image

KPN beboet wegens onvoldoende beveiligen klantgegevens

dinsdag 2 juni 2015, 19:14 door Redactie, 11 reacties

KPN heeft in december 2013 een boete van 364.000 euro van de Autoriteit Consument & Markt (ACM) gekregen wegens het onvoldoende beveiligen van klantgegevens, zo is nu pas bekend geworden. Nadat er begin 2012 op een server van de telecomaanbieder was ingebroken deed de ACM (voorheen OPTA) onderzoek naar de manier waarop KPN klantgegevens beveiligde.

Uit het onderzoek bleek dat in de periode voorafgaand aan de hack de beveiliging van deze gegevens van KPN-klanten en de wijze waarop het veiligheidsbeleid in de organisatie was geborgd onvoldoende was. Het boetebesluit van ACM wordt nu pas openbaar gemaakt omdat KPN zich tegen eerdere openbaarmaking heeft verzet bij de voorzieningenrechters van de rechtbank Rotterdam en het College van Beroep voor het bedrijfsleven (CBb).

De voorzieningenrechter van het CBb heeft zich op 1 juni 2015 uitgesproken over de zaak. Deze uitspraak maakt het nu mogelijk het boetebesluit en de beslissing op het beroep te publiceren. "Klanten stellen hun persoonsgegevens beschikbaar aan telecombedrijven om van hun diensten gebruik te kunnen maken. Zij doen dit in het vertrouwen dat deze bedrijven zorgvuldig met hun gegevens omgaan en goed beschermen. Gebeurt dat onvoldoende, zoals in dit geval bij KPN, dan schaadt dat het vertrouwen van consumenten in de telecommarkt", zegt ACM-bestuurslid Anita Vegter.

Reacties (11)
02-06-2015, 19:58 door Cybercrimepreventie.com
Dit had natuurlijk nooit mogen gebeuren, echter hebben ze na de laatste hack wel drastische maatregelen getroffen.

Het aanstellen van de nieuwe CISO Jaya Baloo heeft het bedrijf erg goed gedaan.

KPN heeft sindsdien flink geinvesteerd in een eigen hackersteam en in diverse beveiligingsmaatregelen waaraan een gemiddelde bank een voorbeeld kan nemen.

Soms is het goed dat dit soort hacks binnen bedrijven plaatsvinden. Dit is vaak de trigger op management niveau om Informatiebeveiliging echt serieus te nemen. Complimenten aan KPN hoe ze hier vervolg aan hebben gegeven.
02-06-2015, 20:13 door Cybercrimepreventie.com
Het eigen KPN hackersteam is afgelopen jaar zelfs derde geworden bij de Cyberlympics in Barcelona. Daarnaast zijn er sinds 2013 diverse "hack-the-company" audits welke o.a. worden uitgevoerd door Deloitte en PWC.
02-06-2015, 22:16 door [Account Verwijderd] - Bijgewerkt: 02-06-2015, 22:33
[Verwijderd]
02-06-2015, 22:29 door [Account Verwijderd] - Bijgewerkt: 02-06-2015, 22:32
Door Cybercrimepreventie.com 02-06-2015 19:58 uur:
KPN heeft sindsdien flink geinvesteerd in een eigen hackersteam en in diverse beveiligingsmaatregelen waaraan een gemiddelde bank een voorbeeld kan nemen.

Alleen het inloggen bij mijnkpn valt helaas nog een beetje tegen.

https://www.ssllabs.com/ssltest/analyze.html?d=kpn.com&hideResults=on

Hoop dat ze dit ook eens veiliger maken door bijv. standaard TLS1.2 te gebruiken. Gezien de gegevens die in zo'n account staan log ik namelijk niet zo graag in.
03-06-2015, 00:03 door Anoniem
Niet alleen bleek twee jaar geleden ook al dat het interne netwerk van KPN niet goed afgeschermd was, maar KPN en alle dochters van KPN die de KPN infrastructuur gebruiken (kpnexchange.com) hebben nog steeds geen versleutelde server-server SMTP. Alle email van en naar KPN gaat dus gewoon als platte tekst over het web. Van enige vorm van encryptie hebben ze daar nog nooit gehoord. KPN, de paardentram van 2015.
03-06-2015, 07:04 door Erik van Straten
02-06-2015, 22:16 door Krakatau: Ja, je moet tegenwoordig oppassen als bedrijf dat je wel afdoende technische maatregelen neemt ter bescherming van persoonsgegevens.

