Spring naar content

Vladimir Cibic, KPN: “Uiteindelijk willen we met z’n allen Nederland veiliger maken”

Vladimir Cibic is Chief Information Security Officer (CISO) bij KPN. Hij bekleedt deze functie sinds 2022 en heeft meer dan 25 jaar ervaring in de IT-sector. Voordat hij CISO werd, was hij onder andere Chief Information Officer (CIO) bij KPN. Vladimir is verantwoordelijk voor de beveiligingsstrategie en het governancebeleid van KPN en staat bekend om zijn leiderschap in digitale transformaties en het realiseren van grootschalige technologische projecten. Cybersecurity-redacteur Jan Meijroos spreekt met hem over de aankomende NIS2 richtlijn, threat intelligence sharing en riskbased werken.

Hoe lang is informatiebeveiliging en cybersecurity binnen KPN al een belangrijk thema?

Vladimir: “Kijk, eigenlijk is het heel simpel: cybersecurity is een jong vak. Zelf ben ik geen geboren cybersecurity-expert, maar ik ben het inmiddels wel aan het worden. Ik ben nu drie jaar CISO bij KPN. Daarvoor was ik CIO, daarvoor Head of Operations en daarvoor werkzaam binnen Networks.

Als ik echt moet zeggen wanneer security bij KPN serieus op de kaart is gezet, dan is dat in 2012. Toen zijn we gehackt. Simpel gezegd: dat was het moment waarop we zeiden: ‘We hebben security niet goed genoeg op orde. Dit moet beter. Toen is besloten om een CISO-organisatie op te zetten.”

Wat gebeurde er toen?

Vladimir: “Jaya Baloo is toen aangenomen als CISO en zij heeft die hele afdeling opgezet. Ze heeft de structuur neergezet zoals die er vandaag de dag nog steeds grotendeels is: een red team met ethische hackers, een blue team met een Security Operations Center (SOC), een CERT en een beleidsafdeling. En ze heeft de KPN Security Policy geschreven – de KSP – waar nog steeds iedereen binnen het bedrijf aan moet voldoen.”

Wat houdt die KSP in?

Vladimir: “Heel concreet: als je live gaat met een nieuwe toepassing, dan word je gepentest. Sluiten we contracten met leveranciers, dan zit daar een security-annex bij waarin alle eisen staan waaraan zij moeten voldoen. Jaya heeft echt iets heel goeds neergezet. Maar zoals dat vaak gaat: als het eenmaal onder controle lijkt, verslapt de aandacht weer wat. Totdat de dreiging in de wereld zodanig toeneemt dat iedereen weer wakker wordt geschud.”

Wat heb jij anders gedaan sinds jij het hebt overgenomen?

Vladimir: “Jaya had de basis goed staan: beleid, processen, verdedigingsmechanismen – allemaal sterk. Maar security werd nog te vaak gezien als iets dat ‘moet’. Ik heb ervan gemaakt dat security van iedereen is, niet alleen van CISO. Mijn grootste taak: hoe krijg ik bij alle 10.000 KPN’ers security op het netvlies als prioriteit nummer één? Dat is het leukste aan mijn werk.”

Heeft die KSP ook een keerzijde? Remt het bijvoorbeeld innovatie?

Vladimir: “Nee, dat valt mee. Als je je werk goed doet en je houdt je aan afspraken, kom je prima door een pentest. Vaak zie je dat mensen klagen dat een pentest lang duurt, maar dan hebben ze hem vier keer moeten overdoen door fouten. Dan ligt het niet aan de test. We hanteren zero tolerance: als ik iets live zet met een kwetsbaarheid en we worden gehackt, moet je me ontslaan. Zo simpel is het.”

Is de KSP veranderd door de jaren heen?

Vladimir: “Ja. In het begin moest alles altijd aan alles voldoen. Maar dat is niet haalbaar. Security stapelt zich op. Als één laag niet perfect is maar de rest wel, heb je het risico al flink verlaagd. Wij werken nu risk-based: kritieke onderdelen moeten aan alles voldoen, minder kritieke aan minder. Dat maakt het werkbaar.” “De basis is hetzelfde, maar je moet met de tijd mee. Vroeger had je je eigen servers, nu neem je SaaS af. Je kunt dan niet zomaar pentesten. Dus pas je je aanpak aan. Alles 100% willen beveiligen is een utopie. Je moet de juiste dingen goed doen.”

Als ik nou een gemiddelde mkb-klant ben van KPN, hoe merk ik dan eigenlijk iets van jullie ‘security first’-beleid?

Vladimir: “In principe merk je daar niets direct van. Als mkb-klant of consument moet het gewoon veilig zijn. Onze netwerken en diensten zijn standaard goed beveiligd. We gaan daar niet mee pronken – dat nodigt juist hackers uit. Mijn baas wil dat soms wel, maar ik zeg dan: nee.”

