Vodafone krijgt miljoenenboete voor onvoldoende beveiligen aftapvoorziening
Vodafone heeft van de Rijksinspectie Digitale Infrastructuur (RDI) een boete van 2,25 miljoen euro gekregen wegens het onvoldoende beveiligen van de aftapvoorziening. De beveiliging voldeed op meerdere onderdelen niet aan de wettelijke eisen. De vastgestelde tekortkomingen zijn inmiddels verholpen.
Een aftapsysteem bevat informatie over personen of organisaties die ‘getapt’ worden. Het gaat dan bijvoorbeeld om het meeluisteren met telefoongesprekken of het lezen van berichten die via sms, chat of e-mail worden verstuurd. De inzet van een tap gebeurt onder strikte voorwaarden en alleen op last van de Officier van Justitie, AIVD of MIVD, zo laat de RDI weten.
Aangezien een aftapsysteem staatsgeheime of strafrechtelijke informatie kan bevatten zijn er strenge eisen gesteld aan de beveiliging. Dat geldt zowel voor de fysieke ruimte waarin het systeem staat als voor de toegang tot de geautomatiseerde systemen. Ook moeten organisatorische maatregelen genomen worden om te voorkomen dat de informatie in het aftapsysteem bij onbevoegden terecht komt.
De RDI deed onderzoek naar de beveiliging van het aftapsysteem van Vodafone en ontdekte dat die op meerdere onderdelen tekortschoot. Aanbieders moeten over een beveiligingsplan beschikken waarin staat hoe de beveiligingsplicht wordt uitgevoerd. Bij Vodafone was dit plan niet volledig en bovendien sterk verouderd. Verder bleek dat Vodafone onderdelen van het aftapproces aan derden heeft uitbesteed, waarbij de vereiste afspraken niet afdoende volledig en concreet met alle leveranciers waren gemaakt.
Het onderzoek liet ook zien dat het personeel dat toegang had tot het aftapsysteem niet goed was gescreend. Bij een groot deel van hen ontbrak een adequate functieomschrijving, een ondertekende geheimhoudingsverklaring en een Verklaring Omtrent het Gedrag. Ook bleek dat de fysieke beveiliging van de ruimte waarin aftapgegevens aanwezig waren onvoldoende was. Zo konden onbevoegden eenvoudig toegang tot de ruimte krijgen. Als laatste was de toegangsbeveiliging tot geautomatiseerde systemen waarin aftapgegevens worden verwerkt onvoldoende.
"Deze overtredingen acht ik niet alleen afzonderlijk, maar zeker ook in onderlinge samenhang bezien ernstig. Een adequate beveiliging bestaat namelijk uit een combinatie van maatregelen op het gebied van preventie en detectie alsook administratieve en personele maatregelen", zo stelt de RDI in het boetebesluit. Volgens de toezichthouder is niet gebleken dat er ongeautoriseerd kennis is genomen van aftapgegevens.
Vodafone is het in essentie niet eens met de vastgestelde overtredingen en vindt het opleggen van een boete niet opportuun, zo stelde het in een reactie aan de RDI. Daarnaast noemt de provider de boetehoogte disproportioneel. Tevens wilde Vodafone dat de RDI het boetebesluit niet zou publiceren. De toezichthouder besloot daarop het boetebesluit gedeeltelijk te publiceren, omdat volledige publicatie de staatsveiligheid zou kunnen schaden.
Vanuit de overheid moet je je klanten (!!!) kunnen bespioneren. Maar alleen die overheid wil er toegang toe hebben. Je zou zomaar de indruk kunnen hebben dat we in Rusland of China leven...
Je kunt je ook de vraag stellen wie de taps dan moet betalen. Vodafone of de overheid? Nu zijn het de telecom providers die voor de kosten opdraaien. Heb je dan nog wel iets te zeggen over hoe het aftapproces is ingericht?
Privacy in Nederland bestaat niet en heeft nooit bestaan want we worden allemaal getapt, gevolgd en bespied door onze o zo betrouwbare overheid. Maar goed, jullie kiezen er voor om het te accepteren, dus niet moeilijk doen als gegevens blijkbaar niet veilig zijn opgeslagen.
De eisen zijn gedateerd.
Rond 2002 is “Besluit beveiliging gegevens telecommunicatie” voor het eerst opgenomen in wet en regelgeving. In die tijd was er al een hoop commentaar op deze beveiligingseisen. Zie
https://eronald.home.xs4all.nl/eygendaals/Publicaties/besluit_beveiliging_gegevens_aftappen.pdf
Ook bijzonder dat het door de Nederlandse autoriteiten kennelijk op zich wél ok wordt gevonden dat Vodafone "onderdelen van het aftapproces" uitbesteedt aan "derden", als er maar de "vereiste afspraken" met "leveranciers" worden gemaakt.
Tuurlijk joh. Als je maar de vereiste afspraken maakt, mag je het aftappen van Nederlanders best uitbesteden aan Huawei, Google of de NSA. Dit land is echt een joke.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
