Ict-dienstverlener KPN heeft op aanwijzing van een ethische hacker een lek weten te dichten in zijn LBNS-netwerk. De melding kwam afgelopen zomer via ‘responsible disclosure’ bij KPN binnen. Volgens het bedrijf is er geen impact geweest voor de vitale infrastructuur en waren er geen klant- of persoonsgegevens in het geding. LBNS staat voor landelijk beheer netwerksystemen.
Via het Nationaal Cyber Security Centrum (NCSC) werd op 25 juli 2013 een melding gemaakt waaruit bleek dat toegang tot een beperkt deel van de interne infrastructuur van het KPN LBNS-netwerk mogelijk was. Via het NCSC heeft KPN contact gezocht met de melder om meer informatie te krijgen over hoe hij dit heeft ontdekt. Er bleek nog een aansluiting open te staan in een leegstaand pand. Inmiddels was er een computervereniging in het pand getrokken en de ethische hacker kon met behulp van diverse apparatuur een deel van het KPN-netwerk inzien. Hij heeft zijn bevindingen en de manier waarop hij in het netwerk van KPN heeft kunnen kijken gedeeld met KPN-Cert (computer emergency response team). Direct na de melding is er gestart met het verbeteren van dit deel van het netwerk. Inmiddels zijn de werkzaamheden afgerond.
Responsible disclosure
KPN is zeer tevreden dat de responsible disclosure-procedure, waarbij hackers hun bevindingen met KPN delen, werkt. ‘Onze procedure blijkt aantoonbaar te werken’, staat in een verklaring te lezen. ‘Als KPN staan we open voor de samenwerking met ethische hackers. Eerder in het voorjaar hebben we prettig samengewerkt met de modemhackers. Wij hebben deze bevindingen, samen met deze hackers, zelf gecommuniceerd naar de buitenwereld. Wij zijn blij met deze netwerk- en securityspecialisten, die op eigen initiatief hardware en software testen op kwaliteit en deze kennis aan ons doorgeven. KPN is uiteraard afhankelijk van hardware- en softwareleverancier om onze diensten aan klanten te kunnen leveren. Als daar onvolkomenheden in worden aangetroffen, staan wij open voor een melding van deze specialisten.’
KPN zegt met een ieder te willen samenwerken die een mogelijke kwetsbaarheid ontdekt. Dat geldt dus ook voor ethische hackers. Voorwaarde is dat men verantwoordelijk omspringt met deze kennis. Daarnaast moeten zij zich houden aan het responsible disclosure-beleid van KPN.