KPN krijgt boete van 450.000 euro om ondermaatse beveiliging aftapsysteem
Agentschap Telecom

KPN krijgt boete van 450.000 euro om ondermaatse beveiliging aftapsysteem

30-08-2022 12:49 Laatste update: 13:05

KPN krijgt van het Agentschap Telecom een boete van 450.000 euro omdat het aftapsysteem niet helemaal waterdicht was. Daardoor konden onbevoegden de lijst met aftapdoelwitten raadplegen.

Het agentschap startte vorig jaar een onderzoek naar het aftapsysteem van KPN. Dat systeem is bedoeld om de telefoongesprekken of sms-berichten van verdachte personen af te luisteren na een opdracht van Officier van Justitie, de AIVD of MIVD. Het onderzoek werd gestart na bericht van de Volkskrant, die meldde dat KPN-leverancier Huawei toegang zou hebben tot het aftapsysteem.

Toegang niet streng genoeg gecontroleerd

Het Agentschap Telecom concludeert nu dat de beveiliging van KPN inderdaad niet op alle vlakken aan de wettelijke eisen voldeed. Het probleem zat volgens het agentschap niet in het uitbesteden van de zogenoemde derdelijns ondersteuning aan leveranciers. "Dat is gebruikelijk en toegestaan", aldus het agentschap.

Maar het beheer moet KPN zelf doen, met strenge toegangseisen voor beheerders. Al hun stappen moeten in een logboek worden bijgehouden en ze moeten een Verklaring omtrent het Gedrag (VOG) en een geheimhoudingsverklaring hebben, en daar schortte het aan bij KPN.

Voordeur op slot, achterdeur niet helemaal

"Het onderzoek laat zien dat KPN 'de voordeur' tot haar systemen voldoende beveiligd heeft", aldus John Derksen, hoofd Toezicht van Agentschap Telecom. "Het onderzoek laat echter ook zien dat een beperkte groep systeembeheerders die toegang had tot de systemen, niet over de vereiste Verklaring omtrent het Gedrag (VOG) en een geheimhoudingsverklaring beschikte. Deze personen hadden bovendien geen persoonlijk account. Daardoor konden hun individuele handelingen niet goed worden gevolgd en geregistreerd."

Problemen opgelost

KPN heeft de problemen inmiddels opgelost met een verbeterd autorisatieproces en een controle van de documenten van alle beheerders. Dat is ook weer door het Agentschap Telecom gecontroleerd, verdere verteringen worden in het reguliere inspectieproces meegenomen.

KPN verduidelijkt in een reactie dat de mensen die wettelijk gezien ongeautoriseerde toegang hadden tot de systemen, wel steeds tot het KPN-personeel behoorden. "Het onderzoek toont aan dat de aftapketen goed is beveiligd tegen ongewenste toegang door buitenstaanders", aldus KPN.