KPN begrijpt dat mensen zich mogelijk zorgen maken over hun gegevens. Voor zover we nu kunnen overzien is er van onze klanten niets gestolen of kapotgemaakt. KPN heeft meteen actie ondernomen en is met een team van meer dan 100 man aan het werk gegaan om ervoor te zorgen dat mensen kunnen blijven bellen, internetten, zaken doen. En zijn extra maatregelen genomen om systemen en gegevens nog beter te beschermen.
KPN heeft haar handelen steeds met de overheid en relevante partijen gedeeld. Vanaf 27 januari heeft KPN de relevante instanties geïnformeerd: het Nationaal Cyber Security Centrum (NCSC), toezichthouder Opta, het College Bescherming Persoonsgegevens (CBP), het Ministerie van Economische Zaken, Landbouw & Innovatie, het Ministerie van Veiligheid & Justitie en het Openbaar Ministerie.
Na overleg op 27 januari jl. met de autoriteiten – waaronder het OM en het National Cyber Security Center – heeft KPN besloten om onze klanten zolang als dat mogelijk was niet actief op de hoogte te stellen van de inbraak in het IT-netwerk van KPN door een inbreker. Hiervoor is bewust gekozen om:
1. onze dienstverlening voor onze klanten (internetten, bellen, TV, websites, zaken doen via het internet) veilig te stellen en onnodige onrust in de samenleving te voorkomen
2. te voorkomen dat de hacker(s) in de gelegenheid is om gealarmeerd door de melding - snel grote schade aan te richten bij ons en onze klanten
3. de opsporing van de hacker(s) niet te verstoren
Na zorgvuldige afweging en overleg met de autoriteiten heeft KPN besloten tot een daadkrachtige aanpak in stilte.
In deze aanpak heeft KPN de inbreker(s) de toegang tot de servers die klantgegevens bevatten (t.w. naam, adres, woonplaats, telefoonnummer en bankrekeningnummer), ontnomen. Creditcard-gegevens en wachtwoorden voor financiële transacties worden niet bewaard in deze systemen. Ongewenste financiële transacties op basis van de ingeziene klantgegevens zijn, voor zover KPN heeft kunnen vaststellen, niet mogelijk geweest voor de inbreker(s). Het betreft de NAW-gegevens van vele KPN-klanten, het precieze aantal is hangende ons onderzoek vooralsnog niet exact vast te stellen.
In onze aanpak zijn de betrokken servers uit voorzorg losgekoppeld van de operationele systemen van KPN. Deze servers zijn dan één voor één opgeschoond en opnieuw opgebouwd en voorzien van een nieuw cordon veiligheidsmaatregelen. Het in bescherming nemen van klantgegevens heeft geen impact gehad op de dienstverlening van KPN aan onze klanten.
KPN zal op basis van een diepgaande analyse van de digitale inbraak, vaststellen op welke wijze onze klanten en onze servers nog beter tegen toekomstige aanvallen kunnen worden beschermd. Dergelijke aanvallen zijn uiterst vervelend maar helaas een fact of life. Al die bedrijven en organisaties, niet alleen KPN, zijn verwikkeld in een digitale wapenwedloop met mensen met kwade ideeën. Wij worden steeds slimmer – maar de inbrekers ook. Een goede beveiliging is een absolute noodzaak. We zijn en blijven iedere dag bezig om gegevens en diensten van en voor onze klanten steeds beter te beschermen.
Feitenrelaas:
Op 20 januari jongstleden namen onze security systemen onregelmatigheden waar binnen onze serverclusters. Verder onderzoek traceerden de eerste sporen van inbraak terug tot 16 januari.
Meteen daarna zijn maatregelen genomen om de inbraak te dichten. Ook hebben wij een externe expert op cybercrime, FOX-IT, in de arm genomen om te beoordelen wat de impact en oorzaak van deze inbraak waren.
Op 27 januari hebben zij de bevindingen met ons gedeeld, waarop wij onmiddellijk over zijn gegaan tot het nemen van aanvullende maatregelen om onze klantgegevens verder te beschermen en onze dienstverlening te kunnen borgen.
De bevindingen van onze interne en externe specialisten zijn vanaf 27 januari gemeld aan het Nationaal Cyber Security Centrum (NCSC), betrokken ministeries, KLPD en het Openbaar Ministerie gemeld en steeds besproken.
Vanaf 27 januari hebben wij een stille switch voorbereid – een nachtelijke omzetting op opgeschoonde nieuwe platforms voor onze klantservers. Dit om de hacker niet te alarmeren dat wij hem op het spoor waren waardoor deze daadwerkelijke schade zou kunnen gaan aanrichten, ivm de opsporing en om geen onnodige onrust te veroorzaken over de continuïteit van de dienstverlening.
Overigens is volgens onze informatie de hacker sinds 20 januari niet meer actief geweest in het serverdomein.
De stille switch is op 3 februari afgerond.
Wij hadden tot 8 februari onze klanten nog niet geïnformeerd in het belang van het lopende onderzoek naar de zaak en vanwege de technische afwikkeling, dit alles in overleg met de betrokken instanties.
