mensen bewuster te maken.”

Het in huis hebben van een ethisch hacker helpt ook het besef van security te vergroten onder collega’s. “En dat is goed, want we zijn daar met z’n allen voor verantwoordelijk, dus niet alleen de security office.” Naast een interne hacker en het live pentesten met een geautomatiseerde oplossing (zowel in de pre-productieomgeving als daarna) schakelt TKP ook nog een externe partij in. “Dit is een vrij groot en bekend bedrijf op dit gebied. Zij komen één keer per jaar een paar dagen online langs via onze portalen waarbij zij proberen deze te hacken. Maar ook nodigen we ze uit bij ons op kantoor, waar ze onder meer op ons LAN-netwerk testen.”

Eerder reageren met SIEM
De jaarlijkse bezoeken van de securityspecialist zijn waardevol, vindt René. “Wij denken erover na om deze frequentie te verhogen. Externe en interne pentesten zijn wat mij betreft allebei belangrijk: mijn collega Hendrik kent onze omgeving goed en kan daardoor goed in zwakke plekken prikken, terwijl de externe partij juist veel kennis van de markt heeft.” Naast pentesting is detectie overigens ook een belangrijk thema. “Gehackt worden is vreselijk, maar gehackt worden en het niet doorhebben is zo mogelijk nog erger. Daarom proberen we er met verschillende SIEM-oplossingen bovenop te zitten om te zorgen dat we niks missen. We bouwen use cases en kijken naar combinaties van signalen die erop kunnen duiden dat er iets aan de hand is, waardoor we sneller kunnen reageren op incidenten.”

“Je moet er gewoon vanuit gaan dat je een keer gehackt gaat worden.” ICT’ers zijn de komende jaren hard nodig om het pensioenplatform van TKP veilig te houden en ondertussen de dienstverlening voor miljoenen Nederlanders te verbeteren. “Pensioen als onderwerp is best saai. Maar de snel veranderende wereld rondom pensioenen én de technische mogelijkheden zorgen ervoor dat er strenge eisen worden gesteld aan onze organisatie. TKP loopt in de sector voorop, en dat maakt ons echt high-tech. Veel staat nog volop in de steigers en dat biedt mooie kansen voor ICT’ers bij ons.”

Benieuwd geworden naar wat TKP jou als ICT’er te bieden heeft? Kijk op Werkenbijtkp.nl/tech.

Dit artikel is geen redactioneel artikel, maar een advertorial. Mocht je ideeën met ons willen delen over deze vorm van adverteren, dan horen wij dat graag. Hierover kun je met ons in gesprek via [Discussie] Reclame algemeen, daar zullen collega's aanwezig zijn om jouw vragen en/of opmerkingen te bespreken/beantwoorden.

Reacties (27)

Wijzig sortering
Daarnaast is de transitie van on-premise IT naar de cloud met AWS superinteressant. “We kunnen veel sneller innoveren met de allernieuwste diensten. En ons richten op waar we écht goed in zijn, namelijk pensioenadministratie.”
Ennuh, welke risico afweging heeft de CISO gemaakt in het opslaan van Nederlandse pensioensdata bij een Amerikaanse partij?

Enkele punten waar ik graag antwoord op zie:
  • Veranderende wetgeving rond Privacy Shield?
  • Veranderende wetgeving rond GDPR?
  • Economische spanningsveld EU vs VS?
  • China-style handelsembargo's vanuit de VS?
Een pensioen moet je 40 jaar vooruit plannen, en ik verwacht dus ook wel de zelfde lange termijnplanning van organisaties die dit soort systemen maken. Ik hoop voor René, en elke persoon die een collectief pensioen heeft, dat er een backup staat op Nederlandse bodem.

Edit: quote sluiten tag toegevoegd.

[Reactie gewijzigd door Eonfge op 27 februari 2020 08:11]

Gebruik van de Europese regio’s van AWS door financiële instellingen is al goedgekeurd door de DNB.
Iedere instelling dient een zeer uitgebreide risk assessment te doen en deze aan de DNB te overhandigen. Hier zit ook een stuk DPIA bij.
Wordt daar zover vooruitgekeken. Nee helaas niet, en dat is ook geen eis, maar een exit strategie is ook onderdeel van de risk assessment.