Iets anders dan, in Hilversum zitten jullie NOC en SOC, eigenlijk in één. Wat gebeurt daar precies?

Vladimir: “In Hilversum draaien we 24/7. Aan de NOC-kant bewaken we continuïteit: we monitoren alle alarmen die te maken hebben met verstoringen, groot of klein. ’s Nachts is er een waakdienst, overdag vaste mensen die direct reageren als er iets misgaat.”

Het SOC (Security Operations Center) draait ook 24/7 en focust op cybersecurity. Belangrijke onderdelen zijn bijvoorbeeld log management, waarbij we drie dingen goed in de gaten houden:

  1. Privileged access – wie logt er in op gevoelige assets?
  2. Data exfiltratie – stroomt er plotseling ongebruikelijk veel data naar buiten?
  3. Lateral movement – springt iemand onverwacht van de ene omgeving naar de andere?

Daarnaast houden we ons bezig met malwaredetectie, vulnerability scans, anti-DDoS – al die signalen komen samen in ons SOC. En daar reageren we direct op.”

Jullie zien enorm veel data, en vorig jaar waren jullie aanwezig op 24NL Secured met onder andere de AIVD. Daar ging het ook over samenwerking tussen private en publieke partijen. Hoe zit dat?

Vladimir: “We hebben samen met negen andere grote Nederlandse bedrijven de stichting Circle of Trust opgericht. Daar zitten bijvoorbeeld de grote banken in, Shell, Philips, ASML, Ahold Delhaize, NS… tien corporates in totaal. We werken binnen de stichting samen onder één overkoepelende NDA, zodat we veilig informatie kunnen delen.”

Wat voor samenwerking is dat concreet?

Vladimir: “We doen aan threat intelligence sharing, hebben gezamenlijke projecten, expertgroepen. Als ik bijvoorbeeld iets wil vernieuwen op het gebied van authenticatie, stuur ik een mail en krijg ik meteen tips en contactpersonen van andere bedrijven. We leren enorm veel van elkaar.”

En die samenwerking reikt tot aan de overheid?

Vladimir: “Ja, wij hebben de zogeheten OKTT-status (Organisaties met Kritieke of Tijdige Toegang tot vertrouwelijke informatie) maar het houdt in dat we als stichting formeel mogen samenwerken en informatie mogen delen met de overheid.

Dat doen we ook. Want uiteindelijk willen we met z’n allen Nederland veiliger maken. We hebben de kennis en capaciteit – ik heb zelf straks 220 mensen in het CISO-team en nog eens 50 tot 60 in de businessunits. Dus bijna 300 mensen dedicated op security. En daar mag de rest van het land best van profiteren, vinden wij.”

Jullie sturen die informatie dus niet direct naar andere bedrijven?

Vladimir: Klopt. Wij mogen dat niet zelf verspreiden. Maar we geven het wél door aan het NCSC (Nationaal Cyber Security Centrum). En zij distribueren het dan breder, bijvoorbeeld naar mkb’ers, andere sectoren of gemeenten. Zo maken we met z’n allen het digitale Nederland veiliger.

Hoe kijk jij als CISO naar de aankomende NIS2-wetgeving?

Vladimir: “We zijn er uiteraard al mee bezig, maar we moeten nog zien hoe het er uiteindelijk precies uit gaat zien. Kijk, wij voldoen al aan NIS1, maar in eerdere regelgeving hebben we gemerkt dat het alsnog onverwacht specifiek kan worden, en dat heeft veel werk met zich meegebracht.”

De basis van NIS2 is helder: je moet je securityprocessen op orde hebben. Kwetsbaarheidsmanagement, hardening, back-upmanagement, encryptie – dat moet gewoon allemaal goed staan. En dat hebben we bij KPN ook grotendeels op orde, we zijn daar al lang mee bezig. Maar als je 250.000 assets in je organisatie hebt, dan kun je niet van de ene op de andere dag zeggen: alles voldoet perfect aan alle 20 securityprocessen. Dus ook hier hanteren wij een risk-based approach.”

Eén van de nieuwe elementen in NIS2 is de ketenzorgplicht en de bestuurlijke verantwoordelijkheid. Wat is jouw visie daarop?

Vladimir: “Ja, kijk, over die ketenzorgplicht – als je bedoelt dat ik als KPN verantwoordelijk ben voor de hele keten, inclusief toeleveranciers, dan zeg ik: dat voelde ik al lang zo. Je kunt geen veilige dienstverlening bieden als je leveranciers onveilig zijn. Daarom nemen we dat al mee in onze KPN Security Policy (KSP), inclusief een security-annex in contracten.”

