"Er is niets mis met een goede hacker. Gekscherend noem ik ethische hackers knuffelhackers." Dat zegt Jaya Baloo, Chief Information Security Officer van KPN, op het forumblog van KPN. Ze zegt dat er binnen KPN een angst bestond voor hackers na een grote hack bij de telco enkele jaren geleden, maar dat zij haar collega's heeft overtuigd dat er ook "een ander soort hacker" bestaat dan de cybercrimineel.

KPN zet hackers in om alle nieuwe producten en diensten te testen. "Je kunt deze mensen beter vóór je hebben werken in plaats van dat ze je tégenwerken. De meest opportune uitdagingen proberen we zo op te sporen. 100 procent veilig is niet mogelijk."

Baloo: Certificering is overschat

Verder laat Baloo zich waarschuwend uit over het certificeren van beveiliging, wat in haar ogen niks anders zegt dat de interne processen dan wel op orde zijn, maar niet betekent dat het betreffende bedrijf dan veilig is. "De grootste hacks in de geschiedenis overkwamen juist bedrijven die voor hun security gecertificeerd waren."

Ook heeft ze kritiek op software- en hardwareleveranciers, die in haar ogen te weinig doen om hun producten zelf optimaal moeten testen op veiligheid voordat deze op de markt komen. "Het hoort niet normaal te zijn dat een doorverkopende partij als KPN deze securitycheck voor zijn rekening moet nemen." KPN verkoopt onder meer routers en clouddiensten van diverse fabrikanten.

Lees meer over deze kritiek in Moet ICT-beveiliging via de wet worden afgedongen? op Computerworld.nl.

Pleit voor Europese securityregelgeving

Daarom zou er Europese regelgeving moeten komen voor beveiliging. "Transport, telecommunicatie, gezondheid; voor alle denkbare sectoren zijn beveiligingsverplichtingen vastgelegd. Alleen niet voor hard- en softwarebedrijven. Neem de gezondheidssector, die zelf geen software maakt. Deze sector koopt een product dat mogelijk bij het uitpakken al bugs bevat. Maar hoe is dat te weten? Ethisch hacken is goed. Maar waarom moet de koper dit doen in plaats van de producent?"