Als beheerder van .be-, .vlaanderen- en .brussel-domeinnamen, zit DNS Belgium in het hart van het Belgische internet. Betrouwbaarheid, stabiliteit en onafhankelijkheid vormen het DNA.
Wie een website bezoekt, ziet slechts een topje van de internetijsberg. Achter de visuele interface zit een complex stratennetwerk van domeinen die de bezoeker tot op het juiste adres krijgen. DNS Belgium heeft alle domeinen eindigend op .be, .vlaanderen en .brussels onder zijn hoede. Die miljoenen domeinen veilig online houden, behoort tot het dagelijkse takenpakket van CISO Kristof Tuyteleers.
Voor een organisatie die in het hart van het Belgische internet zit, is beveiliging een hoofdzaak. Na zeventien jaar dienst kent Tuyteleers DNS Belgium als geen ander. Toch zijn het spannende tijden voor hem: DNS Belgium staat op het punt te vertrekken uit de AWS-cloud, terwijl Europese regelgeving de lat alsmaar hoger blijft leggen.
ITdaily: Hoe ziet de IT-omgeving waarvoor je verantwoordelijk bent eruit?
Tuyteleers: “Ik ben nu zeventien jaar bij de organisatie. Toen beheerden we nog onze eigen infrastructuurlaa. Vandaag heb je bij ons een stukje traditionele IT maar het ‘sexy’ deel is uiteraard de DNS-omgeving. Onze kritieke infrastructuur moet altijd werken. Dit is echt het kroonjuweel van de organisatie.”
“Onze DNS-infrastructuur is doorheen de jaren veel omvangrijker geworden. We werken samen met grotere ISP’s om de weerbaarheid te versterken. We draaien een kopie van onze dienst in hun netwerk, klanten kunnen alleen die kopie gebruiken. Dat garandeert dat de dienst er blijft, zelfs als er technische problemen op het internet zijn. Het is niche, maar het sluit aan bij hoe het ‘oude’ internet werkte.”
“Ons registratieplatform is een ander verhaal. Hier wordt geregistreerd wie een domeinnaam bezit en de technische indicatoren. De uitdagingen zijn daar vooral policy-gedreven: een domeinnaam mag niet zomaar worden doorgegeve. De teams zijn georganiseerd in verschillende clusters met duidelijke verantwoordelijkheden.”
Wat zijn je belangrijkste prioriteiten op dit moment?
Tuyteleers: “Stabiliteit en betrouwbaarheid: dat is onze bestaansreden. Wetgeving speelt daarin een grote rol: GDPR voor het registratieplatform, vervolgens NIS1 en nu NIS2 en CER omdat we onder kritieke infrastructuur vallen. We moeten continu kunnen aantonen dat we compliant zijn. Het afbouwen van niet-Europese technologie is een nieuwe strategische prioriteit.”
We zijn een ‘saai’ bedrijf in de beste betekenis: als .be-domeinen niet werken, zijn diensten niet bereikbaar. We zijn in tegenstelling met wat vaak gedacht wordt geen overheidsbedrijf, maar een kleine vzw. Maar we mogen nooit platliggen. Op ieder moment moeten we kunnen aantonen dat wat we doen, vertrekt vanuit het identificeren en beheersen van risico’s. Dat is cruciaal om de relatie met stakeholders te onderhouden.
Begrijpt de rest van de organisatie die prioriteiten voldoende? Hoe krijg je iedereen op één lijn?
Tuyteleers: “Voor mij is dat eigenlijk relatief ‘makkelijk’, omdat we een risico-averse organisatie zijn. Risicobeheer zit in het DNA en vloeit door de hele organisatie, startend aan de top. Mijn rol is de mensen het risicolandschap duidelijk maken. Op het hoogste niveau gaat dat breder dan enkel risico’s, maar over hoe het hele internetlandschap evolueert.”
“We maken regelmatig een impactanalyse, waarbij we per dienst en product, zoals .be, .vlaanderen en .brussel, bepalen wat de ‘maximaal aanvaardbare’ downtime en recovery time moet zijn. Tijdens jaarlijks crisisoefeningen valideren we dan of die timings effectief gehaald worden.”
“Het voordeel van een kleine organisatie is dat de lijnen kort zijn: we zitten hier allemaal gezellig samen in Leuven. Voor elke verandering doen we een risico-analyse die door verschillende departementen wordt ingevuld. Zo is iedereen er actief mee bezig. Dat iedereen een rol speelt in beveiliging, wordt voortdurend benadrukt.”
Heeft de IT-afdeling toegang tot voldoende mensen en middelen om de uitdagingen tot een goed einde te brengen?
Tuyteleers: “Meer kan altijd natuurlijk (lacht). Wat onze sector typeert, is de internationale uitwisseling van kennis. We zijn lid van de Europese belangenorganisatie van nationale domeinbeheerders. Als we de kennis zelf niet hebben of ergens over twijfelen, hoeven we niet naar een commerciële partner te stappen. We zijn geen concurrenten van elkaar, maar eerder ‘concullega’s’ die open met elkaar kunnen spreken.”
