image

KPN krijgt 450.000 euro boete voor onvoldoende beveiligen aftapvoorziening

dinsdag 30 augustus 2022, 12:19 door Redactie, 15 reacties

Het Agentschap Telecom heeft KPN een boete van 450.000 euro opgelegd wegens het onvoldoende beveiligen van de aftapvoorziening. De beveiliging van de telecomprovider voldeed niet op alle onderdelen aan de wettelijke vereisten, zo stelt de toezichthouder. De geconstateerde tekortkomingen zijn inmiddels door KPN verholpen.

De KPN-tapvoorziening zorgt ervoor dat er na een justitieel bevel kan worden afgetapt. De Officier van Justitie, AIVD of MIVD kunnen daarvoor opdracht geven op basis van hun eigen wettelijke taken en zo meeluisteren met telefoongesprekken of meelezen met bijvoorbeeld sms-berichten of e-mails. Naar aanleiding van een artikel in de Volkskrant, waarin op basis van een rapport uit 2010 werd gesuggereerd dat er 'ongeautoriseerde, ongecontroleerde en ongelimiteerde’ toegang was tot de mobiele netwerken van KPN, besloot het Agentschap Telecom een onderzoek in te stellen.

Uit het onderzoek van het Agentschap Telecom blijkt dat KPN onvoldoende zorg heeft gedragen voor het treffen van noodzakelijke beveiligingsmaatregelen om kennisneming van aftapgegevens door onbevoegden te voorkomen. Ook blijkt uit het onderzoek dat KPN voor haar systemen gebruikmaakt van diverse leveranciers. Het beheer doet KPN echter zelf.

Volgens de toezichthouder had KPN de voordeur voldoende beveiligd, maar had een beperkte groep systeembeheerders toegang tot de systemen, terwijl die niet over de vereiste Verklaring omtrent het Gedrag (VOG) en een geheimhoudingsverklaring beschikte. Daarnaast hadden deze personen geen persoonlijk account, waardoor hun individuele handelingen niet goed konden worden gevolgd en geregistreerd.

KPN liet de toezichthouder weten dat het autorisatieproces inmiddels is verbeterd en dat alle beheerders nu over de vereiste documenten beschikken. Het Agentschap Telecom heeft essentiële delen van de verbeteringen bevestigd en zal de overige verbeteringen controleren tijdens het reguliere inspectieproces onder de aangescherpte zorgplicht. KPN laat in een reactie weten dat het niet in beroep tegen de boete gaat.

Reacties (15)
30-08-2022, 13:27 door Erik van Straten - Bijgewerkt: 30-08-2022, 13:28
Dit is nou precies een voorbeeld van de risico's van aftappen en/of telco's op andere wijze burgers laten volgen (zie bijv. https://www.security.nl/posting/659312/Leugens+van+Mona+Keijzer).

Hoe bestaat het dat een, voor zeer veel diensten door de overheid vertrouwde partij als KPN, niet van begin af aan zelf nadenkt (en daarnaar handelt), maar "gewoon" wat aanrommelt totdat zij door een controlerende partij op de vingers wordt getikt?
30-08-2022, 13:35 door Anoniem
Laten we even handen opsteken. Wie is er *niet* verrast dat het breed tappen ertoe leidt dat teveel data te breed beschikbaar komt?

Ah, dat dacht ik al. Niemand.
30-08-2022, 14:18 door Anoniem
VOG slaat overigens nergens op.
Zo moest ik laatst een VOG laten zien waarin stond dat ik 'lief voor dieren' was... Bij een BANK!
En als ik zie dat je voor taxi ook een VOG moet hebben en wat voor criminelen daarin rond rijden... pfff...
Keej, ze weten het en het kwam er effe niet van... zo krijg je dit soort dingen..
komt waarschijnlijk omdat ze voor de buhne effe moesten laten zien dat Huawei ontzettend stout was...
En vervolgens hebben ze alles doorgelicht en niets gevonden, alleen wat achterstallig onderhoud op account beheer.
M.a.w., ik ga weer wat Huawei systemen kopen, want schijnbaar kan KPN, AT en een pentest team niets vinden...
Toch gewoon ouderwetse Amerikaanse FUD.
30-08-2022, 14:21 door Anoniem
Door Erik van Straten: Dit is nou precies een voorbeeld van de risico's van aftappen en/of telco's op andere wijze burgers laten volgen (zie bijv. https://www.security.nl/posting/659312/Leugens+van+Mona+Keijzer).

