KPN-hack veel omvangrijker dan gedacht

De hack die in januari plaatsvond op het KPN-netwerk is veel omvangrijker dan eerder gedacht. Naast toegang tot klantgegevens konden de hackers ook het internetverkeer en telefoniesystemen in theorie ontregelen.

Dat blijkt uit het antwoord van de regering op Kamervragen van SP Tweede Kamerlid Sharon Gesthuizen over de aard en omvang van de digitale inbraak bij het grootste telecombedrijf van Nederland KPN. In de brief bevestigen de ministers Ivo Opstelten (Veiligheid en Justitie) en Maxime Verhagen (Economische Zaken, Landbouw en Innovatie) dat de hackers van KPN toegang hadden tot een systeem dat werd gebruikt voor de routering van internetgebaseerde diensten waaronder telefonie en televisie en dat de routering van internetverkeer gemanipuleerd had kunnen worden. In eerste instantie beweerde KPN dat alleen toegang tot persoonsgegevens verschaft was. Door de toegang tot diepere servers konden de hackers internetverkeer in theorie onderscheppen en bijvoorbeeld omleiden.

Gewoon openbaar
Het antwoord van minister Opstelten van Veiligheid en Justitie en minister Verhagen werd vorige week dinsdag 14 februari al uitgestuurd en zoals andere kamerstukken gewoon gepubliceerd op de website Rijksoverheid.nl. Omdat KPN-topman Eelco Blok de vaste kamercommissie over Justitie en Veiligheid die week achter gesloten deuren informeerde was de indruk ontstaan dat deze brief als geheim bestempeld was. Pas op maandag 20 februari pikten de websites Tweakers.net en NU.nl het nieuws uit de brief aan de kamer op, waaruit blijkt dat de regering bevestigt dat de KPN-hack veel groter is dan het telecombedrijf eerder toegaf. Uit gesprekken met de hackers hadden deze sites eerder al geconcludeerd dat er veel meer bij KPN aan de hand was dan het bedrijf wilde erkennen.

Uit de brief blijkt ook dat KPN ruim een week wachtte met het op de hoogte stellen van de autoriteiten. Op 18 januari kreeg het telecombedrijf de tip dat er een digitale inbraak plaats had gevonden op zijn systemen. Pas op 27 januari werd het Nationaal Cyber Security Center ingelicht dat het bedrijf gehackt was en dat KPN hulp nodig had van het cybersecurity centrum bij de bestrijding van de gevolgen. Dat het telecombedrijf zo lang over de officiële melding deed is extra relevant omdat Eelco Blok medevoorzitter is van de Cybersecurity Raad naast Nationaal Coordinator Terrorismebestrijding Erik Akerboom en als zodanig een voorbeeldfunctie heeft. Uit de brief wordt ook duidelijk dat minister Opstelten werk gaat maken van de motie van de Tweede Kamer om een meldplicht voor beveiligingsincidenten in te stellen. Verschillende wetswijzigingen die dit mogelijk maken zijn ingediend. Voor de zomer komt de minister met een concreet voorstel hoe dit meldpunt ingericht zal worden en zal gaan functioneren.