Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief

KPN beboet voor nalatige beveiliging van aftapsysteem

30 augustus 2022 - 16:153 minuten leestijdActueelCloud & InfrastructuurAgentschap TelecomAIVDHuaweiKPNMIVD
Alfred Monterie
Alfred Monterie

KPN heeft van het Agentschap Telecom een boete van 450.000 euro gekregen. Een onderzoek van de toezichthouder wijst uit dat de beveiliging van KPN’s justitiële aftapsysteem niet aan de wettelijke vereisten voldeed. Zo konden systeembeheerders zichzelf rootgebruiker maken.

Het wordt KPN aangerekend dat een beperkte groep systeembeheerders die toegang had tot de systemen, niet over de vereiste Verklaring omtrent het Gedrag (VOG) beschikte. Ook was geen geheimhoudingsverklaring getekend.
 
Bovendien werkten betrokken systeembeheerders met groepsgebonden accounts. Mede hierdoor was de registratie van individuele handelingen door beheerders niet volledig. Daarnaast kon een beheerder op dit platform de (niet-persoonsgebonden) vastlegging zelf anoniem verwijderen. Als persoonsgebonden authenticatie ontbreekt, valt niet te achterhalen wie toegang heeft verkregen tot tapgegevens en of die toegang rechtmatig was. Ook weet je niet of deze gegevens zijn ingezien of bijvoorbeeld zijn gewijzigd. 
 
Beheerders die waren ingelogd, konden zichzelf rootgebruiker maken zodat ze de meest vergaande rechten kregen. De wachtwoorden die daarvoor waren vereist, had KPN op een met de beheerders gedeelde opslag-schijf gezet in een digitale wachtwoord-kluis. Dit bestand was vindbaar en toegankelijk voor bepaalde beheerders, zo blijkt uit een pentest.

Risico voor de staatsveiligheid

Het Agentschap concludeert dat KPN geen zicht had op de personen die toegang hadden tot de tapgegevens. Die toegang bestond bovendien voor meer beheerders dan was toegestaan. Met de groepsgebonden authenticatie is KPN eveneens over de schreef gegaan. De afwezigheid van persoonsgebonden vastlegging brengt het aantal overtredingen op drie. Het Agentschap acht onvoldoende beveiliging een risico voor de staatsveiligheid en voor de integriteit van strafrechtelijke onderzoeken. De toezichthouder kwalificeert de overtredingen dan ook als ernstig, wat tegen het zere been van KPN is.
 
Als belangrijke leverancier van security-diensten in Nederland moet die bevinding voor KPN vrij pijnlijk zijn. Overigens heeft KPN deze tekortkomingen vorig jaar direct hersteld. De aftap-keten voldoet daarmee aan alle eisen.
 
Aanleiding tot het onderzoek was berichtgeving in de Volkskrant in april 2021 over Huawei. Deze Chinese leverancier van telecom had in 2010 nog ongeautoriseerde toegang tot de mobiele netwerken van KPN, aldus een rapport uit die tijd. Huawei had volgens de krant de mogelijkheid om onbeperkt mee te luisteren met telefoongesprekken. In strijd met de wet zou Huawei toegang hebben gehad tot informatie uit telefoontaps. Het Agentschap Telecom heeft vervolgens technisch onderzoek verricht naar het systeem dat informatie bevat over burgers die worden ‘getapt’. De Officier van Justitie, de AIVD of MIVD kunnen daartoe opdracht geven.
 
Overigens laat het onderzoek zien dat KPN ‘de voordeur’ tot de systemen voldoende heeft beveiligd. ‘Niemand anders dan KPN bepaalt wie er toegang krijgt tot de systemen,’ stelt John Derksen, hoofd Toezicht van Agentschap Telecom.

Meer over

AuthenticatieNetwerkenTelecom

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Slimme connectiviteit: de toekomst van bouwen

    Hoe stoom jij jouw organisatie in de bouw en installatie sector klaar voor de digitale toekomst?

    Computable.nl

    De weg van dataverzameling naar impact

    Iedere organisatie heeft data, maar niet iedereen weet hoe je het goed gebruikt. Hoe zet je waardevolle informatie om in actie?

    Computable.nl

    Well-Architected: slim bouwen en beheren in de cloud

    Een paper met concrete handvatten om cloud-architectuur naar een hoger niveau te tillen.

    Meer lezen

    ActueelCloud & Infrastructuur

    KPN: Veel smart homes zijn onveilig

    Cloudeducatie
    ActueelCloud & Infrastructuur

    KPN levert afgeschermde ‘lijn’ naar clouddiensten

    ActueelOverheid

    Storingen blijven tapsysteem politie kwellen

    Resultaat
    ActueelGovernance & Privacy

    KPN noteert verrassend gunstige resultaten

    politieagent spreekt in meldkamer in portofoon
    ActueelInnovatie & Transformatie

    Haperend tapsysteem politie geen effect op opsporing

    3 reacties op “KPN beboet voor nalatige beveiliging van aftapsysteem”

    1. Evert Mouw schreef:
      31 augustus 2022 om 07:28

      Hoe meer je (technisch) mogelijk maakt, hoe meer er fout kan gaan. Meer features, meer onderhoud, meer procedures… In dit geval ligt m.i. de verantwoordelijkheid voor een belangrijk deel ook bij de Staat, die een privaat bedrijf dwingt activiteiten uit te voeren die niet in het belang zijn van het bedrijf en zijn klanten, maar enkel in het belang zijn van de Staat en zijn organen (i.o.v. de burger, zo je wilt). Dus die boete voor KPN, prima, maar zou de toezichthouder bij de overheid ook niet een tik moeten krijgen? En dan geen boete (zinloos, dan betaalt de burger) maar consequenties voor de posities van de verantwoordelijkheden. We hebben het over toegang tot de private communicatie van heel Nederland…

      Login om te reageren
    2. Jaap van Belkum schreef:
      31 augustus 2022 om 12:37

      Nogal schokkend. Fout op fout. Bij de loodgieter thuis lekt de kraan.
      Is er onderzoek geweest of onder de medewerkers ook privatiers zijn?

      Login om te reageren
    3. P de Jong schreef:
      31 augustus 2022 om 13:34

      Tja..ze zullen de kosten wel doorbelasten aan de afnemers van de dienst. Daarmee wordt er wat geld extra rondgepompt tussen overheid en deze private partij.

      Login om te reageren

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs