30
augustus
2022
|
12:03
Europe/Amsterdam

Reactie KPN op onderzoek AT: registratie verbeterd; aftapketen voldoet aan alle eisen

  • Tekortkoming in de registratie van het autorisatieproces direct hersteld 
  • KPN is verbeterprogramma gestart en accepteert boete


Rotterdam, 30 augustus 2022 - Het Agentschap Telecom (AT) is vorig jaar een uitgebreid onderzoek gestart naar de beveiliging van de justitiële aftapketen bij KPN. Deze dient te voldoen aan strenge normen uit het Besluit beveiliging gegevens telecommunicatie (Bbgt). Uit het onderzoek van AT blijkt dat KPN het beheer van de betrokken systemen zelf doet en de aftapketen goed is beveiligd tegen ongewenste toegang door buitenstaanders. KPN voldeed op de meeste onderdelen aan de Bbgt, wel is een tekortkoming geconstateerd in de registratie van de eigen beheerders. Deze is direct hersteld en de aftapketen voldoet daarmee aan alle eisen. AT heeft dit gecontroleerd en bevestigd.

Justitiële aftapketen
Alle telecomproviders in Nederland dienen mee te werken aan tapverzoeken van bevoegde autoriteiten. Hiervoor is een speciaal proces ingericht; de justitiële aftapketen. Omdat hierbij met zeer gevoelige informatie wordt gewerkt, gelden onder meer strenge eisen voor de beveiliging van de systemen, de toegang tot informatie en registratie. Deze normen zijn vastgelegd in het Besluit beveiliging gegevens telecommunicatie (Bbgt) waaraan alle providers moeten voldoen.

Goed beveiligd tegen ongewenste toegang van buiten
Bij het meewerken aan tapverzoeken wordt gewerkt met meerdere KPN-systemen van diverse leveranciers. Het onderzoek van AT bevestigt dat KPN het beheer van deze systemen zelf doet. De eventuele inzet van extern ingehuurd personeel, of derdelijns-support door leveranciers, gebeurt onder toezicht van KPN. Het onderzoek toont aan dat de aftapketen goed is beveiligd tegen ongewenste toegang door buitenstaanders.

Tekortkoming registratie
Tijdens het onderzoek bleek dat de registratie op specifieke onderdelen niet voldeed aan de Bbgt. Een beperkt aantal KPN-beheerders dat gemachtigd is om te werken met verschillende systemen die in de aftapketen gebruikt worden, had destijds niet de vereiste Verklaring omtrent het Gedrag (VOG) en/of geheimhoudingsverklaring. Ook werd door hen gewerkt met groepsgebonden accounts. Mede hierdoor was de registratie van individuele handelingen door beheerders niet volledig. 
Deze tekortkomingen zijn vorig jaar direct door KPN hersteld. De aftapketen voldoet daarmee aan alle eisen. AT heeft dit gecontroleerd en bevestigd. 

Verbeterprogramma gestart
KPN heeft volledig en proactief meegewerkt aan het onderzoek van AT. KPN neemt de beveiliging van de aftapketen uiterst serieus en zal daarom de boete van AT niet aanvechten.
Ook heeft KPN vorig jaar een intern verbeterprogramma gelanceerd om de bewustwording en naleving van de Bbgt, inclusief volledige en persoonsgebonden registratie, permanent de hoogste aandacht te geven binnen de organisatie. Dit geldt ook voor haar dochterondernemingen, zoals RoutIT, waar AT momenteel een vergelijkbaar onderzoek uitvoert.

‘Aftapketen moet veilig zijn en blijven’
Paul Slot, verantwoordelijk voor de infrastructuur bij KPN: “De beveiliging van gegevens en systemen heeft bij KPN de hoogste prioriteit, dat geldt in het bijzonder voor de justitiële aftapketen. We nemen de bevindingen van het Agentschap Telecom serieus en hebben de registratie direct op orde gebracht. We zijn een intern verbeterprogramma gestart om te zorgen dat de beveiliging van de aftapketen altijd aan alle eisen voldoet, iets wat we zelf ook kritisch zullen blijven toetsen. De aftapketen bij KPN moet veilig zijn en blijven.”