Bron: heb zelf meerdere van dit soort assessments gedaan bij financials.

Maar als je hier meer van wilt zien moet je bij de DNB/AP aan kloppen. Banken volgen gewoon de regels en wetgeving waar ze aan moeten voldoen.
Even voorop stellend: ik heb geen inhoudelijke kennis van de financiële wereld.
Als een instantie als de DNB (of in het algemeen: hogere laag uit de organisatie) iets goedkeurt, wil dat nog niet zeggen dat het een verstandige/de beste keuze is.
Het is bij AWS kinderlijk eenvoudig om al je data te encrypted terwijl je zelf als enige over de decryptie sleutelt beschikt. Dit is 1 van de vele stappen om een veilig platform te bouwen. Het het mooie van een goed secure-by-design platform is dat je ontwikkelaars heel eenvoudig in staat stelt applicaties te lanceren, terwijl je platformtooling ervoor zorgt dat o.a. alle ISO2700x normen geborgd zijn. De engineers op zo'n cloudplatform enablen teams om DevOps te werken, zonder risico een unencrypted database in een public subnet te hangen die op 0.0.0.0/0 luistert met admin:password als credentials...
Het is bij AWS kinderlijk eenvoudig om al je data te encrypted terwijl je zelf als enige over de decryptie sleutelt beschikt.
Gezien alle security issues is er helemaal niks simpel als het om security gaat..
Als de data door AWS wordt verwerkt is ie toch ergens binnen AWS tijdens verwerking ook onversleuteld beschikbaar?
Theoretisch gezien wel maar dan ga je er vanuit dat ze binnen in elke VM en container continu alle memory dumps ergens naartoe schrijven oid.
Klopt, maar ook deze instanties volgen in principe wet- en regelgeving die nationaal of internationaal bepaald is.
Wat bedoel je precies met veranderende wetgeving rond GDPR / Privacy Shield? Je weet dat de GDPR/AVG zelf an sich niet de wet op de privacy is (het bepaald niet wat persoonsgegevens zijn bijvoorbeeld), maar geeft wat duidelijkere (Europese) regels met betrekking tot bescherming van die persoonsgegevens en eventuele gevolgen? Ik kan mij voorstellen dat dat op zich niet zo spannend is, bepalen wat wel privacy is en wat niet, dat is veel interessanter, lijkt me.

En idem eigenlijk voor Privacy Shield, dat is gewoon een overeenkomst tussen Europa en Amerika en Zwitserland en Amerika. Zover ik begrijp bepaalt Privacy Shield ook niet wat privacy is en wat onder privacy valt.

Ik weet dat termen als GDPR en AVG veel gebruikt worden om de privacy aan te geven, maar meer dan verduidelijking op de bestaande wet is het niet. Privacy Shield is niets meer dan een overeenkomst hoe persoonsgegevens van Europeanen en Zwitsers in Amerika verwerkt worden, niets meer, niets minder.

TLDR; De GDPR en Privacy Shield bepalen niet wat persoonsgegevens zijn, ze bepalen hoe er met die data om moet worden gesprongen en wat de gevolgen zijn als dat niet het geval is. Dat maakt het an sich een stuk minder interessant om dat te gaan zitten bijhouden qua wijzigingen natuurlijk.

[Reactie gewijzigd door CH4OS op 27 februari 2020 20:29]

Geef ze een belletje zou ik zeggen.
Ten eerste is het goed dat ze hier actief op spelen. Wat ik dan wel weer een vreemde verhouding vind (maar dat kan aan mij liggen?) : 150 devs en 1 ethisch (interne) hacker? Heb je niet liever net iets meer interne hackers? Tenzij deze man/vrouw natuurlijk evenveel kennis heeft dan 10 andere pro's bij elkaar..
Als die intern is dan kan je helemaal niet van vertrouwen uitgaan. :(
Waarom niet? Dus een zeer goede hacker die aangenomen wordt ergens is niet meer te vertrouwen?
Omdat bedrijf X zegt dat het getest word door een hacker van bedrijf X.
Volgens het 'Wij van WC-eend adviseren WC-eend'-principe is dat gewoon niet handig. Daarnaast heb je een soort van bedrijfsblindheid wat kan gaan ontwikkelen als je een interne ethical hacker hebt die altijd de PEN-testen uitvoert. Alleen daarom kan het al verstandig zijn om dit soort dingen uit te besteden aan een externe partij.

