KPN beboet voor nalatige beveiliging van aftapsysteem

Dit artikel delen:

KPN heeft van het Agentschap Telecom een boete van 450.000 euro gekregen. Een onderzoek van de toezichthouder wijst uit dat de beveiliging van KPN’s justitiële aftapsysteem niet aan de wettelijke vereisten voldeed. Zo konden systeembeheerders zichzelf rootgebruiker maken.

Het wordt KPN aangerekend dat een beperkte groep systeembeheerders die toegang had tot de systemen, niet over de vereiste Verklaring omtrent het Gedrag (VOG) beschikte. Ook was geen geheimhoudingsverklaring getekend.
 
Bovendien werkten betrokken systeembeheerders met groepsgebonden accounts. Mede hierdoor was de registratie van individuele handelingen door beheerders niet volledig. Daarnaast kon een beheerder op dit platform de (niet-persoonsgebonden) vastlegging zelf anoniem verwijderen. Als persoonsgebonden authenticatie ontbreekt, valt niet te achterhalen wie toegang heeft verkregen tot tapgegevens en of die toegang rechtmatig was. Ook weet je niet of deze gegevens zijn ingezien of bijvoorbeeld zijn gewijzigd. 
 
Beheerders die waren ingelogd, konden zichzelf rootgebruiker maken zodat ze de meest vergaande rechten kregen. De wachtwoorden die daarvoor waren vereist, had KPN op een met de beheerders gedeelde opslag-schijf gezet in een digitale wachtwoord-kluis. Dit bestand was vindbaar en toegankelijk voor bepaalde beheerders, zo blijkt uit een pentest.

Risico voor de staatsveiligheid

Het Agentschap concludeert dat KPN geen zicht had op de personen die toegang hadden tot de tapgegevens. Die toegang bestond bovendien voor meer beheerders dan was toegestaan. Met de groepsgebonden authenticatie is KPN eveneens over de schreef gegaan. De afwezigheid van persoonsgebonden vastlegging brengt het aantal overtredingen op drie. Het Agentschap acht onvoldoende beveiliging een risico voor de staatsveiligheid en voor de integriteit van strafrechtelijke onderzoeken. De toezichthouder kwalificeert de overtredingen dan ook als ernstig, wat tegen het zere been van KPN is.
 
Als belangrijke leverancier van security-diensten in Nederland moet die bevinding voor KPN vrij pijnlijk zijn. Overigens heeft KPN deze tekortkomingen vorig jaar direct hersteld. De aftap-keten voldoet daarmee aan alle eisen.
 
Aanleiding tot het onderzoek was berichtgeving in de Volkskrant in april 2021 over Huawei. Deze Chinese leverancier van telecom had in 2010 nog ongeautoriseerde toegang tot de mobiele netwerken van KPN, aldus een rapport uit die tijd. Huawei had volgens de krant de mogelijkheid om onbeperkt mee te luisteren met telefoongesprekken. In strijd met de wet zou Huawei toegang hebben gehad tot informatie uit telefoontaps. Het Agentschap Telecom heeft vervolgens technisch onderzoek verricht naar het systeem dat informatie bevat over burgers die worden ‘getapt’. De Officier van Justitie, de AIVD of MIVD kunnen daartoe opdracht geven.
 
Overigens laat het onderzoek zien dat KPN ‘de voordeur’ tot de systemen voldoende heeft beveiligd. ‘Niemand anders dan KPN bepaalt wie er toegang krijgt tot de systemen,’ stelt John Derksen, hoofd Toezicht van Agentschap Telecom.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Reacties

Hoe meer je (technisch) mogelijk maakt, hoe meer er fout kan gaan. Meer features, meer onderhoud, meer procedures... In dit geval ligt m.i. de verantwoordelijkheid voor een belangrijk deel ook bij de Staat, die een privaat bedrijf dwingt activiteiten uit te voeren die niet in het belang zijn van het bedrijf en zijn klanten, maar enkel in het belang zijn van de Staat en zijn organen (i.o.v. de burger, zo je wilt). Dus die boete voor KPN, prima, maar zou de toezichthouder bij de overheid ook niet een tik moeten krijgen? En dan geen boete (zinloos, dan betaalt de burger) maar consequenties voor de posities van de verantwoordelijkheden. We hebben het over toegang tot de private communicatie van heel Nederland...

Nogal schokkend. Fout op fout. Bij de loodgieter thuis lekt de kraan.
Is er onderzoek geweest of onder de medewerkers ook privatiers zijn?

Tja..ze zullen de kosten wel doorbelasten aan de afnemers van de dienst. Daarmee wordt er wat geld extra rondgepompt tussen overheid en deze private partij.

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2022-08-30T18:14:00.000Z Alfred Monterie
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.