KPN heeft vandaag te horen gekregen dat het een boete van 450.000 euro moet betalen. Reden voor de boete is dat de beveiliging van het aftapsysteem niet aan de wettelijke eisen voldoet. Inmiddels zijn de tekortkomingen verholpen.
Agentschap Telecom kondigt de boete aan via een persbericht (1).
Aanleiding van het onderzoek was een artikel in de Volkskrant in april 2021 over mogelijke spionage- en afluisterpraktijken door Huawei. Het dagblad schreef dat het Chinese technologiebedrijf jarenlang “ongeautoriseerde, ongecontroleerde en ongelimiteerde” toegang had tot de mobiele netwerken van KPN. Het bedrijf zou op deze manier diverse Nederlandse bewindslieden hebben afgeluisterd.
Ook zou Huawei inzage hebben gehad in een database met klant- en facturatiegegevens van Telfort-klanten. “Huawei kon bij klantgegevens en als ze wilden hadden ze alles kunnen doorsluizen naar China. Er is alleen nooit onderzoek gedaan naar wat ze precies hebben gekopieerd”, zo vertelde een ingewijde destijds over de kwestie.
KPN heeft altijd ontkend dat Huawei was doorgedrongen tot de kern van haar netwerk. Het techbedrijf uit China heeft de aantijgingen van spionage altijd ontkend. Anonieme bronnen beweren dat de fabrikant van netwerkapparatuur nog altijd toegang heeft tot alle systemen van KPN.
Op basis van deze berichtgeving en beschuldigingen besloot Agentschap Telecom om diepgaand technisch onderzoek te doen naar de huidige beveiliging van de aftapvoorziening van KPN. Dat systeem bevat informatie over personen die worden afgeluisterd. Dat gebeurt in opdracht van de officier van justitie, de Algemene of Militaire Inlichtingen- en Veiligheidsdienst (AIVD en MIVD).
Uit het onderzoek blijkt dat KPN onvoldoende beveiligingsmaatregelen heeft getroffen om het aftapsysteem te beschermen tegen ongeautoriseerde toegang. Omdat er bij de tapvoorziening staatsgeheime informatie in het geding kan zijn, stelt de overheid strenge eisen aan degenen die toegang hebben tot het systeem. Zo moeten medewerkers een Verklaring Omtrent het Gedrag (VOG) kunnen overleggen. Ook moeten ze een geheimhoudingsverklaring ondertekenen om gevoelige informatie te mogen inzien.
“Het onderzoek laat zien dat KPN ‘de voordeur’ tot haar systemen voldoende beveiligd heeft. Niemand anders dan KPN bepaalt wie er toegang krijgt tot de systemen”, vertelt John Derksen, hoofd Toezicht van Agentschap Telecom. “Het onderzoek laat echter ook zien dat een beperkte groep systeembeheerders die toegang had tot de systemen, niet over de vereiste Verklaring omtrent het Gedrag (VOG) en een geheimhoudingsverklaring beschikte. Deze personen hadden bovendien geen persoonlijk account. Daardoor konden hun individuele handelingen niet goed worden gevolgd en geregistreerd.”
Voor deze overtreding deelt Agentschap Telecom een boete van 450.000 euro uit aan KPN. De toezichthouder van de telecomsector zegt dat KPN volledig heeft meegewerkt aan het onderzoek. De provider heeft maatregelen genomen om het beveiligingsniveau van het aftapsysteem op niveau te brengen. Het autorisatieproces is verbeterd en alle systeembeheerders beschikken over de vereiste documenten.
“Agentschap Telecom heeft essentiële delen van de verbeteringen gezien en de overige verbeteringen worden gecontroleerd in het reguliere inspectieproces onder de aangescherpte zorgplicht”, aldus het agentschap. Het is echter onvoldoende voor KPN om onder de boete van bijna een half miljoen euro uit te komen.
“De veiligheid en integriteit van telecomnetwerken zijn van vitaal belang voor onze maatschappij en onze economie. Hiervoor zetten de medewerkers van het agentschap zich dagelijks in”, zo schrijft Agentschap Telecom. Het doel van het onderzoek naar de beveiliging van het aftapsysteem is om de telecomsector -en daarmee de samenleving- weerbaar te maken tegen actuele en relevante dreigingen.
https://www.agentschaptelecom.nl/actueel/nieuws/2022/08/30/tekortkomingen-in-beveiliging-van-aftapvoorziening-kpn