Hoe bestaat het dat een, voor zeer veel diensten door de overheid vertrouwde partij als KPN, niet van begin af aan zelf nadenkt (en daarnaar handelt), maar "gewoon" wat aanrommelt totdat zij door een controlerende partij op de vingers wordt getikt?
Zeker, en de klanten betalen uiteindelijk de boete. Niet KPN.
Een fijne dag nog.
30-08-2022, 14:25 door Anoniem
Door Anoniem: Laten we even handen opsteken. Wie is er *niet* verrast dat het breed tappen ertoe leidt dat teveel data te breed beschikbaar komt?

Ah, dat dacht ik al. Niemand.
Dus is iedereen wel verrast?
30-08-2022, 18:00 door Anoniem
Door Anoniem:
Door Erik van Straten: Dit is nou precies een voorbeeld van de risico's van aftappen en/of telco's op andere wijze burgers laten volgen (zie bijv. https://www.security.nl/posting/659312/Leugens+van+Mona+Keijzer).

Hoe bestaat het dat een, voor zeer veel diensten door de overheid vertrouwde partij als KPN, niet van begin af aan zelf nadenkt (en daarnaar handelt), maar "gewoon" wat aanrommelt totdat zij door een controlerende partij op de vingers wordt getikt?
Zeker, en de klanten betalen uiteindelijk de boete. Niet KPN.
Een fijne dag nog.

Daarom pleit ik al jaren voor vervolging van bestuurders.
30-08-2022, 18:13 door Anoniem
Fikse boete die uiteindelijk toch weer door de klanten van KPN betaald gaat worden.
30-08-2022, 19:26 door Anoniem
Over deze ellende is een boek geschreven Zie https://www.uitgeverijbalans.nl/boeken/onder-de-tap/
30-08-2022, 21:27 door Anoniem
Zeer verrast, dat het een momentopname is uit reeksen van dit soort gebeurtenissen. En nog verandert er niets.

Glas, plas, was. Weer een jaartje IT security uit het verkeerde boek.
Nu een opleiding management gevolgd.

Zekerheid gegarandeerd, als je je klant kan laten betalen voor je managerieel aankl*ten, kom je wel overal gewoon goed mee weg.

Weinig werken en veel verdienen , zo'n 2,5 ton voor 2,5 dag praten onder de koffie.

En u blijft dom, klant. Dommer dan deze slimmerikjes.
31-08-2022, 08:59 door Anoniem
Door Anoniem: VOG slaat overigens nergens op.
Zo moest ik laatst een VOG laten zien waarin stond dat ik 'lief voor dieren' was... Bij een BANK!
En als ik zie dat je voor taxi ook een VOG moet hebben en wat voor criminelen daarin rond rijden... pfff...
Keej, ze weten het en het kwam er effe niet van... zo krijg je dit soort dingen..
komt waarschijnlijk omdat ze voor de buhne effe moesten laten zien dat Huawei ontzettend stout was...
En vervolgens hebben ze alles doorgelicht en niets gevonden, alleen wat achterstallig onderhoud op account beheer.
M.a.w., ik ga weer wat Huawei systemen kopen, want schijnbaar kan KPN, AT en een pentest team niets vinden...
Toch gewoon ouderwetse Amerikaanse FUD.
Duidelijk gevalletje klok en klepel. Degene die een VOG wil zien, moet aanvinken welke screeningsprofielen van toepassing zijn. Die bank waar jij het over hebt, heeft dus een screeningsprofiel geselecteerd waarbij dierenwelzijn relevant is. Of dat nuttig of noodzakelijk is, kan ik hier niet beoordelen. Maar dat jij van die bank 'lief voor dieren' moet zijn, heeft dus niets met de VOG te maken, maar met het verzoek van de bank om jou hierop te screenen.

