De prijs van het ontbreken van retentiemanagement: de case van KPN

Op 10 februari 2012 werd bekend dat er bij de provider KPN een exploit door hackers was geplaatst op verschillende systemen.  Gebleken is, ten tijde van de publicatie, dat men al drie weken bezig is geweest een antwoord op die bewuste exploits te vinden. Voor u mijn beste lezeres, lezer,  een exploit is een stukje kwaadaardig software waarmee je van buitenaf bepaalde taken op die systemen kunt uitvoeren.  Dit kan alleen wanneer hackers, soms met de nodige moeite, lekken in het systeem weten te vinden.  Voor hen is dit gewoon een sport.

Het beeld van een hacker

Laten we hier even een korte pas op de plaats maken.  Men heeft zo bepaalde gedachten bij en over hackers. Waar de één hackers ziet als een kwaadaardig wezen, ziet een positieve constructieve geest een hacker als een zegen.  Immers, doorgaans, tenminste, de meeste hackers doen dit,  maken aan de betreffende ondernemer bekend een lek te hebben gevonden. De meer negatieve geesten onder de hackers proberen hier soms een financieel slaatje uit te slaan. De meeste hackers vinden ‘het spelletje’ leuk en doen doorgaans dan ook wel de moeite de eigenaar van de systemen op de hoogte te stellen van ……

KPN en de pers

Hoe het ook zij, men kan er op verschillende manieren naar kijken. Tot zover even deze stap. KPN bracht via de pers naar buiten dat er vrijwel zeker geen persoonlijke gegevens zijn geraadpleegd of gekopieerd. Hiermee schoffeerde KPN, overigens zonder dat zij dit waarschijnlijk bedoeld heeft, heel veel IT professionals. Elke ervaren IT professional kan u namelijk meteen melden dat, wanneer je toegang hebt op administratief niveau op die systemen,  je meteen ook toegang hebt tot persoonlijke klantgegevens. Aansluitend, er is vrijwel met geen mogelijkheid te stellen dat deze al of niet zouden zijn gekopieerd, of er moeten speciale instellingen zijn aangewend op die systemen. Het gegeven dat er al langere tijd op de KPN systemen klaarblijkelijk geen updates hebben plaats gevonden spreekt boekdelen.

De uitspraak van KPN

Die uitspraak van de KPN werd ogenschijnlijk meteen gelogenstraft. Op een bepaalde site, zo werd uitvoerig bekend gemaakt en getwitterd, verscheen plots een lijst met ruim vijfhonderd namen, adressen, bijbehorende telefoongegevens en wachtwoorden.  Grappige was dat aldaar geen koppeling werd gelegd met de KPN doch menigeen nam dit als zodanig aan.  Nederland stond op zijn kop. De KPN restte niets anders dan, heel begrijpelijk overigens,  alle email accounts onmiddellijk offline te nemen en er diepgravend onderzoek naar te doen.

KPN en de sociale media

Twitter #KPN explodeerde. De KPN had het gedaan. Menig gebruiker maakte de ander weer wat wijs en hier gaat dan de al oude wetmatigheid op dat waar rook is is vuur. Of er sprake was van enige reden en of de KPN überhaupt de kans kreeg mensen goed te informeren, dat kwam bij vele in de massahysterie niet op. De één wist het nog beter dan de ander en men twitterde elkaar maar dom na. Nu spelen er hier twee zaken die betrekking hebben op IT en op retentie management.

Cosmetische recessie

Het begin van de bankencrisis leidde eveneens een recessie in. Die recessie werd gevolgd door, wat ik dan noem, een spastische beweging van menig organisatie. Saneren.  De ene sanering volgde de ander op en vrijwel al die saneringen waren cosmetisch van aard.  Waarom ik dit cosmetisch noem? Omdat, wanneer we even heel rustig kijken, men een aanslag heeft gedaan op beschikbaarheid en capaciteit en hierdoor zakelijke continuïteit volkomen heeft uitgehold. Tel hierbij op dat er de afgelopen tijd er een begin is gemaakt met de uittreding van de babyboomers en, en u zult begrijpen dat opengevallen gaten plots uiterst pijnlijk duidelijk worden.  Als derde criterium, iedereen zzp-er toch…? De grote doorloop binnen die organisaties die graag steeds goedkopere krachten in dienst stelde, vergaten even een aanzienlijk belangrijk stuk kwaliteits management. Dit even in de marge.

