Ernstig datalek bij KPN door vergeten laptop

Organisatieschema’s met verwijzingen naar de AIVD, Defensie en het Koninklijk Huis. Dat waren slechts enkele van de gevoelige documenten waartoe een door een monteur van KPN vergeten laptop toegang toe gaf, zo meldt dagblad Trouw. Een wachtwoord was niet nodig om het apparaat op te starten.

Juist op de dag dat het nieuws naar buiten komt, organiseert KPN in Nieuwegein een groots evenement over informatiebeveiliging. Het bedrijf laat dan een groot aantal specialisten vertellen wat er zoal komt kijken bij het veilig houden van data. Het zou goed zijn als ook de monteurs van KPN daaraan zouden deelnemen, want bij die doelgroep lijkt ‘security’ nog niet in het dna te zitten. In ieder geval niet bij de monteur die recent een laptop bij een klant liet liggen. De klant startte het apparaat uit nieuwsgierigheid op en merkte tot zijn verbazing dat hij zonder enige vorm van beveiliging toegang kreeg tot uiterst gevoelige informatie over onder andere de overheid, de NAVO en het Amerikaanse leger.

Uiterst gevoelige informatie
Ook toegang tot vertrouwelijke informatie op internet was geen probleem, omdat de wachtwoorden in de browser werden bewaard. Met hetzelfde gemak werd toegang verkregen tot het intranet TeamKPN. Er was geen tweetrapsverificatie ingesteld, wat tegenwoordig een voorwaarde is om data goed te kunnen beveiligen. TeamKPN bevat uiterst gevoelige informatie, zo ontdekten de onderzoekers die in opdracht van Trouw de laptop hadden bestudeerd. Zo werden gegevens over maar liefst 16 duizend zakelijke en publieke klanten gevonden, van luchthavens tot legeronderdelen, van banken tot bouwbedrijven en van ministeries tot medische centra. Ook de luchtmachtbasis Volkel, waar nucleaire wapens zouden liggen, behoorde hiertoe. Volgens Trouw hebben 13 duizend KPN-medewerkers toegang tot het intranet, waaronder ook uitzendkrachten en medewerkers van het van spionage verdachte bedrijf Huawei. Ook de monteur die zijn laptop had laten liggen was een uitzendkracht van KPN.

Vergeten
De klant had eerst geprobeerd de laptop bij KPN terug te bezorgen, maar dat ging zo moeizaam, dat hij besloot het apparaat bij Trouw af te leveren, zodat de ‘security’ bij het telecombedrijf publiekelijk onder de aandacht kon worden gebracht. Trouw heeft na het onderzoek de laptop alsnog teruggegeven aan de monteur. Die was vergeten waar hij het apparaat was kwijtgeraakt.
KPN heeft de kwestie gemeld bij de Autoriteit Persoonsgegevens. Tegenover Trouw verklaart het bedrijf een ‘betrouwbaar en solide security-beleid’ te hebben voor het gebruik van apparatuur voor de eigen medewerkers, onder wie monteurs. Die eisen zouden ook gelden voor onderaannemers. Het bedrijf beloofde te zullen kijken naar in hoeverre afspraken over beveiliging worden nageleefd.

Gedeeld

Geef een reactie