Agentschap Telecom geeft KPN 450.000 euro boete voor slechte beveiliging

Het Agentschap Telecom heeft KPN een boete opgelegd van 450.000 euro omdat de provider zijn digitale beveiliging niet op orde had. Te veel beheerders konden bij gevoelige gegevens. Daar was ook te weinig toezicht op. Inmiddels zijn de problemen opgelost.

Het Agentschap Telecom, de toezichthouder op de telecommunicatiesector, zegt dat het 'diepgaand technisch onderzoek heeft gedaan' naar de netwerken van KPN, specifiek naar de aftapvoorzieningen. Die worden gebruikt als opsporings- of inlichtingendiensten informatie over telefoongesprekken of sms'jes opvragen bij de provider.

In het rapport beschrijft het AT een aantal tekortkomingen in de systemen. KPN liet, met toezicht van het AT, een penetratietest op het netwerk uitvoeren. Daaruit bleek dat een aantal beheerders in dat specifieke systeem zichzelf rootrechten konden toekennen om bij 'lawful-interceptiondata' of LI-gegevens te komen. Het wachtwoord om dat te doen was opgeslagen in een digitale wachtwoordmanager die centraal beheerd werd en daarmee toegankelijk was voor alle beheerders. Tijdens de pentest bleek dat het mogelijk was voor een beheerder om bij de LI-gegevens te komen.

Daar komt bij dat de beheerders die toegang ook konden krijgen met niet-persoonsgebonden accounts. Het was daarom onmogelijk om goed te loggen wie welke gegevens kon inzien en wanneer dat daadwerkelijk gebeurde. De logging gebeurde via een eigen systeem, waarvan het AT zegt dat het 'niet afdoende' was. In het algemeen werd het inzien van LI-gegevens niet gelogd in dat systeem en de loginformatie kon door beheerders met rootrechten worden verwijderd omdat die op dezelfde server stond opgeslagen.

Het Agentschap concludeert daarmee dat KPN drie specifieke overtredingen beging: de mogelijkheid tot ongeautoriseerde toegang, het feit dat toegang niet individueel, maar groepsgebonden was, en dat er onvoldoende werd gelogd. Volgens het AT zijn dat drie aparte overtredingen, al wierp KPN daartegen op dat het om één individuele procesfout zou gaan. Het AT zegt dat KPN met de overtredingen in strijd handelde met het Besluit beveiliging gegevens telecommunicatie uit 2003. Daarin staat, specifiek in artikel 2, opgenomen dat 'de aanbieder zorg draagt voor het treffen van alle noodzakelijke beveiligingsmaatregelen om kennisneming door onbevoegden te voorkomen van de navolgende gegevens en informatie'.

Het AT noemt in de begeleidende blogpost en in het boetebesluit ook meerdere keren de noodzaak dat verantwoordelijke beheerders een Verklaring omtrent gedrag kunnen overleggen. Dat zou niet altijd gebeurd zijn. Dat speelde echter niet mee in het bepalen van de boete.

Niet verwijtbaar

KPN zou niet verwijtbaar hebben gehandeld, zegt het ATHet Agentschap zegt dat KPN niet bewust verkeerd of verwijtbaar handelde. Het bedrijf had 'geen weet van het feit dat ongeautoriseerde toegang door middel van groepsaccounts mogelijk was en dat handelingen met betrekking tot LI-gegevens door beheerders ook niet persoonsgebonden werden vastgelegd'. Maar, zegt de toezichthouder ook: "Gezien de aard en omvang van de onderneming die zij drijft, ben ik van oordeel dat KPN op de hoogte dient te zijn van de geldende wet- en regelgeving en dat zij zorg hoort te dragen voor de naleving ervan." Die grootte bepaalt ook de hoogte van de boete: "KPN wordt gezien haar omvang en financiële positie in staat geacht een boete van 450.000 euro te kunnen dragen."

