Klantcase


Ingrid Terlien, Security Officer bij Knab:

‘Security krijgt altijd voorrang’

Knab werd in 2012 opgericht als de online bank die het allemaal ‘anders’ gaat doen. “Wij willen met IT bankieren makkelijker maken”, aldus Security Officer Ingrid Terlien. Zoals elke bank moet ook Knab daarbij ‘schipperen’ tussen gebruikersgemak en security. SecurityVandaag kreeg van Terlien een inkijkje in hoe de bank het ‘spel met de hacker’ speelt.

Ingrid Terlien heeft een lange curriculum vitae als het gaat om IT en security, of zoals ze het zelf zegt: “Ik zit al heel lang in het vak.” Zo was ze bij de Rabobank Identity and Access Management-specialist en later Security Officer voor de Europese kantoren. Die laatste functie vervulde ze ook bij betalingsverwerker Equens, waar ze onder andere betrokken was bij het certificeringstraject voor de Payment Card Industry Data Security Standard, de internationale beveiligingsstandaard opgesteld door de diverse betaalkaartmaatschappijen.

“Dat was een leuk maar ook redelijk heftig traject waar ik wel grijze haren van heb gekregen”, zo blikt Terlien met een lach terug op haar periode bij Equens. “Voor PCI-compliance moet je niet alleen op het moment van een audit kunnen aantonen dat je aan de regelgeving voldoet, maar als er iets gebeurt moet je ook achteraf kunnen aantonen dat je op dat moment voldeed. Als je niet voldoet en je kunt niet aantonen dat je in control bent, kunnen er sancties worden opgelegd.. Dat hele traject vraag veel van een organisatie.”

De andere bank

In 2014 werd ze via LinkedIn benaderd door de IT-manager van Knab die haar overhaalde om bij deze online bank de rol van Security Officer te gaan vervullen. “Het klikte meteen”, vertelt Terlien. “Bij Knab kwam ik als het ware in een groene weide terecht.” Waar ze in vorige functies gewend was om in een team van securityprofessionals te werken, werd ze bij Knab in haar eentje verantwoordelijk voor security. Inmiddels heeft Terlien versterking gekregen.

Knab bestond nog maar krap twee jaar toen Terlien in dienst kwam. “Wij zijn ‘de andere bank’ die gelooft dat bankieren ook anders kan. Bij ons staat de klant centraal.” Dat uit zich volgens Terlien onder andere in transparantie (‘je betaalt één standaard fee en daar krijg je alles voor’), in servicegerichtheid (‘je wordt meteen geholpen’) en in monitoring van de klant. “We denken met de klant mee en proberen grip te krijgen op zijn financiële risico’s.” Een belangrijk verschil met de traditionele banken is bovendien dat Knab geen fysieke kantoren heeft. “Wij doen echt alles online.”

Securityfundament

“Security heeft bij Knab dan ook vanaf dag 1 hoog in het vaandel gestaan”, zo benadrukt Terlien. Volgens de Security Officer komt dat ook tot uitdrukking in het ‘beveiligingsfundament’ dat haar voorganger al heeft neergelegd. “De ‘defense of depth’ is door mijn voorganger echt heel erg goed ingericht.” Terlien gaat er vanuit dat als een hacker wil, dat deze altijd binnen kan komen. Het gaat erom dat je zo’n inbraak zo snel mogelijk kunt detecteren en dat de binnendringer zoveel mogelijk moeite moet doen om bij de kroonjuwelen te komen. Knab heeft zowel preventieve als detecterende maatregelen getroffen, maar Knab is continu bezig dit te versterken.

In control blijven

Aan Terlien de taak om het fundament verder uit te breiden waardoor, zoals ze het zelf zegt, Knab niet alleen ‘in control is maar ook blijft’. Zo introduceerde Terlien voor het grootste deel van de circa tachtig medewerkers de dienst mSafe van Motiv voor het veilig uitwisselen van bestanden. Hierna konden alternatieve kanalen zoals Dropbox en WeTransfer ‘dicht’. “We zijn nu samen met Motiv bezig met de implementatie van een Technical Compliance Management-dienst om toe te kunnen zien op het patchmanagement en de ‘secure settings’ te kunnen detecteren. Je kijkt wat er wijzigt op de infrastructuurlaag en wat de gevolgen zijn van die wijzigingen voor de security.”

Een volgende stap is het formeel inrichten van een centraal Security Incident and Event Management (SIEM). “Hiermee willen we afwijkende verkeerspatronen op ons netwerk eruit kunnen halen. Een vervolgstap is dat we ook naar de buitenwereld gaan kijken zodat we sneller kunnen inspelen op eventueel potentiële nieuwe aanvallen. Op die manier gaan we het spel met de hacker spelen. Want dat is het, een spel, een kat-en-muisspel”, zo voegt Terlien er glunderend aan toe.

Strakke regie

Evenals het Technical Compliance Management zal ook SIEM als een beheerde dienst bij een partner worden afgenomen, zo begrijpen we van Terlien. “Wij bouwen dit soort applicaties liever niet zelf, maar voeren de regie.” Het voeren van een strakke regie is volgens de Security Officer van Knab een belangrijk aspect van het ‘in control zijn en blijven’. “Een ISAE-verklaring zegt mij niet genoeg, want dat is een generieke verklaring voor alle klanten van een dienstenleverancier.”

“Een ISAE-verklaring is slechts een indicatie dat een provider zijn zaakjes op orde, maar geeft niet aan of aan mijn specifieke wensen tegemoet wordt gekomen”, vervolgt Terlien. “Ik ben dan toch meer van de ‘PCI-aanpak’: ‘Dit zijn de requirements die wij als Knab stellen, en laat maar zien dat je hieraan voldoet. Laat maar zien dat je in control bent, en laat zien wat je doet als er toch iets misgaat.’ Daar willen we inzicht in hebben en gaan we vervolgens ook op monitoren.”

Veilige innovatie

Een ander belangrijk aspect van het in control zijn en blijven, is het inbedden van security in de innovatie. Hierbij gaat het om zoveel mogelijk gebruikersgemak voor de klant, maar wel een oplossing aanbieden waarbij de beveiliging zo sterk mogelijk is. Helaas kan Terlien niet teveel zeggen over de innovatieve ideeën.

Knab heeft het standpunt mobile first.“De inzet van de mobiele telefoon wordt steeds belangrijker, want die heeft de klant altijd bij zich”, vervolgt Terlien. “Je mobiel wordt je bank, maar dat heeft wel securityconsequenties. Wat doe je bijvoorbeeld als de telefoon jailbroken is, of als de klant zijn mobiel verliest?” Het antwoord ligt volgens Terlien in bijvoorbeeld software waarmee kan worden vastgesteld of de gebruiker van een telefoon ook echt de rechtmatige gebruiker is, bijvoorbeeld aan de hand van de manier waarop de pincode wordt ingevoerd. Terlien: “Maar ik kan echt nog niet zeggen hoe Knab dit gaat oplossen, want we zijn er nog volop mee bezig.”

“Binnen Knab leven ontzettend veel nieuwe, innovatieve ideeën die ook uitgevoerd moeten worden”, zo besluit Terlien. “Dat maakt het spel qua security ontzettend leuk. Het is zeker geen rustige baan.”


Lees meer over