“We hebben niet alle expertise permanent in huis. Daarom zijn initiatieven zoals dreigingsdata delen en benchmarken tegen maturiteitsmodellen voor ons waardevol. Er is geen competitief voordeel om die informatie niet te delen. We moedigen collega’s ook aan om lokaal actief te zijn in belangenorganisaties zoals bijvoorbeeld Beltug.”
Zit de toekomst van de IT-omgeving van DNS Belgium in de cloud, on-premises of in een combinatie daarvan?
Tuyteleers: “Dat hangt af van het de aard, het risicoprofiel en het juridisch kader van de IT-dienst. De DNS-infrastructuur zullen we altijd zelf draaien, in datacenters in België en Europa. Het De onderliggende infrastructuur voor het registratieplatform hebben we destijds wel uitbesteed aan AWS. Dat is al een tijdje gecontaineriseerd en kan in principe overal draaien, zowel op eigen hardware, de cloud of hybride infrastructuur”.
“De beslissing om weg te gaan bij AWS is genomen om onze flexibiliteit te maximaliseren. We zijn klein, dus moeten we ervoor zorgen dat we wendbaar zijn met de mensen en middelen die we hebben. Dat betekent op elk vlak proactief zijn en niet afwachten. Anders ben je alleen bezig met deadlines halen en dat willen we niet. Door ons huiswerk op tijd te maken, houden we ruimte over voor andere zaken als security, duurzaamheid en operationele verbetering”.
Welke impact hebben regelgevingen zoals NIS2 op het IT-beleid?
Tuyteleers: “We hebben ervoor gekozen om zowel ISO-certificering te gebruiken als de Cyfun-standaard van het CCB te implementeren om aan NIS2 te voldoen. De ISO-certificatie was één van mijn eerste grote projecten. Historisch waren we al sterk in technische beveiliging, maar minder in het procedurele en documentatie. Dat is extra werk, maar het levert duidelijkheid op.”
“De grootste uitdaging zit voor ons in de toeleveringsketen: hoe hou je die onder controle als kleine entiteit? Daarom zoeken we ook een compliance officer. Dat hoort niet bij de CISO-rol: de CISO bepaalt mee het beleid, maar je hebt iemand nodig die de ‘checks & balances’ doet”.
“Het gaat voor ons niet om dubbel compliant zijn, maar om de proef op de som nemen. ISO is een managementstandaard die weinig zegt over technische implementatie. Voor onze sector zijn er nog bijkomende verplichtingen. Technische mensen willen zwart-wit, maar de wetgeving is vaak grijs. Het is net de kern van mijn job om die standaarden te vertalen naar werkbare kaders waar technische teams mee aan de slag kunnen’. Ons doel is dat .be een veilige thuishaven blijft voor domeinnamen en websites.”
Hoe gaat jullie organisatie om met de AI-hype?
Tuyteleers: “Ik kijk ernaar als een hype, maar vanuit een pragmatische blik. We hebben een AI-werkgroep met collega’s die geïnteresseerd zijn. Eerst bekijken we het juridische kader: wat mag en wat niet, en heeft dat impact op hoe wij AI zouden gebruiken?”
“Belangrijk is dat je beleid niet uit een ivoren toren komt, maar vertrekt vanuit de noden van je mensen. Zo beperk je ‘shadow IT’. Je kan het misschien nooit 100 procent vermijden, maar door mensen mee uit te nodigen om het beleid te bepalen, hopen we dat ze daar minder toe geneigd zijn.”
“Daarnaast gebruiken we machine learning voor fraudebestrijding, maar dat bouwen we zelf. We wisselen ook hierover kennis en onderzoek uit met onder andere de Nederlandse domeinbeheerder via R&D-werkgroepen. We hebben er zelf ook baat bij dat omliggende landen veilige havens zijn en blijven. Het vertrouwen van burgers in het .be-domein is hoog, maar als domeinen van buurlanden veel fraude hebben, zal dit ook op ons afstralen. We willen de Belgische maatschappij veilig houden.”
Welke belangrijke trends volg je tot slot nog op met het oog op de komende drie jaar?
Tuyteleers: “Onze eigen verhuis weg van AWS staat bovenaan. Maar ik ben benieuwd hoe het landschap zelf zal evolueren Ons verhuisproject lokt interesse van bedrijven die met dezelfde vraagstukken zitten en regelgevers. De impact van grote cloudproviders op het internet is groot, zoals recente storingen aantonen. Het momentum is er om een vraag die al lang bestaat uit de voeren. Kan de Europese sector een inhaalbeweging maken?”
lees ook
Poll: Hebben geopolitieke spanningen impact op je IT-keuzes?
“Ik ben ervan overtuigd dat de kennis er wel degelijk is, maar we moeten ons dringend afvragen of datacenters en infrastructuur willen uitbouwen om workloads terug naar Europa te halen, of dat alle capaciteit naar AI-infrastructuur moet gaan? Persoonlijk hoop ik op die eerste piste, omdat ik oprecht geloof dat het kan. Maar dan mag je niet te lang wachten of de kennis is verdwenen. Dit is een interessant moment om opnieuw na te denken over afhankelijkheid. De huidige geopolitieke evoluties tonen voor mij dat we de juiste beweging hebben ingezet.”
Het momentum is er om afhankelijkheid van niet-Europese technologie af te bouwen.