Jij zegt ook: ‘ISO 27001 en NIS2 zijn echt verschillend’. Kun je dat uitleggen?

Vladimir: “Zeker. ISO 27001 is een soort algemeen keurmerk. We vliegen moeiteloos door die audits. Maar een NIS2-audit? Die ga je echt niet ‘vliegend’ door. Die is veel specifieker. Dan kijken ze echt: zijn de processen daadwerkelijk geïmplementeerd? Is je scope scherp gedefinieerd? Heb je volledige coverage? Dat is veel grondiger.

Ik snap de richting die men met NIS2 op wil gaan. Je spreekt generieke normen met elkaar af over hoe je security inricht. En wat ik goed vind: het geldt voor iedereen – van energiebedrijven tot telecom. Het wordt dus meer een gezamenlijke standaard.”

En die bestuurlijke verantwoordelijkheid?

Vladimir: Die is nieuw en interessant. In NIS2 zit een liability-regeling. Als ik als CISO meld dat iets moet gebeuren, en de board doet er niets mee, en het gaat fout – dan ligt de aansprakelijkheid bij hén. Dat geeft mij een sterk mandaat binnen KPN. Nu had ik dat al, maar voor andere bedrijven kan dat enorm helpen om security op boardniveau serieus te krijgen.

En de meldplicht. Wat vind je daarvan?

Vladimir: “De drempel om incidenten te melden wordt mogelijk verlaagd, maar ik waarschuw dan: weet wat je vraagt. Nu melden we drie incidenten – straks misschien 30.000. Keer 5.000 bedrijven… hoe wil je dat gaan verwerken? Dat slaat nergens op. Dus die meldplicht moet realistisch blijven.”

Heeft dat ook te maken met die 24-uurs meldtermijn?

Vladimir: “Ja. Kijk, als je iets moet melden binnen 24 uur, maar je weet nog niet wat het incident precies inhoudt… wat heeft de toezichthouder daar dan aan? Je moet eerst onderzoek doen. Dus ook daar geldt: denk goed na over wat je vraagt en wat je ermee kunt.”

Iets anders dan, hoe kijk jij naar het NIS2 Quality Mark; het security keurmerk voor toeleveranciers in de keten?

Vladimir: “Als wij met een partij willen samenwerken en die partij toont aan dat ze een NIS2 QM hebben, waarin al een flink deel van onze vereisten is afgedekt, dan is dat waardevol. Of het altijd voldoende is, hangt van de inhoud af. Maar het is een goede vorm van assurance. Een soort “mini-SOC2-rapport” voor het mkb. Dat is precies wat we nodig hebben.”

Betrouwbaarheid in deze is essentieel natuurlijk…

Vladimir: “Zeker. Wij laten onze audits uitvoeren door partijen als Deloitte of EY. Daar vertrouwen we op. Als dat bij dit keurmerk ook zo is geregeld dan geeft dat cachet. Dan is het niet zomaar bedacht maar serieus werk.”

Wat moeten we tenslotte nog doen om het mkb mee te krijgen in het thema informatiebeveiliging en security?

Vladimir: “Drie zaken zijn hier van belang.

  1. Gebruik standaardproducten met standaardbeveiliging van je telco of softwareprovider. Meestal zit die security er al in – zet het gewoon aan. Veel is gratis, je moet het alleen activeren.
  2. Koop goede, standaard IT. Ga niet zelf lopen knutselen. In de Microsoft-suite kun je bijvoorbeeld alles aanzetten. Wij zijn met Circle of Trust bezig om te zorgen dat die instellingen per default aan staan. Microsoft doet dat nog niet, want het is onderdeel van hun businessmodel. Maar dat zou eigenlijk wél moeten.
  3. Geen IT-neefjes onder het bureau. Als je zelf iets gaat bouwen of denkt slim te zijn, dan gaat het vaak mis. Awareness is hier ook een sleutelwoord.

Technologie is één, processen zijn twee, maar gedrag en bewustzijn zijn minstens zo belangrijk. Dat maakt ook dat we binnen KPN veel tijd besteden aan interne awareness.”

Gerelateerde artikelen

De naam NIS2 Quality Mark wordt gewijzigd naar NIS2 Supply Chain

Microsoft integreert Security Copilot in Microsoft 365 Enterprise

Duitse NIS2-wetgeving versnelt bij Nederlandse foodbedrijven de NIS2-certificering

ENISA NIS Investments-rapport 2025: Investeringen, uitdagingen en risico’s in de keten

Allinco en Samen Digitaal Veilig bundelen krachten voor toekomstbestendige cybersecurity
Interesse in dit onderwerp?

We houden je op de hoogte!

Terug naar overzicht