KPN verbetert beveiliging na ‘responsible disclosure’

Op basis van de aanwijzingen van een externe ethische hacker heeft KPN de beveiliging van het netwerk kunnen verbeteren. Bij deze zogenoemde ‘responsible disclosure’ die deze zomer plaatsvond is er geen impact geweest voor de vitale infrastructuur en zijn geen klant- of persoonsgegevens in het geding geweest.

Via het Nationaal Cyber Security Centrum (NCSC) werd op 25 juli 2013 een melding gemaakt, waaruit bleek dat toegang tot een beperkt deel van de interne infrastructuur van het KPN LBNS-netwerk mogelijk was. Via het NCSC heeft KPN contact gezocht met de melder om meer informatie te krijgen over hoe hij dit heeft ontdekt. Doordat de uitzonderlijke situatie zich voordeed dat een aansluiting in een leegstaand pand waar een computervereniging zijn intrek heeft genomen nog actief was, kon de ethische hacker met behulp van diverse apparatuur een deel van het KPN netwerk inzien. Hij heeft zijn bevindingen en de manier waarop hij in het netwerk van KPN heeft kunnen kijken gedeeld met KPN-CERT (computer emergency response team). Direct na de melding is er gestart met het verbeteren  van  dit deel van het netwerk. Inmiddels zijn de werkzaamheden afgerond.

Resonsible disclosure
KPN is zeer tevreden dat de ‘responsible disclosure’ procedure, waarbij hackers hun bevindingen met KPN delen, zijn vruchten afwerpt.  Onze procedure blijkt aantoonbaar te werken. Als KPN staan we open voor de samenwerking met ethische hackers. Eerder in het voorjaar hebben we prettig samengewerkt met de modemhackers. Wij hebben deze bevindingen, samen met deze hackers, zelf gecommuniceerd naar de buitenwereld. Wij zijn blij met deze netwerk en security specialisten, die op eigen initiatief hardware en software testen op kwaliteit en deze kennis aan ons doorgeven. KPN is uiteraard afhankelijk van hardware en software vends om haar diensten aan klanten te kunnen leveren. Als daar onvolkomenheden in worden aangetroffen staan wij open voor een melding van deze specialisten.

Beveiliging en bescherming speelt een belangrijke rol bij het ontwikkelen en onderhouden van onze diensten, zoals bellen, mobiel dataverkeer en internetten. KPN heeft gedreven en zeer gespecialiseerde teams die 24 uur per dag, 7 dagen in de week met de veiligheid van de systemen en de data van onze klanten bezig zijn. Daarnaast staat KPN ook open voor het op een constructieve manier samenwerken met een ieder die een mogelijke kwetsbaarheid ontdekt; dat geldt zeker ook voor ethische hackers. De kennis van beveiliging binnen deze community achten wij zeer waardevol. Voorwaarde is dat men verantwoordelijk omspringt met deze kennis. Als hackers zich houden aan ons ‘responsible disclosure’- beleid, dan werkt KPN graag met hen samen.