Kpn Logo Grijs Blauw

17 april 2021 - Het bedrijf

Reactie KPN op berichtgeving in Volkskrant

Vandaag publiceert de Volkskrant een artikel op basis van een vertrouwelijke risicoanalyse van meer dan 11 jaar geleden die zij in handen heeft, uitgevoerd door Capgemini in opdracht van KPN. De Volkskrant doet harde uitspraken op basis van deze risicoanalyse, die destijds juist bedoeld was om risico’s in kaart te brengen en deze intern te adresseren zodat daarmee de veiligheid en integriteit van KPN's systemen konden worden verbeterd en weloverwogen besluiten konden worden genomen, hetgeen ook is gebeurd. KPN hecht er belang aan het volgende te benadrukken:

  • Geen enkele leverancier van KPN heeft 'ongeautoriseerde, ongecontroleerde en ongelimiteerde’ toegang tot de netwerken en systemen, of is in staat om KPN-klanten af te luisteren of aftapinformatie in te zien.
  • In alle jaren hebben we nooit geconstateerd dat er door Huawei klantgegevens zijn ontvreemd uit onze netwerken, dan wel onze klantsystemen, of dat er is afgeluisterd. Als dat wel zo was geweest, hadden we de bevoegde autoriteiten en onze klanten hierover zeker geïnformeerd en maatregelen genomen richting de leverancier.
  • Mede op basis van de bewuste risicoanalyse van Capgemini heeft KPN destijds besloten een voorgenomen uitbesteding van het volledige onderhoud van zijn mobiele kernnetwerk niet door te zetten. Ten aanzien van de geconstateerde risico’s uit de analyse in de desbetreffende systemen en processen is in 2010 een verbeterplan opgesteld en direct uitgevoerd.

KPN werkt voor zijn netwerken samen met verschillende leveranciers waaronder Ericsson, Huawei en Nokia. Voor al onze leveranciers geldt dat wij ze onderwerpen aan strikte veiligheidsrichtlijnen en ze allemaal moeten voldoen aan de KPN Security Policy.

Bij KPN hebben veiligheid, privacy en security de hoogste prioriteit. Daarom neemt KPN voortdurend maatregelen om de veiligheid verder te verbeteren. Het KPN-beleid is altijd in lijn met de geldende wet- en regelgeving. Aangezien het security werkveld zich continu ontwikkelt, toetst KPN regelmatig zijn processen en systemen op potentiële risico’s en bedreigingen. Dat doet KPN zelf, dat laat KPN door anderen doen en KPN wordt regelmatig geaudit door toezichthouders. De bevindingen en aanbevelingen die daaruit voortvloeien, volgen we op. Dat was in het verleden en is ook vandaag de dag een integraal onderdeel van ons securitybeleid.

We houden hierbij rekening met de veranderende inzichten ten aanzien van de bescherming van vitale infrastructuur; die zijn vandaag anders dan in het verleden. Hierop hebben we de afgelopen jaren ons beveiligingsbeleid voor vaste en mobiele netwerkleveranciers verder aangescherpt, hetgeen een voortdurend proces is. Voor de vernieuwing en vervanging van het mobiele kernnetwerk werken we bovendien samen met een westerse leverancier, namelijk Ericsson.

Capgemini heeft ruim 11 jaar geleden in opdracht van KPN een risicoanalyse uitgevoerd omdat KPN wilde weten of er in bepaalde systemen en processen van het mobiele kernnetwerk van KPN veiligheidsrisico’s aanwezig waren. Het onderhoud van het mobiele kernnetwerk gebeurde destijds door KPN, met ondersteuning van Huawei. Ook wilde KPN weten welke risico’s er bestonden bij eventuele uitbesteding van het volledige onderhoud van het mobiele kernnetwerk (outsourcing).

Mede op basis van deze risicoanalyse is destijds besloten om niet over te gaan tot uitbesteding hiervan. KPN doet - tot op de dag van vandaag - dit onderhoud zelf, met ondersteuning van deskundigen van meerdere partijen. Ten aanzien van de geconstateerde risico’s uit de analyse in de desbetreffende systemen en processen is in 2010 een verbeterplan opgesteld en direct uitgevoerd.

Ons securitybeleid is openbaar, zie: https://ciso-ksp.kpnnet.org/ en voor ons privacy statement zie: https://www.kpn.com/algemeen/missie-en-privacy-statement/privacy-statement.htm.

----------------

Today the Dutch newspaper De Volkskrant has published an article, based on a confidential risk analysis report it has obtained. The analysis was carried out more than 11 years ago by Capgemini on request of KPN. De Volkskrant article includes harsh statements based on this risk analysis. The purpose of the analysis was specifically to survey the risks and address these internally, so as to improve the security and integrity of KPN's systems and to facilitate diligent decision making. KPN wants to stress the following:

  • Not a single KPN supplier has ‘unauthorized, uncontrolled and unlimited’ access to the networks and systems or is in a position to listen in to the conversations of KPN customers or to view ‘tapped’ information.
  • We have never detected customer data being stolen from our network or systems or ‘eavesdropping’ taking place, by Huawei. If we would have, we would certainly have informed the competent authorities and our customers and have taken appropriate action towards the supplier.
  • KPN decided, in part based on the Capgemini risk analysis of 2010, to not pursue further outsourcing of maintenance of its core mobile network. With respect to the systems and process risks identified in the aforementioned analysis, a remediation and improvement plan was drawn up and implemented immediately in 2010.

KPN has partnerships with various network suppliers, including Ericsson, Huawei and Nokia. We subject all our suppliers to rigorous security guidelines and they all have to comply with the KPN Security Policy.

Safety, privacy and security are given absolute priority by KPN. Consequently, KPN continuously takes measures to further improve security. KPN’s policies are always in line with the prevailing laws and regulations. Given an ever changing and evolving security domain, KPN monitors its processes and systems regularly for potential risks and threats. KPN does this by using its own means and by making use of external means. Moreover, KPN is frequently audited by regulators. Subsequent findings and recommendations, if any, are being addressed immediately. This was the case in the past, as it is today, and is an integral part of our security policy.

In this context we keep note of the evolving views with regard to protecting vital infrastructure, which are different nowadays from what they used to be in the past. As a consequence, we have tightened our security policy for fixed and mobile network suppliers in recent years. This is a continuous process. Moreover, for innovating and replacing the core mobile network we work with a western supplier, namely Ericsson.

More than 11 years ago, Capgemini conducted a risk analysis, on request of KPN, to assess whether any security risks were present in designated systems and processes of KPN’s mobile core network. At the time, the maintenance of its core mobile network was performed by KPN, supported by Huawei. KPN also wanted to know what the potential risks would be in case of outsourcing all maintenance processes of the core mobile network.

KPN decided, in part based on that Capgemini risk analysis, to not pursue further outsourcing of maintenance of its core mobile network. KPN still performs that maintenance today itself, supported by experts from a variety of parties. With respect to the systems and process risks identified in the aforementioned analysis, a remediation and improvement plan was drawn up and implemented immediately in 2010.

Our security policy is publicly available, see: https://ciso-ksp.kpnnet.org/ and for our privacy statement see: https://www.kpn.com/algemeen/missie-en-privacy-statement/privacy-statement.htm.