Ict-dienstverlener KPN maakt na een roerig weekend de balans op nadat het interne netwerk gehackt werd. Het bedrijf voerde in stilte een volledig nieuw beveiligde omgeving in en schakelde twee miljoen e-mailaccounts uit en weer in omdat er mogelijk klantgegevens waren gelekt. KPN zegt geleerd te hebben van de ontstane situatie en de maatregelen die genomen moesten worden.
De grootschalige omzet-operatie van de KPN e-mailaccounts van het afgelopen weekend heeft voor twee miljoen klanten betekend dat hun normale e-mail tijdelijk uit de lucht was. Nadat alle e-mailaccounts weer volledig live waren, heeft KPN alle klanten het advies gegeven om hun wachtwoord te wijzigen.
Informeren en communiceren
‘De recente ontwikkelingen hebben een grote impact gehad op onze klanten en op onze organisatie', zegt bestuursvoorzitter en ceo van KPN Eelco Blok. ‘Het is nog te vroeg om volledig te evalueren, maar na een turbulent weekend kunnen we al vaststellen dat we dingen goed en dingen fout hebben gedaan. Op het gebied van onze systemen, op het gebied van onze beveiliging, maar ook op het gebied van het informeren van en communiceren met onze klanten. Daar hebben we van geleerd.'
Nadat een lijst met privé-gegevens van klanten op het internet was gepubliceerd, kon KPN niet uitsluiten dat gegevens van klanten in handen van derden met kwade bedoelingen waren gevallen. Toen is de beslissing genomen om de e-maildienst van onze klanten tijdelijk uit de lucht te nemen. Joost Farwerck, directeur KPN Nederland: ‘Afgelopen vrijdag hebben wij het zekere voor het onzekere moeten nemen. Dit als voorzorgsmaatregel om ervoor te zorgen dat onze klanten zo veilig mogelijk kunnen e-mailen. Voor die keuze nemen wij de volle verantwoordelijkheid.' Uiteindelijk bleken de gelekte gegevens van KPN-klanten niet bij KPN zelf te zijn buitgemaakt, maar waren deze verkregen door een hack van een website die handelt in babyspullen.
Uitbreiding Webcare-team
Eerder kondigde KPN aan investeringen te gaan doen in de dienstverlening. ‘Een deel van de investeringen die zijn aangekondigd, zal met voorrang in onze ict-systemen worden gedaan', aldus Farwerck. ‘Een aantal verbeteringen is in de afgelopen weken al doorgevoerd. Niet alleen in beveiliging maar ook in modernisering van de systemen zelf. Daarnaast zullen we op korte termijn een aantal wijzigingen in de besturing van de ict-organisatie doorvoeren, om de kwaliteit en effectiviteit te vergroten. De afgelopen weken hebben de noodzaak daartoe nog eens onmiskenbaar duidelijk gemaakt. Om de dienstverlening aan klanten verder te verbeteren zal het KPN Webcare-team in maart worden uitgebreid.'
Diverse experts hebben in hun analyse rondom de digitale inbraak gesuggereerd dat KPN met ernstig verouderde systemen werkt en dat bovendien verzuimd is om regelmatig updates uit te voeren. Farwerck geeft toe dat het onderhoud aan internet-ict-systemen niet steeds optimaal is geweest.
Kracht in techniek
KPN heeft van diverse kanten het verwijt gekregen dat het te traag is geweest in het informeren van klanten. Eelco Blok is het hier niet helemaal mee eens. ‘Er zijn ingrijpende en ook goede afwegingen gemaakt, juist in het belang van onze klanten en het continueren van de dienstverlening. Maar aan de andere kant is het zeker waar dat wij moeten leren meer vanuit de klant te denken in plaats van eerst de technische oplossing te willen bedenken en uitvoeren. In de techniek ligt traditioneel onze kracht, maar onze klant moet onze hoogste prioriteit hebben.'
Begrijp ik het nou goed? Is er sprake van een internet winkel (in baby spullen) die in het bezit zijn van gebruiker accounts en wachtwoorden van de internet provider(s, in dit geval KPN). Zo ja, wat moet een derde partij met provider wachtwoorden behorende bij e-mail adressen van klanten?
Dagelijks worden er creditcard gegevens door hackers onderschept en wordt hier voor miljarden mee gefraudeerd. De boefjes echter publiceren deze gegevens niet, de banken vergoeden de schade ( aan de slachtoffers sigaar uit eigen doos). Het verhaal blijft stil en de schade wordt verdeeld over alle klanten. KPN meldde initieel dat er geen gegevens waren ontvreemd/gekopieerd, tot het er op leek dat de boefjes de onderschepte informatie hadden gepubliceerd en KPN het niet meer stil kon houden, was de beer los. Wat is erger? Mijn mail box in foute handen? Mijn bank gegevens in foute handen? Of dat ik zo naief ben te geloven dat internet dichtgetimmerd kan worden. Het prachtige idee van internet was, dat IEDEREEN OVERAL bij kan.
