KPN heeft van het Agentschap Telecom een boete van 450.000 euro gekregen. Een onderzoek van de toezichthouder wijst uit dat de beveiliging van KPN’s justitiële aftapsysteem niet aan de wettelijke vereisten voldeed. Zo konden systeembeheerders zichzelf rootgebruiker maken.
Het wordt KPN aangerekend dat een beperkte groep systeembeheerders die toegang had tot de systemen, niet over de vereiste Verklaring omtrent het Gedrag (VOG) beschikte. Ook was geen geheimhoudingsverklaring getekend.
Bovendien werkten betrokken systeembeheerders met groepsgebonden accounts. Mede hierdoor was de registratie van individuele handelingen door beheerders niet volledig. Daarnaast kon een beheerder op dit platform de (niet-persoonsgebonden) vastlegging zelf anoniem verwijderen. Als persoonsgebonden authenticatie ontbreekt, valt niet te achterhalen wie toegang heeft verkregen tot tapgegevens en of die toegang rechtmatig was. Ook weet je niet of deze gegevens zijn ingezien of bijvoorbeeld zijn gewijzigd.
Beheerders die waren ingelogd, konden zichzelf rootgebruiker maken zodat ze de meest vergaande rechten kregen. De wachtwoorden die daarvoor waren vereist, had KPN op een met de beheerders gedeelde opslag-schijf gezet in een digitale wachtwoord-kluis. Dit bestand was vindbaar en toegankelijk voor bepaalde beheerders, zo blijkt uit een pentest.
Risico voor de staatsveiligheid
Het Agentschap concludeert dat KPN geen zicht had op de personen die toegang hadden tot de tapgegevens. Die toegang bestond bovendien voor meer beheerders dan was toegestaan. Met de groepsgebonden authenticatie is KPN eveneens over de schreef gegaan. De afwezigheid van persoonsgebonden vastlegging brengt het aantal overtredingen op drie. Het Agentschap acht onvoldoende beveiliging een risico voor de staatsveiligheid en voor de integriteit van strafrechtelijke onderzoeken. De toezichthouder kwalificeert de overtredingen dan ook als ernstig, wat tegen het zere been van KPN is.
Als belangrijke leverancier van security-diensten in Nederland moet die bevinding voor KPN vrij pijnlijk zijn. Overigens heeft KPN deze tekortkomingen vorig jaar direct hersteld. De aftap-keten voldoet daarmee aan alle eisen.
Aanleiding tot het onderzoek was berichtgeving in de Volkskrant in april 2021 over Huawei. Deze Chinese leverancier van telecom had in 2010 nog ongeautoriseerde toegang tot de mobiele netwerken van KPN, aldus een rapport uit die tijd. Huawei had volgens de krant de mogelijkheid om onbeperkt mee te luisteren met telefoongesprekken. In strijd met de wet zou Huawei toegang hebben gehad tot informatie uit telefoontaps. Het Agentschap Telecom heeft vervolgens technisch onderzoek verricht naar het systeem dat informatie bevat over burgers die worden ‘getapt’. De Officier van Justitie, de AIVD of MIVD kunnen daartoe opdracht geven.
Overigens laat het onderzoek zien dat KPN ‘de voordeur’ tot de systemen voldoende heeft beveiligd. ‘Niemand anders dan KPN bepaalt wie er toegang krijgt tot de systemen,’ stelt John Derksen, hoofd Toezicht van Agentschap Telecom.
Hoe meer je (technisch) mogelijk maakt, hoe meer er fout kan gaan. Meer features, meer onderhoud, meer procedures… In dit geval ligt m.i. de verantwoordelijkheid voor een belangrijk deel ook bij de Staat, die een privaat bedrijf dwingt activiteiten uit te voeren die niet in het belang zijn van het bedrijf en zijn klanten, maar enkel in het belang zijn van de Staat en zijn organen (i.o.v. de burger, zo je wilt). Dus die boete voor KPN, prima, maar zou de toezichthouder bij de overheid ook niet een tik moeten krijgen? En dan geen boete (zinloos, dan betaalt de burger) maar consequenties voor de posities van de verantwoordelijkheden. We hebben het over toegang tot de private communicatie van heel Nederland…
Nogal schokkend. Fout op fout. Bij de loodgieter thuis lekt de kraan.
Is er onderzoek geweest of onder de medewerkers ook privatiers zijn?
Tja..ze zullen de kosten wel doorbelasten aan de afnemers van de dienst. Daarmee wordt er wat geld extra rondgepompt tussen overheid en deze private partij.