Beste bezoeker,

Wij zien dat u een adblocker gebruikt die ervoor zorgt dat u geen advertenties ziet op computerworld.nl. Dit vinden wij jammer, want computerworld.nl is mede dankzij deze advertenties gratis toegankelijk. Wilt u een uitzondering maken voor computerworld.nl door deze te whitelisten?
!
Welkom op computerworld.nl! Wist u dat u met een gratis Insider-account altijd op de hoogte blijft over al het nieuws, achtergrondartikelen, opinies, interviews en events rondom IT? Schrijf u nu gratis in »
  •  
  •  
1 Reacties Bewaren
kpn, kantoor, denhaag

KPN-netwerk was overjarige gatenkaas

Telco moet boeten voor laksheid in security.

KPN heeft jarenlang zijn systemen en netwerk verwaarloosd, waardoor gegevens van miljoenen klanten gevaar liepen, oordeelt ACM. Aanleiding was een succesvolle hack.

In januari 2012 brak een hacker in op servers van KPN en ontvreemde klantdata. Sinds de geruchtmakende hack heeft het concern zijn leven structureel verbeterd. Het securitybeleid ging compleet op de schop, er kwamen interne hackers en de eigenwijze Jaya Baloo werd aangetrokken als Chief Information Security Officer (CISO).

"We willen hem [de hacker] nog net niet bedanken, maar terugkijkend heeft hij er mede voor gezorgd dat de beveiliging zo enorm is opgeschroefd", aldus Baloo eerder tegen Computerworld.

Laksheid achtervolgt telco

Een typisch geval van de het kalf en de put, maar de harde lessen zijn geleerd. Het verhaal heeft echter nog een venijnig staartje. Toezichthouder ACM heeft naar aanleiding van de hack onderzoek gedaan, en strafte de telco met een boete van in totaal 364.000 euro.

KPN wilde echter graag met een schone lei verder gaan en blokkeerde bekendmaking van het rapport en de boete. Onterecht, oordeelt de rechter en dus heeft de waakhond de bevindingen nu gepubliceerd. En die zijn niet mals, sterker nog, die zijn vernietigend. KPN was in zijn vorig leven bijzonder laks met security, constateert ACM. Dat strookt ook met de kritiek van de hacker destijds op KPN.

Gatenkaas

Een korte samenvatting: Voor een aantal essentiële beveiligingsmaatregelen was geen centraal beleid opgesteld, er was geen patchmanagement en systemen waren inderdaad niet voorzien van de laatste patches. Het was een chaos in de organisatie, verantwoordelijkheden werden als een hete aardappel doorgeschoven, en documentatie was gebrekkig.

Ook het netwerkbeheer was ver onder de maat: het eigen ontwerp van indeling in beveiligingszones werd niet nageleefd, de firewall was niet goed afgesteld en ontbrak zelfs op sommige cruciale netwerksegmenten. Ook ontbrak intrusion detection en intrusion prevention (IDS en IPS) bij sommige, blijkbaar essentiële, netwerkonderdelen. Er was geen centrale logging en de monitoring faalde.

KPN in beroep

Door deze structurele nalatigheid heeft KPN zijn zorgplicht jegens de privacy van zijn klanten geschonden, zoals vastgelegd in de Telecomwet. "ACM komt op grond van het vorenstaande tot de conclusie dat KPN gedurende onderzoeksperiode I onvoldoende passende, hoofdzakelijk organisatorische, maar ook technische maatregelen heeft getroffen in het belang van de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers", aldus de waakhond. KPN vecht de conclusies en het boetebesluit nog aan bij de rechter.

Relevante profielen

Bekijk alle CIO-profielen »
Bekijk alle CXO-profielen »

Oudste boven ▾ Reacties

    • 0 +1
      R. Daneel Olivaw
      R. Daneel Olivaw op 3 juni 2015 om 13:02 Meld misbruik

      Het zou KPN sieren wanneer ze het ruiterlijk toegeven en de boete zonder mankeren zouden betalen. Een bedrijf dat zijn fouten toegeeft wekt bij mij juist vertrouwen.

      |

  • Reageren

  • Reactie bewerken

  • Misbruik melden

Reageer

Om een reactie te plaatsen moet u ingelogd zijn.

Preview