Het hóeft niet zo te zijn, maar het kan wel. :)
Verhoudingen liggen iets anders. Ze hebben een CISO, 3 security officers, en 1 pentester. Wat ze extern inhuren, zeggen ze niet. De ene devver is ook de andere niet. Ben het wel met je eens dat de verhouding wat scheef lijkt.
Nu heb ik an sich al een hekel aan verengelsing van de Nederlandse taal, maar bij "pensioen made easy" klinkt het helemaal zo lullig, vooral als je de Nederlandse uitspraak "Meed iesie" ook nog eens hardop uitspreekt. :)

En ach, pensioen heb ik ook opgegeven. Ik spaar mijn eigen centjes op en beleg het. Op lange termijn (25+ jaar) zit er een rendement wat wel gunstig is en dat wordt mijn pensioen. :)
En ach, pensioen heb ik ook opgegeven. Ik spaar mijn eigen centjes op en beleg het.
Je hebt een belastingvoordeel met de inleg richting een pensioen. Je kan het ook zelf doen, maar je mist dan wel het voordeel. Je rendement zal dus al hoger moeten zijn dan gemiddeld. Ik begrijp trouwens niet wat je bedoelt met "opgegeven", zo moeilijk is het niet. Ik gok dat je zelfstandig bent?
Je zit ongetwijfeld in dezelfde groep als mensen die denken dat er ook bij zorgverzekeraars alleen maar graaiers zitten? Aluhoedje much? Het is toch niet heel vergezocht om te denken dat pensioenen onhoudbaar zijn als we niets veranderen. Mensen worden ouder; toen het pensioenstelsel wat we nu kunnen werd gestart, was de gemiddelde levensverwachting veel lager. Als je in de jaren '50 geboren zou zijn, zou het op pakweg 71,43 (mannen en vrouwen) jaar liggen (CBS). Iemand die in 2018 geboren is, 81,78 jaar. Dat is méér dan 10 jaar aan extra pensioen wat moet worden betaald. En de bedragen worden hoger (op basis van de hogere pensioenafdracht en hogere lonen van nu t.o.v. 'vroeger'). Iemand die pakweg 1000 euro pensioen krijgt per maand, daar moet dus ca. 120.000 euro extra in het potje terecht komen. Dat is over een werkend leven van pakweg 40 jaar dus zo'n 142 euro per maand.

Je kunt wel wijzen naar directeuren in dure auto's. Maar stel dat we die directeuren een lekker salaris geven. Pakweg 1 miljoen (dat verdienen ze niet hoor, het ligt eerder tussen de 300.000 en 700.000 euro, misschien een uitschieter naar het miljoen). Kijken we naar de grootste 10 pensioenfondsen in Nederland, dan betekent dat dus 10 miljoen aan salaris voor directeuren. Doen we nog een raad van commissarissen erbij van 5 man per pensioenfonds tegen ongeveer 200K per jaar, dan zit je op 20 miljoen de complete pensioentop. Ze voeren het pensioen uit voor ongeveer 9 miljoen leden. Ze beheren een vermogen van ongeveer 1,1 triljoen Euro (€ 1.100.000.000.000.000.000). Dat salaris is op de grote hoop dus ongeveer 0,000000000018%. Voorzichtig geschat is dat ongeveer 0,000000018% van de jaarlijkse groei van de pensioenfondsen. Ja.. die nieuwe Tesla en zo'n miljoenensalaris, dat zorgt ervoor dat we later nauwelijks meer pensioen hebben. ;)

