Ict-dienstverlener KPN maakt na een roerig weekend de balans op nadat het interne netwerk gehackt werd. Het bedrijf voerde in stilte een volledig nieuw beveiligde omgeving in en schakelde twee miljoen e-mailaccounts uit en weer in omdat er mogelijk klantgegevens waren gelekt. KPN zegt geleerd te hebben van de ontstane situatie en de maatregelen die genomen moesten worden.
De grootschalige omzet-operatie van de KPN e-mailaccounts van het afgelopen weekend heeft voor twee miljoen klanten betekend dat hun normale e-mail tijdelijk uit de lucht was. Nadat alle e-mailaccounts weer volledig live waren, heeft KPN alle klanten het advies gegeven om hun wachtwoord te wijzigen.
Informeren en communiceren
‘De recente ontwikkelingen hebben een grote impact gehad op onze klanten en op onze organisatie', zegt bestuursvoorzitter en ceo van KPN Eelco Blok. ‘Het is nog te vroeg om volledig te evalueren, maar na een turbulent weekend kunnen we al vaststellen dat we dingen goed en dingen fout hebben gedaan. Op het gebied van onze systemen, op het gebied van onze beveiliging, maar ook op het gebied van het informeren van en communiceren met onze klanten. Daar hebben we van geleerd.'
Nadat een lijst met privé-gegevens van klanten op het internet was gepubliceerd, kon KPN niet uitsluiten dat gegevens van klanten in handen van derden met kwade bedoelingen waren gevallen. Toen is de beslissing genomen om de e-maildienst van onze klanten tijdelijk uit de lucht te nemen. Joost Farwerck, directeur KPN Nederland: ‘Afgelopen vrijdag hebben wij het zekere voor het onzekere moeten nemen. Dit als voorzorgsmaatregel om ervoor te zorgen dat onze klanten zo veilig mogelijk kunnen e-mailen. Voor die keuze nemen wij de volle verantwoordelijkheid.' Uiteindelijk bleken de gelekte gegevens van KPN-klanten niet bij KPN zelf te zijn buitgemaakt, maar waren deze verkregen door een hack van een website die handelt in babyspullen.
Uitbreiding Webcare-team
Eerder kondigde KPN aan investeringen te gaan doen in de dienstverlening. ‘Een deel van de investeringen die zijn aangekondigd, zal met voorrang in onze ict-systemen worden gedaan', aldus Farwerck. ‘Een aantal verbeteringen is in de afgelopen weken al doorgevoerd. Niet alleen in beveiliging maar ook in modernisering van de systemen zelf. Daarnaast zullen we op korte termijn een aantal wijzigingen in de besturing van de ict-organisatie doorvoeren, om de kwaliteit en effectiviteit te vergroten. De afgelopen weken hebben de noodzaak daartoe nog eens onmiskenbaar duidelijk gemaakt. Om de dienstverlening aan klanten verder te verbeteren zal het KPN Webcare-team in maart worden uitgebreid.'
Diverse experts hebben in hun analyse rondom de digitale inbraak gesuggereerd dat KPN met ernstig verouderde systemen werkt en dat bovendien verzuimd is om regelmatig updates uit te voeren. Farwerck geeft toe dat het onderhoud aan internet-ict-systemen niet steeds optimaal is geweest.
Kracht in techniek
KPN heeft van diverse kanten het verwijt gekregen dat het te traag is geweest in het informeren van klanten. Eelco Blok is het hier niet helemaal mee eens. ‘Er zijn ingrijpende en ook goede afwegingen gemaakt, juist in het belang van onze klanten en het continueren van de dienstverlening. Maar aan de andere kant is het zeker waar dat wij moeten leren meer vanuit de klant te denken in plaats van eerst de technische oplossing te willen bedenken en uitvoeren. In de techniek ligt traditioneel onze kracht, maar onze klant moet onze hoogste prioriteit hebben.'
OT: plaatje bij het artikel: ROFL – hacken in een pak met das en bivakmuts… Ook handig om je laptop met een hand in de lucht voor je te houden, voorkom je dan RSI of zo?
