De war room van KPN


Naar aanleiding van een spraakmakende echte hack, de bekendmaking van een vermeende digitale inbraak en het blokkeren en weer activeren van twee miljoen e-mailaccounts en recente problemen met de firewallinstellingen van zijn zakelijke klanten, maakt KPN na een tumultueus verlopen maand de balans op. Het concern likt niet alleen zijn wonden, maar trekt ook lering en neemt concrete maatregelen. Helaas gebeurt dit tot dusverre vooral reactief in plaats van proactief…

Onlangs nog adviseerde KPN zijn zakelijke DSL-klanten om hun router beter te beveiligen. Het concern probeerde het zoveelste beveiligingsincident te bagatelliseren door te stellen dat dit beveiligingsissue slechts betrekking had op een klein aantal (circa 1 procent) van zijn zakelijk DSL-klanten. Maar omdat bij KPN bijna per definitie de wet van de grote aantallen opgaat, kan dit in absolute termen best om grote aantallen gaan. Anyway, op een speciale website gaf de ICT-verlener handige tips aan klanten.

Het beveiligingsissue ging om routers van zakelijk klanten die op de locatie van de klant staan. On premise, zoals dat tegenwoordig zo fraai heet. Klanten konden de instellingen van de routers zelf aanpassen. Daar waar mogelijk en gewenst biedt KPN zijn klanten aan hierbij te assisteren. KPN adviseert klanten ook om de gebruiksnaam en het wachtwoord van de router niet op de standaardinstelling te laten staan. Dat lijkt een open deur, maar de dagelijkse praktijk leert dat dit advies zeker niet overbodig is.

Cybersecurity Unit

KPN zelf is volgens eigen zeggen bezig om versneld te investeren in verbeteringen aan zijn eigen IT-systemen en richt een Cybersecurity Unit op om de kwaliteit en veiligheid van zijn organisatie te vergroten. Het bedrijf zal daarnaast zijn klanten meer gaan attenderen op maatregelen die ze zelf kunnen nemen om de veiligheid van hun netwerk en IT-systemen te optimaliseren. Verder gaat KPN een zogenoemde Chief Cybersecurity Officer aanstellen, die de taak krijgt om er voor te zorgen dat KPN’s systemen optimaal veilig zijn en blijven. Dit is een van de maatregelen die KPN neemt naar aanleiding het hack-incident in februari (zie hierna). De nieuwe functionaris krijgt een Cybersecurity Unit ter ondersteuning.

De nieuwe unit, die enkele tientallen fte’s zal tellen, moet er op toezien dat de kwaliteit, veiligheid en effectiviteit van KPN’s IT-organisatie worden vergroot. Als klap op de vuurpijl wordt er een Cybersecurity Operating Center opgezet. Analoog aan de manier waarop het telecomnetwerk van KPN 24 uur per dag wordt bewaakt vanuit een speciaal controlecentrum, een war room, zullen ook de verkeersstromen rond de internetnetwerken en IT-systemen worden bewaakt. Dat klinkt allemaal heel spannend, maar in alle nuchterheid moeten daarmee hackersincidenten voortaan zoveel mogelijk worden voorkomen.

Schadeclaims

Het schademeldpunt voor klanten die nadeel hebben ondervonden van het tijdelijk afsluiten van hun mailaccount in de maand februari is vorige week gesloten. In totaal hebben 1.260 klanten gebruikgemaakt van het meldpunt. Er zijn 995 claims ingediend, waarvan er 750 zijn toegewezen, 203 zijn afgewezen en 42 nog in behandeling zijn. In totaal zal KPN circa 100.000 euro uitkeren.

Blokkade

De grootschalige blokkade van de KPN e-mailaccounts medio februari ligt bij veel mensen nog vers in het geheugen. Nadat een lijst met privégegevens van klanten op het internet was gepubliceerd, kon KPN niet uitsluiten dat gegevens van klanten in handen van derden met kwade bedoelingen waren gevallen. Toen is de beslissing genomen om de e-maildienst van de KPN-klanten tijdelijk uit de lucht te nemen. Voor maar liefst twee miljoen klanten betekende de blokkade dat hun normale e-mail tijdelijk uit de lucht was. Nadat alle e-mailaccounts weer volledig live waren, heeft KPN alle klanten het advies gegeven om hun wachtwoord te wijzigen.

Bizarre ontknoping

Al snel bleek echter dat de bewuste lijst met 539 klantnamen met adres, woonplaats, telefoonnummer, gebruikersnamen en wachtwoorden niet afkomstig was uit de database van KPN, maar waarschijnlijk afkomstig is van de firma Baby-Dump.nl, een keten, die zoals de naam al aangeeft, kinderwagens en andere babyspulletjes aanbiedt tegen 'dumpprijzen'. Een bizarre ontknoping van een vermeende hack die KPN de nodige overuren en reputatieschade heeft bezorgd. Zakelijke producten en diensten van KPN zouden toen geen hinder hebben gehad van de e-mailblokkade.

Investeringen

Al bij de publicatie van de jaarcijfers in januari is aangekondigd dat de (zakelijke) klant bij KPN nadrukkelijk op de eerste plaats staat. Er zou ruimte zijn voor investeringen in de dienstverlening aan klanten.

Joost Farwerck, managing director KPN Nederland: 'Een deel van de versnelde investeringen die zijn aangekondigd, zal met voorrang in onze IT-systemen worden gedaan. Een aantal verbeteringen is al doorgevoerd. Niet alleen in security, maar ook in modernisering van de systemen zelf. Daarnaast zullen we op korte termijn een aantal wijzigingen in de besturing van de IT-organisatie doorvoeren om de kwaliteit en effectiviteit te vergroten.'

