KPN: security lukt niemand alleen

De negende editie van KPN’s NLSecure[ID] te Nieuwegein bracht de security-gemeenschap van Nederland samen. Organisator KPN benadrukt de verwevenheid van ons digitaal bestaan, waarbij één incident bij een enkele organisatie een kettingreactie kan veroorzaken. Hoe wapen je jezelf tegen de ergste gevolgen?

Chantal Vergouw, Chief Business Market en lid van KPN’s Raad van Bestuur, diept de verweven aard van ons digitale bestaan verder uit. Ze roept organisaties op om meer op het gebied van security samen te werken. De primaire reflex is weliswaar om aan jezelf te denken, en dat acht Vergouw ook logisch. Maar een keten is zo sterk als de zwakste schakel, concludeert ze.

Eigen leed

KPN doet dergelijke uitspraken niet zomaar. Zelf biedt het een groot pakket aan security-oplossingen aan, één van de punten waarop het zich onderscheidt van concullega’s Odido en VodafoneZiggo. Daarnaast publiceert het security-onderzoeken, onder meer over zogeheten ‘Cybersecurity Wakkerliggers‘. Uit dat rapport, gericht op middelgrote en grote organisaties, blijkt dat de geënquêteerden inderdaad eerst aan zichzelf denken als het om de gevolgen van een cyberaanval gaat.

Dat klinkt negatief, maar is het niet. De meestgenoemde zorg is de diefstal van privacygevoelige data, daarna het (deels) stilleggen van het eigen bedrijf en daarna pas reputatie- en financiële schade. Die eerste twee problemen hebben regelmatig grote gevolgen voor derden. Denk aan het datalek bij marktonderzoeker Blauw in 2023 door het gebruik van kwetsbare Nebu-software. Hierdoor belandden ook de gegevens van o.a. de NS en VodafoneZiggo op straat.

“Eigenlijk vormen we met elkaar een levend netwerk”, zo suggereert Vergouw op het podium van NLSecure[ID]. Daarbovenop is Nederland dichtbevolkt en net zo haastig als de rest van de wereld. Als het Havenbedrijf Rotterdam niet alle schepen en vrachtwagens op een just-in-time basis laat opereren, leidt dit binnen een mum van tijd tot lege supermarktschappen.

Onvoorbereid

De wakkerliggers van KPN kunnen ook erg specifiek zijn. Zo schetst het eerder genoemde rapport een onvoorspelbaar beeld binnen de gezondheids- en welzijnszorg. 40 procent acht zichzelf niet of matig voorbereid op een cyberdreiging. Daarbovenop is er 34 procent die zichzelf ‘voorbereid’ acht maar niet ‘goed/volledig voorbereid’; 9 procent heeft geen idee. Het probleem met zelfrapportage is dat het regelmatig te positief is, dus wellicht is het werkelijke gebrek aan voorbereiding een stuk groter (al is dat speculatie).

De boodschap is duidelijk: er moet iets veranderen en je moet rekening houden met een incident dat buiten jouw eigen organisatie plaatsvindt, maar wel op jou een impact heeft. Dit vergt een mentale stap, weet KPN-CISO Vladimir Cibic. “Het hele bedrijf moet security ademen”, vertelt hij het publiek. En: “Je moet ook een beetje bang zijn” voor een security-incident.

KPN heeft daar ook een goede reden voor. Het werd zelf in 2012 gehackt. Middels een securitylek kreeg een 17-jarige hacker toegang tot enkele honderden servers van KPN en verkreeg hij de hoogste toegangsrechten. In de nasleep van dat incident besloot de telco om niet alleen de digitale muren om de eigen netwerken dikker te maken. Ook werd de rol van de Chief Information Security Officer (CISO) gecreëerd. Het is een vrij bijzondere positie, aangezien het tegelijkertijd specialistisch is en ook organisatiebreed. Elke medewerker moet, zoals Cibic suggereert, een beetje vrezen voor de gevolgen van een incident en zich ertegen wapenen. Dat kan zo simpel zijn als verdachte e-mails rapporteren of de eigen wachtwoorden niet in een browser opslaan.

KPN als gids

Vanzelfsprekend is een evenement dat door KPN wordt georganiseerd, een podium om de eigen visie te delen. Maar hoewel NLSecure[ID] geleid wordt door KPN, zijn er vele andere sprekers en sessies van zowel publieke als private partijen. Zij representeren allerlei verschillende disciplines en sectoren en bieden elk een nieuwe invalshoek voor securitybeleid.