Wat vervelend om in alle online nieuwsberichten de zefde huisvrouwenprietpraat te moeten lezen. “omdat klantgegevens waren gelekt” is niet hetzelfde als “omdat men aanvankelijk dacht dat er klantegegevens waren gelekt”. De toonzetting is op z’n minst stemmingmakend van hoog Telegraaf gehalte. 🙁 Dat dit achteraf niet het geval bleek te zijn wordt in het hele artikel niet eens vermeld. Computable laat zich gebruiken door een hackertje dat een jaar geleden een webshop heeft gehackt. Dat zegt iets over de kwaliteiten van Computable.
Wat een beleid! Hieruit blijkt nogmaals dat het belang van security updates/patches ernstig wordt onderschat. Dit zou een vast onderdeel in een security-plan moeten zijn. Dit wordt vaak over het hoofd gezien of uitgesteld, omdat systemen ‘highly-available’ moeten zijn en dus weinig tot geen onderhoud aan deze systemen kan/mag plaatsvinden. Niet alleen bij KPN is het security beleid achterhaald, maar ook bij andere (grote) bedrijven. Er wordt gewoonweg te weinig aandacht en geld besteed aan het security-aspect. De verwachting is dat meerdere bedrijven op korte termijn achter de feiten zullen aanlopen.
@Peter,
Dit artikel is gebaseerd op een officiële verklaring van KPN zelf. Met een hacker heb ik (helaas) geen contact gehad. Ik zal nog even naar de tekst kijken om het iets duidelijker voor je te maken.
Wel weer een gemiste kans van KPN is de manier waarop men zijn klanten heeft gevraagd om het wachtwoord te wijzigen. Men heeft een URL mee gestuurd waarmee dit kan, in plaats van te wijzen naar de standaard procedures voor wachtwoord wijzigingen.
Dit kan net zo goed een phishing mail zijn, om de wachtwoorden te achterhalen.
Ik vind het werkelijk triest hoe makkelijk de KPN hier mee omgaat. Nu een nieuw beveiligingsysteem introduceren is wel mostert na de maaltijd. KPN had zijn verantwoordelijkheid en maatregelen al in een vroeg stadium moeten nemen. Mogelijk zijn deze klantgegevens al eerder van de servers afgehaald en zijn er echte kwaadwillenden hiermee al aan de slag gegaan zonder de media in te lichten.
Zij pretenderen een goed en volwaardig product aan te bieden maar dit blijkt dus een wassen neus te zijn.
Niet de(ze) hacker moet vervolgd worden maar m.i. juist de KPN vanwege de nalatigheid en het niet tijdig inspelen op security ontwikkelingen!
Is het wel een hack? Als je als bedrijf jezelf slecht beveiligd, waardoor iemand naar binnen kan, ben je dan gehacked? Als je je achterdeur niet op slot doet ’s nachts, is er dan ingebroken ? Anyway, iemand heeft zich onbevoegd toegang tot een computersysteem verschaft. AL kan ik het niet Hacken noemen.
Wel weer stuitend hoe grote organisaties steeds vaker in het nieuws komen door slecht omgaan met beveiliging. Als het kalf verdronken is dempt men de put. Ofwel als het netwerk gehacked is gaat men wat aan de veiligheid doen. Waarom niet vooraf. Waarom kan ik als gebruiker alleen maar ‘vertrouwen’ op mooie praat, maar niet op een onmafhankelijke audit ? Waarom wordt gewoon niet elke zaterdag op zondagnacht tussen 0200 en 0500 een patchronde ingelast (of zijn dan de beheerders te duur?).
@Bert Ze hebben er wel iets meer over nagedacht hoor. Je kunt het alleen doen vanaf een aansluiting in de woonplaats waar je het abonnement op hebt, en je moet een deel van je rekeningnummer, dat bij het abonnement hoort invoeren. Dat gaat dus niet zomaar…
De enige die door heeft wat er aan de hand is, is volgens mij Peter van de eerste reactie. Het interne netwerk van KPN ís helemaal niet gehackt als ik het goed begrijp. Dat KPN wél in paniek raakte is natuurlijk logisch: het zit daar niet helemaal goed met de IT-infrastrucuur.
Ik geef al maanden aan dat de interne organisatie niet klopt.De linker hand weet niet wat de rechter hand doet.Hopelijk wordt de directie eens wakker.Beveiliging en communiceren werkt niet bij de KPN.