@Sander Huisman
Voor zover ik het hele verhaal heb meegekregen heeft KPN onmiddellijk “schuld bekend” nadat er ergens rook zichtbaar werd, onder het mom van “waar rook is is waarschijnlijk ook vuur”. Als op mijn netwerk iets gebeurt is mijn eerste reactie ook “Shit. Wij hebben iets fout gedaan. Ik ga er meteen mee aan de slag.” en dat wordt dan eveneens als schuldbekentenis aangemet. Volgens mij zegt elke marketeer dat in de moderne tijd een dergelijke stellingname de juiste handelwijze is. Dus niet hard gaan ontkennen, maar verantwoordelijkheid toegeven en acttie ondernemen. En dat is volgens mij wat KPN gedaan heeft. Hulde aan KPN? Nee, dat niet. Maar ook geen boegeroep.
Wat we hier van kunnen leren: Gebruik nooit dezelfde passwords bij het aanmaken van accounts op verschillende web-sites. Zeker niet als je baby-spulletjes gaat aanschaffen op het Internet. Gebruik vooral nooit je Internet-bankieren password voor andere accounts en verander je e-mail account password regelmatig.
Voor bedrijven als KPN: onderzoek eerst (maar wel snel) de ernst van de situatie voordat je maatregelen neemt. Nu zijn er onnodig buiten proportionele maatregelen genomen waar bijzonder veel klanten last van hebben gehad (met als gevolg veel negatieve publiciteit).
Wat mij betreft zou het wettelijk verboden moeten worden om passwords van klanten (al dan niet geëncrypt) op te slaan. Dat is namelijk helemaal niet nodig voor authenticatie.
Beste practice is om een hash code te bepalen op basis van de combinatie van user name + password + salt (een constante) en deze hash code op te slaan i.p.v. het password.
Als je de credentials van een user wilt verifiëren bereken je opnieuw de hash code, die je dan vergelijkt met de opgeslagen hash code. Met een dergelijke zogenoemde “one way encryption” is het oorspronkelijke password nooit te achterhalen.
Ik moet zegge het wat dit betreft maar ten dele met dhr. Blok eens te kunnen zijn. Het zijn namelijk de klanten die een bedrijf bestaansrecht verschaffen en niet andersom. Dat is toch iets anders dan hier weer naar voren komt.
In een eerder artikel had ik reeds aangehaald dat het niet alleen verouderde systemen en afwezigheid van de essentiële updates betrof. Veel ernstiger is namelijk de achterliggende reden en oorzaak. KPN heeft, evenals veel andere organisaties, om totaal verkeerd oogpunt, vele bekwame krachten ‘losgelaten’ om deze te vervangen door ‘goedkopere’ krachten.
Zie hier het resultaat. Vervanging en saneringen hebben zo’n vlucht genomen dat de kwaliteit, waar de klanten uiteindelijk voor betalen, aan ernstige erosie onderhevig is geweest met alle gevolgen van dien. Dat betekend ook dat de processen en procedures die zijn gevolgd, volkomen zijn veronachtzaamd of, en dat zou vele malen erger zijn, er is helemaal geen draaiboek voor calamiteiten zoals deze.
Ik kan me nog steeds niet aan de indruk onttrekken dat KPN erg overtrokken heeft gereageerd en op geen enkel moment communicatief regie heeft weten te voeren. In ieder geval is dit door de meerderheid van de gebruikers als arrogant en afstandelijk ervaren.
Als professional kan ik alleen maar toejuichen dat heer Blok deze stappen heeft gezet maar klaarblijkelijk pas nadat het leed, wat zeker had kunnen voorkomen, sterker nog, niet eens plaats had mogen vinden, was geschied.
Staat de KPN in deze op zich? Ik weet vanuit professioneel oogpunt dat er anderen organisaties zijn die met exact dezelfde zaken kampen als de KPN nu is overkomen en het meest jammerlijke is dat ook dhr Blok niet helemaal schijnt te begrijpen dat IT juist een materie is waarbij je zaken kunt voorzien en dus ook kan voorkomen.
Dit heeft alleen plaats kunnen vinden doordat er verkeerde keuzes zijn gemaakt ogenschijnlijk uit winstbejag en met de crisis als excuus. Jammer.
De werkelijke gebeurtenissen zijn inmiddels in kaart gebracht en ik vind dat KPN degelijk en correct heeft geacteerd, Well done, KPN. Zelf heb ik er last van gehad en heb wel wat gegevens uit mijn webmail omgeving overgeheveld naar andere omgevingen die mij veiliger en betrouwbaarder lijken. Hoe dan ook, blijf ik grotendeels zelf verantwoordelijk voor mijn data. Wat het MKB met mijn internetshop gegevens doet heb ik geen tot weinig invloed op. In dit geval heeft de internet winkel ook snel en gereageerd door alle data te verwijderen. En ook bestaande klanten te vragen weer een nieuw account aan te maken.
KPN is een groot bedrijf, daar gaat nu eenmaal meer fout dan bij een bedrijf met veel minder klanten! En gaat dat gelijk bij de pers onder het vergrootglas, Telegrof journalistiek, een poll op Nu.nl over opzeggen van KPN abonnement… Natuurlijk moeten ze de security wel op peil houden, de oplossing van Franck van der Sluijs met hash-codes lijkt me een prima aanbeveling voor KPN. Verder hebben ze het naar mijn idee goed aangepakt, alleen jammer dat ik mijn website nog niet kan beheren, is nog niet vrijgegeven.