Het kwaad voor KPN was al geschied

Op 11 februari  2012 werd bekend dat de betreffende gepubliceerde lijst helemaal niet eens van de KPN afkomstig was, dog van een vaag bedrijfje genaamd babydump.  Het kwaad was al geschied. Want wat was er heel sec wel duidelijk geworden?  KPN was niet voorbereid op een IT event van een dergelijk kaliber.  Eveneens werd duidelijk dat verschillende noodzakelijke updates, al meer dan twaalf maanden niet bleken te zijn uitgevoerd.  Uit de hele gang van zaken bleek dat de communicatie soms regelrecht tegenstrijdig bleek en zelfs tenenkrommend. Een woordvoerster sprak in een televisie uitzending haar zorgen uit naar de klanten van de KPN dat deze toch vooral voorzichtig moesten omgaan met hun wachtwoorden en die dan ook zo snel mogelijk te wijzigen.  Dit terwijl alle emailsystemen voor de klanten onbereikbaar waren.

KPN en crisiscommunicatie

De wijze waarop de dame dit alles naar voren bracht was voor velen de arrogantie ten top. Geen enkele verklaring, geen enkele begrijpelijk uitleg. Geen enkele acceptabele reden te zeggen welke maatregelen men nu had genomen, wat men nog eventueel zou moeten doen of hoe lang het naar verwachting nog zou gaan duren.  Het moet mij hier eveneens van het hart dat de journalisten in de materie ook niet bijster thuis bleken en er aan de tafel verder ook niemand zat die ter zake kundig bleek dat dan wel te kunnen doen.

De crisismanager van KPN

Vanuit de praktijk weet ik dat men als eerste bij besparingen een aantal zaken meteen zal laten vallen. En laat nu juist één van die zaken IT crisismanagement zijn die wordt gezien als een overbodige luxe?  Wat er o.m. wordt verwacht van een crisismanager?  Dat deze heel rustig met ter zake kundige het probleem bekijkt, de impact bepaald, een aparte overrulende hiërarchie vestigt,  tijdelijk relevante communicatie exclusief naar zich toe trekt, hier ook het mandaat voor krijgt, en zaken in gang zet.

Wanneer dit een bestaand draaiproces is, is er rust, is er duidelijkheid, is er communicatie en bovenal, is er een team die gewoon weet waar naar te kijken en die kalm en professioneel zaken benaderd.  Dat betekend ook dat er een duidelijke communicatie naar buiten toe op word gezet die breed is en liefst iedereen bereikt. Dat betekend ook dat ‘Ego’ er niet aan te pas komt en dat tegendraadse communicatie word voorkomen.

Wat is de uiteindelijke schade voor KPN

Een lang verhaal kort. Ondanks het gegeven dat de oorzaak van een ogenschijnlijke probleem elders lag, werd er een ernstig veiligheidslek ontdekt, die al meer dan drie weken aanwezig was, waar men klaarblijkelijk geen antwoord op heeft weten te vinden. Dat is wat menig IT-er ernstig heeft verbaast maar het meest verbazende dat men moet constateren is dat het gemis aan retentiemanagement u uiteindelijk nog eens heel duur zou komen te staan.  KPN staat er wat retentiemanagement betreft niet als een geval op zich. De uiteindelijk schade?

Dit was een gastbijdrage van René Civile beter bekend als NumoQuest op het wereldwijde web. Vind je de kritische gedachten van Rene interessant? Volg hem dan op zijn Twitterprofiel.

0 antwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.