Jouw informatie is het belangrijkste voor ons om veilig te houden. Barend de Lange, DELTA Fiber’s hoofd beveiliging, neemt je mee door de lagen van onze beveiliging.
Er valt niet aan te ontkomen: informatie van en over onze klanten staat op onze servers opgeslagen of 'stroomt' door ons netwerk. Die klantinformatie noemen we onze kroonjuwelen. Eromheen zitten allerlei lagen van beveiliging. De complexiteit: de kluis moet geregeld open. Elke keer als een klant iets wil aanpassen in MijnDELTA, een site bezoekt of als wij de specificatie opstellen voor bij de telefoonfactuur, stroomt klantinformatie naar binnen en naar buiten.
Hoe beveiligen we dat? Barend de Lange, DELTA’s Chief Information Security Officer (CISO), pelt de 'ui' laag voor laag voor je af.
"We hebben informatie die over de klant gaat: naam- en adresgegevens, telefoon- en bankrekeningnummers. En informatie over wat klanten met onze diensten doen: de sites die je bezoekt, de tv-programma’s waar je naar kijkt (via interactieve tv), de nummers die je belt. Dat slaan we niet allemaal op, maar het dataverkeer stroomt wel door onze netwerken en moet dus goed beveiligd zijn."
"De meeste van onze beveiligingsmaatregelen zijn preventief van aard: voorkomen dat iemand toegang krijgt tot systemen waar die niets te zoeken heeft."
"Servers waarop klantinformatie staat opgeslagen, staan in datacenters. Die zijn omhekt en de deuren zijn op slot. Een 24-uursbeveiligingdienst waakt over het terrein en laat alleen mensen binnen die vooraf aangemeld én geautoriseerd zijn."
"We denken vooraf na welke collega toegang nodig heeft tot welk systeem. Alleen als het nodig is krijgen ze toegang. Vanuit landen waar onze klanten of medewerkers nooit zijn, Noord-Korea bijvoorbeeld, kom je überhaupt onze systemen niet in."
"Een ander logisch beveiligingsprincipe: informatie die je niet hebt, kan niet gestolen worden. Dus wat niet strikt noodzakelijk is voor ons om op te slaan, slaan we niet op. Van oud-klanten wordt de bijvoorbeeld informatie automatisch verwijderd."
"Al onze systemen en producten laten we uitvoerig testen. Voordat ze live gaan, maar ook daarna nog geregeld. We laten 'pentests' uitvoeren (penetratietests) en organiseren 'bug bounty-programma's'. Het komt ongeveer op hetzelfde neer: we nodigen ethische hackers of andere beveiligingsexperts uit om te proberen onze systemen binnen te komen. Als ze kwetsbaarheden vinden, rapporteren ze die en dichten wij het lek."
"Klantinformatie die op ons netwerk staat of er doorheen stroomt, is doorgaans versleuteld, voor een buitenstaander onleesbaar. Je hebt een digitale sleutel nodig om het te ontsleutelen."
"Net zoals we onze klanten adviseren om tweestapsverificatie (2FA) in te stellen, gebruiken wij dat ook, bijvoorbeeld wanneer onze klantenservicemedewerkers klantinformatie opvragen. Daarnaast testen en trainen we al onze medewerkers - ten minste eens per kwartaal - op hun kennis over beveiligingszaken."
"We ontkomen er niet aan dat ook enkele externe partners onze klantgegevens tot hun beschikking hebben. Daarom werken we uitsluitend samen met partners die hun beveiligingsmaatregelen op het hoogste niveau hebben. We kiezen zorgvuldig voor bedrijven die bewezen hebben dat ze voldoen aan de strengste normen en standaarden in de industrie."
"Detectie betekent dat we bijhouden en controleren wie wanneer probeert toegang te krijgen tot klantinformatie, vooral om verdachte pogingen op te sporen en te onderzoeken. Dit houdt in dat we alle toegangsverzoeken registreren en scannen op verdachte activiteiten, zodat we deze kunnen controleren."
"In al onze systemen zitten hacking-sensors die onze beveiligingsdiensten automatisch alarmeren bij ongewoon verkeer. Zie het als digitaal struikeldraad. Zo geeft dit systeem bijvoorbeeld een seintje als iemand ons interne netwerk scant, of in de nachtelijke uren toegang probeert te krijgen tot klantinformatie. Geblokkeerde toegangsverzoeken worden ook gelogd zodat we verder onderzoek kunnen doen. Met behulp van AI wordt dit systeem bovendien steeds slimmer."
"Ook wordt het (dark) web continu preventief gescand om te kijken of criminelen daar informatie aanbieden die aan onze systemen gelinkt kan worden: 'data dumps'. Als we dat zouden signaleren kunnen we meteen een veiligheidsprotocol in werking stellen en daar direct actie op ondernemen."
"Oftewel: de schade beperken of herstellen als er toch onverhoopt iets mis is gegaan."
"Stel dat het een hacker tóch lukt om in onze systemen te komen, dan kunnen we precies dat deel van het systeem uitschakelen. We doen dan alle deuren naar die omgeving direct dicht. Dan gaan we zoeken: wie was het, waar is-ie, wat is daar precies gebeurd en hoe voorkomen we dat het opnieuw kan gebeuren?"
"Voor het uitgeschakelde deel zetten we later een backup terug. We maken dagelijks backups van al onze systemen. Ook hebben we 'immutable backups': backupbestanden die niet gewijzigd kunnen worden. Dat beschermt tegen ransomware-aanvallen."