Beveiligingnieuws Logo

Onze partners

Optex

Advancis

Secusoft

VEB

Lobeco

PG Security Systems

Traka ASSA ABLOY

Trigion

Genetec

ADI

Crown Security Services

Alarm Meldnet

Ajax Systems

Eizo

Securitas

CSL

HID

VAIBS

Gold-IP

Distri Company

SmartSD

CDVI

ASIS

ASSA ABLOY

Bydemes

Dero Security Products

Hanwha Vision Europe

Nenova

Akuvox

Centurion

NetworxConnect

Unii

VideoGuard

Paxton

IDIS

Intrasec

Connect Security

2N

Uniview

Oribi ID Solutions

Brivo

Bosch Security Systems

Avigilon Alta

Hikvision

Regio Control Veldt

EAL

Kiwa

Eagle Eye Networks

Service Centrale Nederland

Seagate

SmartCell

SOBA

ARAS

SMC Alarmcentrale

Network Optix

Masset Solutions

BHVcertificaat.online

NIBHV

Aritech

HD Security

VVNL

Top Security

i-Pro

VBN

Alphatronics

Seris

G4S

Milestone

Multiwacht

OSEC

Sequrix

MOBOTIX

Add Secure

Paraat

Hoge boete voor KPN wegens onveilig tapsysteem

30 augustus 2022
Redactie
16:43

Agentschap Telecom heeft diepgaand onderzoek gedaan naar de veiligheid van het aftapsysteem van KPN. Hieruit blijkt dat de beveiliging niet op alle onderdelen aan de wettelijke vereisten voldeed. Agentschap Telecom legt daarom een boete op aan KPN van 450.000 euro.

KPN geeft aan dat zij de geconstateerde tekortkomingen inmiddels heeft verholpen. Aanleiding voor het onderzoek was een artikel in de Volkskrant van 17 april 2021. Daarin werd -op basis van een rapport uit 2010- gesuggereerd dat er ‘ongeautoriseerde, ongecontroleerde en ongelimiteerde’ toegang was tot de mobiele netwerken van KPN.

Het onderzoek
Agentschap Telecom heeft diepgaand technisch onderzoek gedaan naar de huidige beveiliging van de aftapvoorziening van KPN. Dit is het systeem dat informatie bevat over personen die ‘getapt’ worden. Tappen is het meeluisteren met telefoongesprekken die personen voeren of het meelezen met berichten (bijvoorbeeld via sms of mails). De Officier van Justitie, de AIVD of MIVD kunnen daarvoor opdracht geven op basis van hun eigen wettelijke taken.

Resultaten
Uit het onderzoek blijkt dat KPN onvoldoende zorg heeft gedragen voor het treffen van noodzakelijke beveiligingsmaatregelen om kennisneming van aftapgegevens door onbevoegden te voorkomen. Ook blijkt uit het onderzoek dat KPN voor haar systemen gebruik maakt van diverse leveranciers. Het beheer doet KPN echter zelf. De zogenoemde derdelijns ondersteuning komt van leveranciers, hetgeen gebruikelijk is en ook is toegestaan. Omdat er bij de tapvoorziening ook staatsgeheime informatie in het geding kan zijn, worden aan de beheerders strenge eisen gesteld. Alles wat ze doen moet nauwkeurig worden vastgelegd en alleen medewerkers met een Verklaring omtrent het Gedrag (VOG) en een geheimhoudingsverklaring mogen in aanraking komen met deze gegevens.

Geen geheimhoudingsverklaring
John Derksen, hoofd Toezicht van Agentschap Telecom: “Het onderzoek laat zien dat KPN ‘de voordeur’ tot haar systemen voldoende beveiligd heeft. Niemand anders dan KPN bepaalt wie er toegang krijgt tot de systemen. Het onderzoek laat echter ook zien dat een beperkte groep systeembeheerders die toegang had tot de systemen, niet over de vereiste Verklaring omtrent het Gedrag (VOG) en een geheimhoudingsverklaring beschikte. Deze personen hadden bovendien geen persoonlijk account. Daardoor konden hun individuele handelingen niet goed worden gevolgd en geregistreerd.”

Problemen opgelost
KPN heeft volledig meegewerkt aan het onderzoek en tijdens het onderzoek maatregelen genomen om de veiligheid van het aftapsysteem op het vereiste niveau te brengen. KPN heeft aangegeven dat het autorisatieproces inmiddels is verbeterd en dat alle beheerders nu over de vereiste documenten beschikken. Agentschap Telecom heeft essentiële delen van de verbeteringen gezien en de overige verbeteringen worden gecontroleerd in het reguliere inspectieproces onder de aangescherpte zorgplicht.

Weerbaarheid telecomsector
De veiligheid en integriteit van telecomnetwerken zijn van vitaal belang voor onze maatschappij en onze economie. Hiervoor zetten de medewerkers van het agentschap zich dagelijks in. De afgelopen jaren is onder leiding van de Taskforce Economische Veiligheid gewerkt aan wettelijke mogelijkheden om risico’s te mitigeren. Onder andere het Besluit veiligheid en integriteit telecommunicatie en de daaruit volgende beschikkingen en ministeriële regeling geven een juridische basis om risico’s die samenhangen met ongeautoriseerde toegang door derden beter te beheersen. Deze wettelijke instrumenten vormen samen met de bestaande bepalingen uit de Telecommunicatiewet de basis om de telecomsector voldoende weerbaar te maken tegen de actuele dreigingen en de basis voor het toezicht daarop door het agentschap.

Deel dit artikel via:

Vlog

Premium partners

Videoguard

SequriX

Seagate

Suricat

Aritech

Distri Company

Wordt een partner