AI onder een vergrootglas

Security draait niet alleen om bescherming tegen cyberaanvallen. Meindert Kamphuis,
Head AI Safety & Security Lab bij de Rijksinspectie Digitale Infrastructuur (RDI) herinnert het publiek van NLSecure[ID] hieraan. De opkomst van GenAI biedt hier een nieuw inzicht in. Kamphuis geeft als voorbeeld van de daadkracht van deze technologie dat AI “de muiscursor gaat bewegen”, doelend op features als OpenAI’s Operator en Claude’s Computer Use. De grofweg 500 medewerkers van de RDI moeten helpen om dergelijke innovaties in goede banen te leiden, zodat er niet zomaar een nieuw securitygevaar ontstaat zonder enige vorm van regelgeving.

“Je wilt niet concurreren op veiligheid en mensenrechten”, licht Kamphuis toe. Een gezamenlijke publicatie van de RDI en de AIVD benadrukte de transformatieve impact van AI op cybersecurity. Er is op dat gebied sprake van tweerichtingsverkeer. Of, zoals de twee overheidsdiensten opperen, een kwadrant. De vier smaken zijn: een aanval op GenAI, een aanval met GenAI, verdediging van GenAI en verdediging met GenAI. Het laat zich raden dat dit een nieuw front is in de strijd tussen organisaties en kwaadwillenden. De RDI heeft dit vroeg doorgehad. Al sinds 2020 staat AI-toezicht op de radar binnen de Nederlandse overheid, waardoor het een leidende rol heeft in het reguleren van deze nieuwe technologie.

Innovatie blijft een speerpunt, ook voor de regelgever. Kamphuis belooft het publiek dus dat de RDI altijd direct aanspreekbaar wil zijn voor het mkb. Wel zo nodig, aangezien stemmen vanuit Noord-Amerika en Azië suggereren dat Europa met name goed is in AI-regelgeving, niet AI-innovatie.

Verstandige inzet

Organisaties met kritieke functies moeten nog voorzichtiger zijn met AI dan de regelgeving stelt. Tom-Martijn Roelofs, Global Head of Security and Data bij ING, legt tijdens het security-evenement uit hoe zijn werkgever dat aanpakt. Als bank wil het ook nieuwe technologieën zoals GenAI benutten, waaronder voor het verbeteren van security. Maar het kan niet zomaar een LLM inschakelen van een third party. Hoe nu verder?

Het begon bij een use-case binnen security. Een overvloed aan alerts is een typisch SOC-probleem, zo legt Roelofs uit. De oplossing was om die alerts te herleiden naar een bepaalde soort aanval. Welke signature past bij een bepaalde actie? Een enorme dataset werd opgebouwd waarin gesimuleerde aanvallen en doodgewone gebruikersacties van elkaar werden onderscheiden. Een piek aan een bepaalde combinatie van alerts bleek buitengewoon goed overeen te komen met een werkelijk incident.

Die data alleen is niet genoeg. Er moet ook een applicatie draaien die daadwerkelijk checkt of er een aanval plaatsvindt met een bepaalde zekerheid. Roelofs vertelt dat de oplossing niet was om zelf een LLM te bouwen of een bestaand open-source model hiervoor te finetunen. Een neuraal model vroeg simpelweg om te veel data. Daarom koos ING voor een klassieke beslisboom, te weten een getraind model met hulp van CatBoost, een open-source library om dit soort modellen optimaal te laten draaien.

Lees ook: KPN mag onder voorwaarden Open Tower Company overnemen

KPN: security lukt niemand alleen

Eigen leed

Onvoorbereid

KPN als gids

AI onder een vergrootglas

Verstandige inzet

Blijf op de hoogte, abonneer!

ServiceNow maakt Now-platform AI-driven en voegt duizenden AI-agents toe

Nederland leidt coalitie tussen EU-landen voor sterkere halfgeleiderindustrie

Primeur: Nvidia-supercomputer in Nederland voor zorg-AI Juvoly

Juvoly ontzorgt de zorgsector met spraakherkennende AI

Uitdaging voor zorgorganisaties: Hoe haal je efficiënt waarde uit de explosieve groei van data?

AI-scanner spoort huidkanker vliegensvlug op

GovKube 25

IT Master in één Dag

Atlassian Team ’25

VeeamON 2025

GITEX ASIA

SAS Innovate 2025

Versterk je cybersecurity met DNS best practices

Navigeren door technologische ontwrichting

Hoe selecteer je het juiste ERP-systeem?

Optimaliseer je IT-beheer met Kaseya 365

Cloud Account Executive – Slack

Senior Account Solution Architect