Meer informatie over de screeningsprofielen hier: https://www.justis.nl/sites/default/files/2022-06/Screeningsprofielen%20VOG%20NP%20juni%202022.pdf
31-08-2022, 09:03 door Anoniem
Leuk dat men met de vinger naar KPN wijst, maar hoe is het bij de tapkamers zelf gesteld met de informatiebeveiliging?:
https://nos.nl/nieuwsuur/artikel/2416860-longread-ook-de-politie-ziet-substantiele-veiligheidsrisico-s-in-tapsysteem

Eerlijk gezegd maak ik me daar meer zorgen over dan de foutjes die men bij KPN heeft geconstateerd, waarvan het uiteraard wel goed is dat ze opgelost zijn.
31-08-2022, 09:24 door [Account Verwijderd]
Door Anoniem:
Door Anoniem:
Door Erik van Straten: Dit is nou precies een voorbeeld van de risico's van aftappen en/of telco's op andere wijze burgers laten volgen (zie bijv. https://www.security.nl/posting/659312/Leugens+van+Mona+Keijzer).

Hoe bestaat het dat een, voor zeer veel diensten door de overheid vertrouwde partij als KPN, niet van begin af aan zelf nadenkt (en daarnaar handelt), maar "gewoon" wat aanrommelt totdat zij door een controlerende partij op de vingers wordt getikt?
Zeker, en de klanten betalen uiteindelijk de boete. Niet KPN.
Een fijne dag nog.

Daarom pleit ik al jaren voor vervolging van bestuurders.

Je hebt het er maar druk mee als (straf)pleiter aka Officier van Justitie, of niet?
Tsjezus... wat heeft de raad van bestuur van KPN in hemelsnaam met het onderwerp van doen zeg!
Een raad van bestuur controleert hoofdzakelijk het management of het binnen de kaders van wetgeving werkt etc.
Verantwoordelijk voor producten/diensten etc. is het bedrijfsmanagement en daar heeft het gerammeld bij KPN.

Terug naar het onderwerp:
Als je dit verneemt, ga je het breder zien: KPN is een commercieel bedrijf en levert in casu ook concurrerend het inlogmiddel voor ondernemers/ bedrijven: eHerkenning. Voor concurrentie mag - ik zeg niet 'moet' - alles wijken.

En zie: daar heb je weer zo'n verderfelijk voorbeeld waar privatisering van overheidsbedrijven toe kan leiden/heeft geleid, en van de neoliberalist teflon Rutte mag dit stilzwijgend doorgaan.
31-08-2022, 09:37 door a.j.333 - Bijgewerkt: 31-08-2022, 09:40
Beste lezers.Ik ben WEL verbaast,Ik heb KPN hoog zitten,goede service,maaaaaaaar .Ik a.j.333.heb KPN mijn klacht omtrent data diefstal gemeld op 6-7-22..Krijg geen antwoord op mijn vraag. Zou het bovenstaande juist zijn bij a.j.333.
Zeer zorgelijk. Vriendelijke groet a.j.333. (het KPN ABUSE TEAM)
31-08-2022, 20:05 door Anoniem
Ik vind KPN top!
Ik werk er niet en ik heb geen aandelen.
Maar het werkt altijd en het werkt goed. Internet, televisie en telefoon, top!
03-09-2022, 17:22 door Anoniem
Ongelooflijk, dat zulke dingen gebeuren bij een provider met zo'n goede naam. Het is bijzonder amateuristisch dat zulke gevoelige gegevens zo gemakkelijk ingezien kunnen worden en dan soms ook nog zonder sporen achter te laten. KPN moet minder dividend uitkeren en meer Investeren in het bedrijf en de mensen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.