De tijd van het in de database opslaan van plaintext wachtwoorden is voorbij!
Niet bedoeld als kritiek, maar bij gehackte serverdatabases krijgen, denk ik, wachtwoorden (of afgeleiden daarvan) vaak alle aandacht - terwijl er meestal meer vertrouwelijke gegevens zijn gestolen (die niet eenvoudig te wijzigen zijn).

En reken je niet rijk met welke wachtwoordverhaspelingmethode dan ook. Als aanvallers van een specifieke gebruiker het wachtwoord willen achterhalen (bijv. omdat ze vermoeden dat die gebruiker dat wachtwoord elders ook gebruikt), duurt het uitproberen van een lijst met veelgebruikte wachtwoorden ook weer niet zo heel lang (anders zou het normale inloggen veel te veel tijd en server-CPU performance kosten).

Ik zeg niet dat je geen PBKDF2 o.i.d. moet gebruiken, maar stap 1 moet zijn dat je voorkomt dat aanvallers directe toegang krijgen tot serverdatabases.
03-06-2015, 08:07 door Anoniem
Als je aan de ene kant je gaat richten op beveiliging voor je klanten, maar aan de andere kant kosten wat het kost voor je klanten verborgen wil houden hoe een puinhoop het was dan strookt er toch nog steeds iets niet in je bedrijfsvoering. Het bestuur van KPN wil vertrouwen? Dan moeten ze open en eerlijk zijn. Dit soort fratsen om vertrouwen te behouden is het schadelijkst voor de telecommarkt. Wat mij betreft dit soort bestuur meteen de laan uit.
03-06-2015, 10:41 door Anoniem
Door Anoniem: Niet alleen bleek twee jaar geleden ook al dat het interne netwerk van KPN niet goed afgeschermd was, maar KPN en alle dochters van KPN die de KPN infrastructuur gebruiken (kpnexchange.com) hebben nog steeds geen versleutelde server-server SMTP. Alle email van en naar KPN gaat dus gewoon als platte tekst over het web. Van enige vorm van encryptie hebben ze daar nog nooit gehoord. KPN, de paardentram van 2015.

Weinig onderbouwde stellingname. KPN heeft zeker kennis van encryptie, wat niet betekent dat het al mogelijk/wenselijk is geweest om ook daadwerkelijk encryptie te implementeren. Zo heeft KPN ook een bijdrage geleverd aan de NCSC "ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS)", een niet slecht ontvangen document.
Wat is kpnexchange.com??
03-06-2015, 10:56 door [Account Verwijderd] - Bijgewerkt: 03-06-2015, 10:56
[Verwijderd]
03-06-2015, 13:56 door Anoniem
Door Anoniem:
Door Anoniem: Niet alleen bleek twee jaar geleden ook al dat het interne netwerk van KPN niet goed afgeschermd was, maar KPN en alle dochters van KPN die de KPN infrastructuur gebruiken (kpnexchange.com) hebben nog steeds geen versleutelde server-server SMTP. Alle email van en naar KPN gaat dus gewoon als platte tekst over het web. Van enige vorm van encryptie hebben ze daar nog nooit gehoord. KPN, de paardentram van 2015.

Weinig onderbouwde stellingname. KPN heeft zeker kennis van encryptie, wat niet betekent dat het al mogelijk/wenselijk is geweest om ook daadwerkelijk encryptie te implementeren. Zo heeft KPN ook een bijdrage geleverd aan de NCSC "ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS)", een niet slecht ontvangen document.
Wat is kpnexchange.com??

Wat een flauwekul verhaal. U gaat niet in op de feiten en bewijst alleen maar dat er bij KPN een grote discrepantie is tussen theorie en praktijk. U bent duidelijk geen zakelijke gebruiker.

Hoe serieus moet je iemand nemen die niet eens weet dat je "kpnexchange" gewoon op kunt zoeken met een zoekmachientje?
03-06-2015, 19:08 door Anoniem
Onbegrijpelijk dat ondeskundigen, KPN nog menen te moeten verdedigen.

Een korte samenvatting uit het ACM rapport: "Voor een aantal essentiële beveiligingsmaatregelen was geen centraal beleid opgesteld, er was geen patchmanagement en systemen waren inderdaad niet voorzien van de laatste patches. Het was een chaos in de organisatie, verantwoordelijkheden werden als een hete aardappel doorgeschoven, en documentatie was gebrekkig.

Ook het netwerkbeheer was ver onder de maat: het eigen ontwerp van indeling in beveiligingszones werd niet nageleefd, de firewall was niet goed afgesteld en ontbrak zelfs op sommige cruciale netwerksegmenten. Ook ontbrak intrusion detection en intrusion prevention (IDS en IPS) bij sommige, blijkbaar essentiële, netwerkonderdelen. Er was geen centrale logging en de monitoring faalde."
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.