KPN ontvangt een boete van 450.000 euro voor de overtreding van securitywetten voor Nederlandse providers. Toezichthouder Agentschap Telecom vond meerdere gaten in de cyberveiligheid van de organisatie.
“KPN heeft in de periode van 1 juni 2021 tot 29 september 2021 onvoldoende zorg gedragen voor het treffen van noodzakelijke beveiligingsmaatregelen”, deelt de toezichthouder in een verklaring.
Providers als KPN en VodafoneZiggo bedienen miljoenen Nederlanders. De organisaties hebben een grote verantwoordelijkheid. De Rijksoverheid verplicht grootbedrijven om passende securitymaatregelen te treffen. Agentschap Telecom handhaaft de regels onder providers.
De toezichthouder deed onlangs onderzoek naar de systemen waarmee KPN informatie oplevert aan Nederlandse veiligheidsdiensten. Instanties als de AIVD en Rijksrecherche kunnen klantengegevens van KPN opeisen voor opsporingsdoeleinden. KPN hoort de systemen adequaat te beveiligen, maar dat is in de periode van juni 2021 tot september 2021 niet gebeurd.
Drie overtredingen
Het Agentschap Telecom legt een boete op van 450.000 euro op voor drie overtredingen. Allereerst waren de systemen toegankelijk voor ongeautoriseerde gebruikers. Beheerders konden zichzelf machtigen om ‘lawful-interceptiondata’ (LI-gegevens) in te zien. LI-gegevens zijn gegevens van individuen die onder surveillance staan.
Systeembeheerders hebben de gegevens zelden nodig. Vandaar is KPN verplicht om de toegang te beperken. De provider trof onvoldoende maatregelen. Een algemeen admin-wachtwoord stelde beheerders in staat om zichzelf te machtigen.
Ten tweede waren de systemen toegankelijk voor beheerders met niet-persoonsgebonden accounts (NPA’s). Beheerders hadden toegang tot gedeelde accounts met hoge machtigingen, terwijl KPN geen groepsaccounts voor de systemen mag gebruiken.
Tot slot hield KPN onvoldoende toezicht op de machtiging en activiteit van beheerders. Groepsaccounts maken het lastig om te loggen welke beheerders waar en wanneer bij welke data kunnen. KPN is verplicht om een overzicht bij te houden, maar de organisatie ging onzorgvuldig te werk.
KPN werkt mee
Volgens het Agentschap Telecom heeft KPN de gaten inmiddels gedicht. De toezichthouder stelt dat de provider constructief meewerkte aan het onderzoek. Daarnaast benadrukt de instantie dat KPN de regels niet met opzet overtrad.
Desalniettemin ontvangt KPN een boete van 450.000 euro. “Gezien de aard en omvang van de onderneming die zij drijft, ben ik van oordeel dat KPN op de hoogte dient te zijn van de geldende wet- en regelgeving en dat zij zorg hoort te dragen voor de naleving ervan”, deelde een van de onderzoekers in het rapport.
Tip: Data privacy: van noodzakelijke security-stap tot competitief voordeel
15 uur geleden