Om de dienstverlening aan klanten verder te verbeteren, zal het zogenoemde KPN Webcare-team nog deze maand worden uitgebreid.

Verouderde systemen

Diverse experts hebben in hun analyse rondom de digitale inbraak gesuggereerd dat KPN met ernstig verouderde systemen werkt, en dat bovendien verzuimd is om regelmatig updates uit te voeren.

Joost Farwerck: 'Vooropgesteld, de ontwikkelingen in onze sector gaan natuurlijk razendsnel. Dat gezegd hebbende, door onderzoek in de afgelopen maand hebben we gezien dat het onderhoud aan internet-IT systemen niet steeds optimaal is geweest. En daar trekken we lessen uit om de dienstverlening voor onze klanten beter en veiliger te maken.'

Techniek

KPN heeft van diverse kanten het verwijt gekregen dat het te traag is geweest in het informeren van klanten.

CEO Eelco Blok: 'Er zijn ingrijpende en ook de goede afwegingen gemaakt, juist in het belang van onze klanten en het continueren van de dienstverlening. Maar aan de andere kant is het zeker waar dat wij moeten leren meer vanuit de klant te denken in plaats van eerst de technische oplossing te willen bedenken en uitvoeren. In de techniek ligt traditioneel onze kracht, maar onze klant moet onze hoogste prioriteit hebben.'

Hack

Op woensdag 8 februari jongstleden maakte KPN bekend dat een of meerdere hackers zich toegang hadden verschaft tot een serverdomein in het IT-netwerk van KPN. Direct na de digitale inbraak heeft KPN volgens eigen zeggen onmiddellijk de noodzakelijke maatregelen getroffen voor een maximale bescherming van alle klantgegevens en de IT-systemen. Bovendien heeft het bedrijf gezorgd voor een ongestoorde en veilige dienstverlening. Een team van meer dan 100 man ging aan het werk om ervoor te zorgen dat klanten konden blijven bellen, internetten en zakendoen.

KPN heeft alle maatregelen telkens met de overheid en relevante partijen besproken. Sinds 27 januari heeft KPN de volgende instanties op de hoogte gehouden: het Nationaal Cyber Security Centrum (NCSC), toezichthouder OPTA, het College Bescherming Persoonsgegevens (CBP), het Ministerie van Economische Zaken, Landbouw & Innovatie, het Ministerie van Veiligheid & Justitie en het Openbaar Ministerie (OM).

Onrust

Na overleg met onder meer het OM en het NCSC besloot KPN op 27 januari jongstleden om klanten vooralsnog niet actief over de digitale inbraak te informeren. Dit was volgens de woordvoerder een weloverwogen besluit, want KPN wilde de dienstverlening veiligstellen en onnodige onrust in de samenleving voorkomen. Tegelijkertijd wilde KPN voorkomen dat de hackers, na alarmering door de melding, schade zouden aanrichten.Tot slot wilde het telecombedrijf de opsporing van de hackers niet verstoren. Na zorgvuldige afweging en overleg met de autoriteiten besloot KPN daarom tot een ‘daadkrachtige aanpak in stilte’.

Digitale wedloop

Uiteindelijk wist KPN de inbrekers de toegang tot de servers te ontnemen. Deze servers bevatten klantgegevens, zoals naam, adres, woonplaats, telefoonnummer en bankrekeningnummer. Zolang het onderzoek loopt, is volgens KPN niet exact vast te stellen om hoeveel klantgegevens het ging. Creditcardgegevens en wachtwoorden voor financiële transacties zouden niet in de gehackte systemen opgeslagen zijn. KPN heeft de betrokken servers toen uit voorzorg losgekoppeld van de operationele systemen. De getroffen servers zijn daarna één voor één opgeschoond en opnieuw opgebouwd en voorzien van nieuwe veiligheidsmaatregelen. Op basis van een analyse van de inbraak wil KPN vaststellen hoe het bedrijf klantgegevens en servers beter kan beschermen tegen aanvallen, die volgens KPN nooit helemaal zijn uit te sluiten. Net als KPN voeren veel bedrijven en organisaties een digitale wedloop met mensen met kwade bedoelingen. De technieken worden steeds beter en geavanceerder, maar ook inbrekers ontwikkelen hun technieken voortdurend.

BTG-directeur Richard den Uijl volgt alle veiligheidsissues bij KPN met argusogen. 'Sinds 1986 behartigt BTG de belangen van haar leden. Bedrijven of instellingen in Nederland die op grote schaal gebruikmaken van bedrijfscommunicatie kunnen lid worden van de vereniging. Traditioneel was bedrijfscommunicatie vooral telefonie, maar tegenwoordig zijn spraak en data onlosmakelijk met elkaar verbonden. BTG lost issues voor leden op, bijvoorbeeld met leveranciers als KPN of Vodafone.'

BTG: Verbinding, verbreding en verdieping

Branchevereniging ICT en Telecommunicatie Grootgebruikers (BTG) behartigt de belangen van Nederlandse bedrijven en instellingen door kennis over te dragen en ervaringen uit te wisselen o.a. tijdens events

BTG in beeld en geluid

Expertsessies

Magazine

BTG in Business - Najaar 2021
Lees de laatste editie

Meld je aan voor onze nieuwsbrief!

Op de hoogte blijven van evenementen en het laatste nieuws? Schrijf je dan nu in voor onze nieuwsbrief.
  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.