Gehackt KPN zegt sorry

KPN trekt het boetekleed aan voor de recente hacks op zijn systemen. Het telecombedrijf richt een warroom in en zoekt een cso. Die had het nog niet.

Het nieuw op te richten ict-bewakingscentrum van KPN moet het eigen netwerk voorzien van een betere beveiliging. Deze zogeheten warroom wordt straks bemand door enkele tientallen experts, onthult directeur Joost Farwerck in een interview met Nu.nl dat deze ochtend is gepubliceerd. Hij vertelt dat het concern een miljard euro investeert in het eigen netwerk en dat security daar zeker ook onder valt.
CSO zoeken

De op 1 maart aangetreden topman erkent ook dat KPN tot op heden te weinig aandacht heeft besteed aan beveiliging. Daarom ook dat er nu een chef security officer wordt aangesteld, voor het datanetwerk. Volgens Farwerck verloopt de sollicatieprocedure vlot.

Farwerck wil KPN's datanetwerk net zo goed beveiligd hebben als het telefonienetwerk. Daarvoor voert het bedrijf allang een volcontinue bewaking. In schril contrast met die zelfgeroemde telefoniebeveiliging staan de recente hacks op sites en systemen van KPN, KPN Getronics en dochteronderneming Gemnet.
Scannen, updaten en pentesten

In het interview geeft Farwerck aan dat het bedrijf onzorgvuldig is geweest. Zowel het detecteren van de hacks zelf als het eraan voorafgaande feit dat KPN oude, onveilige serversoftware draaide. "Dat is een kwestie van accuratesse", vertelt hij over dat laatste. "Het is duidelijk dat we daar beter in kunnen zijn."

KPN is nu dan ook bezig met een grootschalige keuring van de duizenden servers die het in gebruik heeft. Het blijft niet slechts bij scannen. Hier hoort ook het updaten bij naar de meest recente versie van de draaiende software.

Verder voert het bedrijf een beveiligingsonderzoek uit naar zijn systemen en datanetwerk. Hierbij zijn volgens Farwerck geen grote gaten gevonden, maar wel kwetsbaarheden. Ten slotte laat het ook penetratietesten uitvoeren. "Het kan beter en het moet ook beter", zegt hij.

100.000 euro compensatie

Dit goede voornemen van KPN is niet alleen om eigen schade, schande en financieel verlies te voorkomen. Een eerder datalek bij webwinkel Babydump.nl kost het telecombedrijf ook geld. Kort na de recentere cyberinbraak bij KPN heeft een hacker een lijst met inloggegevens van KPN-klanten online gezet. Uit voorzorg heeft het bedrijf de maildienst op slot gezet.

Farwerck laat nu los dat KPN in totaal 100.000 euro uitkeert aan zijn mailklanten, die een terecht bevonden klacht hebben ingediend. Dat zijn er 750 stuks op een totaal van 1200 ingediende claims. De hacker die de Babydump-data heeft doorgelopen op KPN-klantgegevens en die online heeft gepubliceerd, lijkt vooralsnog onvindbaar.