De aanval op KPN die in januari werd gedetecteerd vormde geen gevaar voor de nationale veiligheid, zo laat minister Opstelten van Veiligheid en Justitie in een brief aan de Kamer weten. Opstelten reageerde op een vragen van SP-Kamerlid Gesthuizen, die wilde weten hoe groot de dreiging voor het internetverkeer was. Volgens de minister heeft het Nationaal Cyber Security Center (NCSC) na de melding van KPN gemonitord welke onderdelen van de vitale infrastructuur zouden worden geraakt door de hack of de door KPN te nemen maatregelen, gevolgen voor 112 oproepen en eventuele congestie.

"Mede op basis van onderzoek van KPN (in samenwerking met ingehuurde veiligheidsexperts), het verkregen inzicht en de daaropvolgende
maatregelen kon door de overheid worden geconcludeerd dat de nationale veiligheid niet in gevaar was", aldus Opstelten.

Klantgegevens
Uit informatie van KPN blijkt dat de hacker (of hackers) toegang tot een aantal servers heeft verkregen en zich rechten heeft toegeëigend. Deze servers werden gebruikt voor websites, routering van internet gebaseerde diensten en opslag van (klant)informatie. Uit nog lopend onderzoek van KPN is niet gebleken dat de hacker klantinformatie heeft gekopieerd of anderszins heeft gemanipuleerd, zo stelt de minister.

Routering
De hacker heeft ook rechten gehad op de DNS (Domain Name Server) systemen en heeft gebruikersrechten gehad op één van de routers. Daarmee had hij tijdelijk de routering van het internetverkeer van de consumentenklanten van KPN kunnen beïnvloeden. "Aangezien via deze routering ook de Voice over IP dienstverlening loopt en daarmee bijvoorbeeld ook de 112 oproepen van klanten via VOIP werd de dreiging serieus genomen en zijn passende maatregelen genomen." Volgens KPN zijn er geen bewijzen dat de hacker de routering van het internetverkeer heeft aangepast.

In zijn brief gaat Opstelten ook nog in op het lekken van klantgegevens die van KPN afkomstig zouden zijn, maar van Baby-Dump.nl bleken te zijn. "Het is te betreuren dat hackers met manipulatie van een eerder gehackt databestand klanten onnodige last hebben bezorgd."

Onderzoek
De minister besluit door te stellen dat KPN een particulier bedrijf is en daarmee zelf verantwoordelijk voor de beveiliging van haar systemen en de respons op dit incident. "Tevens heeft KPN op basis van de Telecomwet een zorgplicht ten aanzien van haar klanten door passende technische en organisatorische maatregelen te treffen ten behoeve van de veiligheid en beveiliging van netwerken en diensten."

Zaterdag kondigde de toezichthouder Onafhankelijke Post- en Telecommunicatie Autoriteit (OPTA) aan een onderzoek in te stellen of KPN de zorgplicht wel voldoende is nagekomen.