BKR beheert de kredietgegevens van circa negen miljoen Nederlanders. Consumenten kunnen hun eigen kredietgegevens opvragen en om dit proces te vereenvoudigen heeft BKR het online consumentenportaal mijnBKR ontwikkeld. Informatiebeveiliging is essentieel, aangezien het om zeer gevoelige gegevens gaat. KPN hielp BKR met het ontwikkelen van het portaal en met de vervanging van een datacenter door Colocatie.
BKR is een onafhankelijke stichting met als doel om overkreditering en problematische schuldsituaties te voorkomen. Kredietverstrekkers zijn wettelijk verplicht in het informatiesysteem van BKR te toetsen welke financiële verplichtingen een persoon heeft. Ook consumenten zelf kunnen hun kredietgegevens opvragen. Jaarlijks doen ruim honderdduizend consumenten dat. Tot voor kort kon dat alleen via de bank, waar ze een formulier kregen dat moest worden ingevuld. De identificatie van de aanvrager gebeurde bij de bank, die vervolgens bij BKR een aanvraag deed voor inzage. De gegevens werden vervolgens via de post naar de aanvrager verstuurd. Om dit omslachtige proces eenvoudiger en efficiënter te maken en consumenten zelf de regie te geven over hun gegevens, ging BKR aan de slag met het ontwikkelen van een online consumentenportaal.
Ontwikkeling online portaal
BKR selecteerde KPN voor het creëren van een veilig online portaal. Erik van de Poel, directeur ict bij BKR: ‘Het beheren van privacygevoelige kredietgegevens is onze core business. Vandaar dat informatiebeveiliging bij ons topprioriteit heeft. Kredietgegevens mogen nooit in verkeerde handen komen.’ Tijdens de ontwikkelfase lag de focus op authenticatie van de consument op een veilige en gebruiksvriendelijke manier. Met het consumentenplatform is het identificatieproces online ingebouwd. Nadat de consument zich eenmalig fysiek heeft laten identificeren door BKR – bij BKR zelf, een postagentschap of bij de postbode aan de deur – kan hij of zij daarna met een gebruikersnaam, wachtwoord en sms-code inloggen.
Het portaal zal voorbereid worden om op termijn authenticatie te faciliteren via eID. Om hiervoor voorbereidingen te treffen zullen BKR, KPN en PostNL gezamenlijk een eID-pilot houden, die ook is aangemeld bij het eID-platform. Via het portaal kunnen consumenten niet alleen hun kredietgegevens bekijken, maar ook bekijken wie hun gegevens getoetst heeft. Als blijkt dat een organisatie onterecht kredietgegevens heeft opgevraagd, dan krijgt deze instelling een boete opgelegd.
Balans in security en compliance
De ontwikkeling van het platform werd stapsgewijs aangepakt. Eerst werd de beveiliging voor het zakelijk portaal en de thuiswerkomgeving ontwikkeld. Nadat deze technologie zich had bewezen, werd deze ook ingezet voor organisaties die zich met kredietverstrekking en financiële fraudebestrijding bezighouden. Nadat ook deze systemen robuust bleken en stand hielden tegen de hedendaagse cyberdreigingen, was het consumentenportaal aan de beurt.
BKR koos bewust voor KPN, vertelt Van de Poel: ‘KPN heeft ons geholpen om de juiste balans te vinden in security en compliance-maatregelen. We hebben daarbij zaken geanalyseerd als: wat zijn de bedrijfskritische processen, wat zijn de dreigingen, hoe groot is de kans dat er iets gebeurt? Dit hebben we vervolgens vertaald naar concrete maatregelen om security en compliance te waarborgen. Daarnaast stellen we de hoogste eisen aan veiligheid. We voldoen zelfs aan de strikte 3600N privacy normering.’
Veiligheidsniveaus
Het veiligheidsbeleid van BKR bestaat uit drie niveaus: preventie, detectie en reactie. Onder preventie worden zaken verstaan zoals firewalls, veilige lijnen, beheren en bewaken van digitale bevoegdheden en de fysieke beveiliging van het pand. Detectie gebeurt met een logmanagement-systeem, dat alles traceert wat er gebeurt en direct inzage geeft in afwijkende patronen. Ook het auditen van compliance- en privacy-processen zorg voor detectie van problemen. Van de Poel: ‘Mocht het misgaan, dan reageren we op technisch gebied, door bijvoorbeeld bevoegdheden in te trekken.’
Van eigen datacenters naar colocatie
De risico’s werden ook geminimaliseerd door het Twin Datacenterconcept aan te passen. Met dit concept had BKR zelf twee datacenters binnen de grenzen van het eigen terrein. Als er iets zou gebeuren met het ene datacenter, kon de organisatie terugvallen op het andere. Maar daarmee waren de risico’s niet voldoende afgedekt. Als er iets met beide datacenters zou gebeuren, kon er voor het belangrijkste deel een beroep worden gedaan op een extern business continuity center. Om het risico dat beide datacenters tegelijk uitvallen te verkleinen, besloot BKR één van de eigen datacenters te verhuizen naar een extern KPN Datacenter met Colocatie.
Van de Poel: ‘Zo kunnen we onze klanten altijd, ook bij calamiteiten, 24 uur per dag en zeven dagen in de week dienstverlening bieden en weten we zeker dat onze data veilig zijn. We werken met KPN samen omdat we al een lange geschiedenis hebben voor tal van diensten. Hieruit is gebleken dat KPN sterk en betrouwbaar is in informatiebeveiliging. Daarnaast verlopen de datastromen en connectivity al via KPN, dus konden we met minimale inspanningen verhuizen naar het KPN Datacenter.’
Voorbereiding op calamiteiten
Omdat dreigingen continu veranderen, blijft BKR steeds alert en wordt er veel ‘geoefend’. Zo wordt er iedere drie maanden, door steeds verschillende partijen, een ethical hack uitgevoerd. Daarnaast worden er draaiboeken bijgehouden waarin beschreven staat wat er bijvoorbeeld gedaan moet worden bij een hack. Van de Poel: ‘We oefenen met KPN al jaren in fysieke calamiteiten. En nu dus ook bij digitale calamiteiten: qua techniek, maar ook qua organisatie en communicatie.’
De verbeterde voorbereiding op calamiteiten zorgt voor meer zekerheid voor BKR. Bij lokale calamiteiten weet BKR nu dat de dienstverlening gewoon up and running blijft. Van de Poel: ‘We hoeven niet bang te zijn voor dataverlies of verstoring van onze business door uitval van systemen. Daarnaast hebben we ook een efficiencyslag gemaakt. Van twee eigen datacenters en een uitwijkdienst naar één eigen datacenter en één fysiek extern datacenter. Zo houden we op eigen terrein ruimte over en hoeven we niet meer te investeren in stroomvoorziening, kasten, klimaatbeheersing of beveiliging. In het KPN Datacenter implementeren en beheren we zelf onze eigen infrastructuur. KPN zorgt verder voor alle voorzieningen: van de redundante stroomvoorziening tot fulltime beveiliging van het gebouw. Voor simpele activiteiten, bijvoorbeeld een server aan- of uitzetten, kunnen we de hands on service van KPN inschakelen. Privacy van onze gegevens is overigens gegarandeerd: je komt alleen bij onze servers na een strenge autorisatieprocedure.’