Het is echt logisch dat de pensioenleeftijd omhoog móet (net als de premie) om het dragelijk te houden. Of de verwachtingen van het pensioen moeten omlaag. Daar hoef je geen hersenchirurg voor te zijn.
Het salaris van de top is relatief gezien, t.o.v. hetgeen ze beheren, natuurlijk peanuts.
Maar dat betekent niet dat ze 'onevenredig veel' mogen verdienen.
Een salaris van een 300k-700k excl. allerlei bonussen is toch niet uit te leggen als ze berichten naar de (vaak verplichte) pensioendeelnemers uitsturen dat het geïndexeerde rendement over afgelopen jaar wéér lager is geworden door bijv. een 'slecht beursjaar'. Zij hebben hun geld in ieder geval verdiend, ik denk dat @kozue daar eerder op doelt.
Ik heb een pensioen uitvoerder van heel dichtbij mogen zien. De inefficientie in de uitvoering is zo hoog dat de uitvoeringskosten niet in verhouding staan tot het geleverde resultaat. Ik zeg niet de de kortingen niet reeel zijn, maar als er eens een onafhankelijke partij zou kijken naar de kosten die pensioenen met zich meebrengen denk ik dat er nog wel een miljoen of tig te halen is. En dan heb ik het niet over dure directeuren. Je zou er moppen over kunnen maken: hoeveel pensioenuitvoerders heb je nodig om een 1 gloeilamp te vervangen.
Ik gok dat dergelijke reacties zijn gebaseerd op berichten zoals deze:
https://www.rtlnieuws.nl/...euro-naar-gepensioneerden
https://www.pfzw.nl/conte...icht-4e-kwartaal-2014.pdf

En dat vind ik persoonlijk heel begrijpbare reacties!

Waar het eigenlijk op neer komt is dat je NU betaald voor de huidige generatie pensioengangers. De mensen die de afgelopen jaren daadwerkelijk pensioen hebben ontvangen hebben brieven ontvangen waarinsstaat dat ze minder krijgen via hun pensioen. Als dat geld was geweest wat ze in het verleden al hadden opgebouwd dan zou dat niet minder zijn geworden tenzij dat 'spontaan' zou zijn verloren.

Als ik kijk naar wat mijn vader heeft opgebouwd in 50 jaar ploeteren, dan is dat om te huilen. Maar aan de andere kant niet zo heel vreemd, als je kijkt naar inflatie. Na 50 jaar zijn zaken 5x zo duur geworden en geld hoeft zo absoluut niet mee te groeien als je het op de bank zet (tegenwoordig).

Als je zelf je pensioen wil regelen wordt je ZZPer, in de meeste branches is dat (nog) niet verplicht. Er zijn verschillende mogelijkheden die tegenwoordig niet meer allemaal zo voordelig zijn als dat ze ooit waren.
Waar het eigenlijk op neer komt is dat je NU betaald voor de huidige generatie pensioengangers.
Nee, dat ligt eraan wat voor soort pensioen je hebt. Bij sommige pensioenvormen is dit van toepassing. Bij andere juist niet. Met een eindloon of middelloonregeling zie je dat er gekort wordt. Bij een beschikbare premieregeling niet. Alleen lijkt dit gunstiger dan dat het is, er wordt niet gekort, maar op je pensioenleeftijd heb je mogelijk te weinig opgebouwd.

Lees aub iets als http://www.pensioensparen...ioen/pensioen+vormen.html
<offtopic>
Een pensioenfonds is niet meer dan een administratiekantoor van jouw werkgever (al dan niet samen met andere werkgevers). Pensioen is namelijk salaris wat je op een later moment krijgt uitbetaald. Dus als je iemand "graaier" wilt gaan noemen, prima, maar wijs dan wel naar jouw werkgever. Want als de werkgevers te weinig premie betalen, kunnen de pensioenfondsen niks anders doen dan minder gaan uitkeren.

Tip: Laat je eens goed voorlichten over pensioen.
</offtopic>
Een pensioenfonds is niet meer dan een administratiekantoor van jouw werkgever
Een werkgever mag al heel veel jaren niet zelf het pensioengeld in een potje stoppen. Pensioen (geldstroom) hoort bij een extern bedrijf/fonds te liggen. Dat is of een bedrijf, maar kan ook een pensioenfonds zijn. Dit staat los van de werkgever. Een pensioenfonds is geen onderdeel van het bedrijf. De Nederlandse Bank (DNB) eist ook behoorlijk wat van een pensioenfonds of (pensioen)bedrijf. De verantwoordelijke personen moeten persoonlijk goedgekeurd worden door DNB.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True