In januari 2012 brak een hacker in op servers van KPN en ontvreemde klantdata. Sinds de geruchtmakende hack heeft het concern zijn leven structureel verbeterd. Het securitybeleid ging compleet op de schop, er kwamen interne hackers en de eigenwijze Jaya Baloo werd aangetrokken als Chief Information Security Officer (CISO).
"We willen hem [de hacker] nog net niet bedanken, maar terugkijkend heeft hij er mede voor gezorgd dat de beveiliging zo enorm is opgeschroefd", aldus Baloo eerder tegen Computerworld.
Laksheid achtervolgt telco
Een typisch geval van de het kalf en de put, maar de harde lessen zijn geleerd. Het verhaal heeft echter nog een venijnig staartje. Toezichthouder ACM heeft naar aanleiding van de hack onderzoek gedaan, en strafte de telco met een boete van in totaal 364.000 euro.
KPN wilde echter graag met een schone lei verder gaan en blokkeerde bekendmaking van het rapport en de boete. Onterecht, oordeelt de rechter en dus heeft de waakhond de bevindingen nu gepubliceerd. En die zijn niet mals, sterker nog, die zijn vernietigend. KPN was in zijn vorig leven bijzonder laks met security, constateert ACM. Dat strookt ook met de kritiek van de hacker destijds op KPN.
Gatenkaas
Een korte samenvatting: Voor een aantal essentiële beveiligingsmaatregelen was geen centraal beleid opgesteld, er was geen patchmanagement en systemen waren inderdaad niet voorzien van de laatste patches. Het was een chaos in de organisatie, verantwoordelijkheden werden als een hete aardappel doorgeschoven, en documentatie was gebrekkig.
Ook het netwerkbeheer was ver onder de maat: het eigen ontwerp van indeling in beveiligingszones werd niet nageleefd, de firewall was niet goed afgesteld en ontbrak zelfs op sommige cruciale netwerksegmenten. Ook ontbrak intrusion detection en intrusion prevention (IDS en IPS) bij sommige, blijkbaar essentiële, netwerkonderdelen. Er was geen centrale logging en de monitoring faalde.
KPN in beroep
Door deze structurele nalatigheid heeft KPN zijn zorgplicht jegens de privacy van zijn klanten geschonden, zoals vastgelegd in de Telecomwet. "ACM komt op grond van het vorenstaande tot de conclusie dat KPN gedurende onderzoeksperiode I onvoldoende passende, hoofdzakelijk organisatorische, maar ook technische maatregelen heeft getroffen in het belang van de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers", aldus de waakhond. KPN vecht de conclusies en het boetebesluit nog aan bij de rechter.
Het zou KPN sieren wanneer ze het ruiterlijk toegeven en de boete zonder mankeren zouden betalen. Een bedrijf dat zijn fouten toegeeft wekt bij mij juist vertrouwen.
Reageer
Preview