Wouter Hoeffnagel - 30 augustus 2022

Agentschap Telecom legt KPN boete op wegens onvoldoende beveiligen aftapsysteem

Agentschap Telecom legt KPN boete op wegens onvoldoende beveiligen aftapsysteem image

KPN krijgt een boete van 450.000 euro opgelegd door het Agentschap Telecom wegens problemen met de veiligheid van zijn aftapsysteem. De beveiliging voldeed niet op alle onderdelen aan de wettelijke vereisten. De tekortkomingen zijn inmiddels door KPN verholpen.

Het Agentschap Telecom onderzocht de veiligheid van het aftapsysteem van KPN na een publicatie van De Volkskrant in april 2021. Daarin werd op basis van een rapport uit 2010 gesuggereerd dat er 'ongeautoriseerde, ongecontroleerde en ongelimiteerde’ toegang was tot de mobiele netwerken van KPN. Agentschap Telecom voerde hierop een diepgaand technisch onderzoek aan naar de huidige beveiliging van de aftapvoorziening van KPN. Dit is het systeem dat informatie bevat over personen die 'afgeluisterd' worden, iets waarvoor Officier van Justitie, de AIVD of MIVD opdracht kunnen geven.

Onvoldoende zorg voor beveiliging

Uit het onderzoek blijkt dat KPN onvoldoende zorg heeft gedragen voor het treffen van noodzakelijke beveiligingsmaatregelen om de toegang van onbevoegden tot aftapgegevens te voorkomen. Ook blijkt dat KPN voor haar systemen gebruik maakt van diverse leveranciers, terwijl het bedrijf zelf het beheer voor rekening neemt. De zogenoemde derdelijns ondersteuning komt van leveranciers. Het Agentschap Telecom benadrukt dat dit gebruikelijk en toegestaan is. Bij de tapvoorziening kunnen ook staatsgeheime informatie in het geding zijn, waardoor aan beheerders strenge eisen worden gesteld. Dat betekent onder meer dat alles wat ze doen nauwkeurig moet worden vastgelegd en alleen medewerkers met een Verklaring omtrent het Gedrag (VOG) en een geheimhoudingsverklaring in aanraking mogen komen met deze gegevens. Dit was niet het geval.

John Derksen, hoofd Toezicht van Agentschap Telecom: "Het onderzoek laat zien dat KPN ‘de voordeur’ tot haar systemen voldoende beveiligd heeft. Niemand anders dan KPN bepaalt wie er toegang krijgt tot de systemen. Het onderzoek laat echter ook zien dat een beperkte groep systeembeheerders die toegang had tot de systemen, niet over de vereiste Verklaring omtrent het Gedrag (VOG) en een geheimhoudingsverklaring beschikte. Deze personen hadden bovendien geen persoonlijk account. Daardoor konden hun individuele handelingen niet goed worden gevolgd en geregistreerd."

KPN nam maatregelen

KPN werkte volledig mee aan het onderzoek. Ook nam het bedrijf tijdens het onderzoek maatregelen om de veiligheid van het aftapsysteem op het vereiste niveau te brengen. KPN geeft aan dat het autorisatieproces inmiddels is verbeterd en alle beheerders nu over de vereiste documenten beschikken. Essentiële delen van de verbeteringen zijn door Agentschap Telecom beoordeeld. De overige verbeteringen worden gecontroleerd in het reguliere inspectieproces onder de aangescherpte zorgplicht.

Copaco | BW 25 maart tm 31 maart 2024 Trend Micro BW BN week 10-11-13-14-2024
Copaco | BW 25 maart tm 31 maart 2024

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!