De computerinbraak bij KPN heeft een weekend lang het nieuws gehaald, vooral door het ongekende besluit om de mailboxen van 2 miljoen klanten af te grendelen. Het bedrijf maakt ‘twee miljoen keer’ excuses en geeft toe dat er sprake was van achterstallig onderhoud aan de ICT-systemen. Er komen dan ook organisatorische maatregelen en extra investeringen. Maar dat achterstallig onderhoud op deze manier zichtbaar wordt, was te vermijden geweest.
KPN heeft na de hack ook gemeld hoe het tijdsverloop was van het incident. Op 20 januari werd opgemerkt dat er iets loos was. Die sporen van inbraak gingen terug tot 16 januari. Vervolgens is KPN intern een onderzoek begonnen, met hulp van buitenaf van het bedrijf Fox-IT. Op 27 januari bleek de situatie zo ernstig, dat op het niveau van de bestuurskamer besloten is om de overheid in te lichten.
Vervolgens is KPN met een groot team aan de slag gegaan om in stilte de e-maildienst te migreren naar een nieuwe, beter beveiligde serveromgeving. Dat leek op 3 februari gelukt, waarna op 8 februari het grote publiek werd ingelicht. Vervolgens dook op 10 februari een lijst met gebruikersnamen op, van een anonieme hacker. KPN heeft op dat moment alsnog de hele maildienst offline gehaald, waardoor twee miljoen klanten rechtstreeks werden getroffen. Dat was een voorzorgsmaatregel, want de gelekte gegevens blijken niet van KPN afkomstig.
Het heeft de provider ruim een etmaal geduurd om de maildienst weer te herstellen, tijd die onder meer nodig was om de klantenservice op te schalen en te zorgen dat twee miljoen klanten hun wachtwoord moeten vernieuwen.
De gevolgen zijn onmiddellijk merkbaar: weer negatief in het nieuws, weer cameraploegen voor de ingang van het hoofdkantoor. Het levert een flink aantal klachten op en KPN zal een tijdje bezig zijn om die klachten af te wikkelen.
KPN meldt dat er geld beschikbaar is voor extra investeringen in de dienstverlening. Een deel van dat geld zal met voorrang gestoken worden in IT. Ook kondigt KPN aan dat er op korte termijn een aantal wijzigingen in de besturing van de IT organisatie worden doorgevoerd, om de kwaliteit en effectiviteit te vergroten.
Dat is ook wel nodig, want twaalf dagen is (veel) te lang. Dat is de periode tussen de (laatst gesignaleerde) inbraak en het moment dat op executive niveau werd besloten om de regering in te lichten (27 januari). Dat op 26 januari de jaarcijfers werden gepresenteerd is geen excuus. Je mag ook aannemen dat het ministerie onaangenaam verrast was.
De evaluatie van het incident is nog niet klaar. Maar de uitspraken over investeringen in ICT staan op gespannen voet met de aangekondigde reorganisatie en kostenbesparingen. De verwachting is dat er dit jaar een kwart van het personeelsbestand uit moet, ongeveer 4.000 tot 5.000 banen. De helft daarvan moet opgebracht worden door Corporate Market, juist de omgeving waar de mailservers van KPN zijn ondergebracht en waar deze problemen nu de kop opstaken.
Enerzijds mag niet vergeten worden hoeveel werk er verzet is. De afgelopen twee weken heeft KPN met man en macht gewerkt om de serveromgeving in stilte te vernieuwen en veiliger te maken. Het gaat hier om een bedrijfskritische applicatie met letterlijk miljoenen klanten. Geen geringe klus.
Anderzijds is de schade al aangericht, door achterstallig onderhoud. Incidenten van deze omvang zijn zo complex, dat er maar één manier is: ‘voorkomen is beter dan genezen’. Dat vraagt om continu investeren in systemen, in preventie en in parate kennis.