KPN zou tijdens het onderzoek constructief hebben meegewerkt met de toezichthouder. Inmiddels zijn de problemen bij het bedrijf opgelost, zegt het AT.

Het onderzoek begon nadat de Volkskrant in april vorig jaar een artikel publiceerde over de toegang tot het netwerk van KPN. De krant legde de hand op een rapport van Capgemini waaruit bleek dat Huawei jarenlang 'vrije toegang tot het mobiele netwerk van KPN had'. Het AT begon dat onderzoek kort daarna. In het eindrapport staat overigens geen bevestiging of ontkenning van die conclusie, maar veel informatie in het rapport is als vertrouwelijk aangemerkt en daarom niet te lezen.

Reacties (63)

MeanGreen 30 augustus 2022 14:02

Misschien moet er in combinatie met zo'n boete ook een verplichting worden ingesteld dat dit niet mag leiden tot hogere tarieven voor de klanten in de komende X maanden. Dat geld moet ergens vandaan komen en dat kan volgens mij maar één groep zijn: de klanten.

dec0de @MeanGreen • 30 augustus 2022 14:08

Waarom? Als KPN de prijs verhoogt omdat ze meer boetes moeten betalen dan T-Mobile, kan T-Mobile gewoon goedkoper hun abbo aanbieden. Daarmee kan T-Mobile klanten bij KPN wegsnoepen.

En daarbij, laten we uitgaan dat KPN 4 miljoen klanten heeft, een boete van 0.5 miljoen kunnen ze dus in 1 maand terugverdien met een eenmalige prijsverhoging van 12.5cent.

Dat geld moet ergens vandaan komen en dat kan volgens mij maar één groep zijn: de klanten

Of gewoon een lagere winst

[Reactie gewijzigd door dec0de op 24 juli 2024 10:07]

Oon

@dec0de • 30 augustus 2022 15:30

Je vergeet dat KPN op veel plekken gewoon een keiharde monopolie is.

Ziggo biedt bij mij helemaal geen glasvezel aan, T-Mobile gaat wel t/m 500Mbps op glasvezel maar is in mijn regio zo betrouwbaar als twee blikjes met een touwtje ertussen. KPN is de enige met een enigszins stabiel netwerk en nette snelheden.

Dus als de prijzen van KPN hoger worden maken ze hier bij mij in de regio gewoon meer winst, die raken echt geen klanten kwijt.

ApexAlpha @Oon • 30 augustus 2022 16:54

Wat apart meestal is het juist Ziggo die een praktisch monopolie heeft omdat *DSL snelheden vaak ontoereikend zijn in 2022, terwijl Ziggo dat niet heeft.

Daarnaast is KPN open. Dus als je KPN kan krijgen kun je ook andere op hun netwerk ontvangen.

Oon

@ApexAlpha • 30 augustus 2022 17:16

Toch echt is er geen enkele aanbieder hier die vaste telefonie, 500Mbps+ internet en lineaire TV aanbiedt voor een (veel) betere prijs dan KPN, zeker niet in combinatie met twee mobiele abonnementen. Als ik kijk op willekeurige vergelijkingssites dan komen alleen Solcon en T-Mobile goedkoper uit. T-Mobile levert blijkbaar tegenwoordig ook gigabit hier, maar die zijn dus niet veel waard in mijn dorpje.

De enige andere aanbieders zijn Online en Freedom, maar Online win ik qua prijs niks mee, en Freedom is een dikke 20 euro duurder

tweazer @Oon • 31 augustus 2022 10:18

Is kpn nu wel of niet monopolist ? Ik lees via google "monopolie = marktvorm waarbij een ondernemer de enige aanbieder is. De prijsafzetcurve van de monopolist is een dalende curve, en valt samen met de collectieve ..." Hoe kunnen andere partijen dan diensten aanbieden als er een monopolist is ???

gimbal @Oon • 30 augustus 2022 15:45

De prijzen gaan hoger worden, met of zonder boete. Ik heb denk ik 5 Ziggo prijsverhogingen meegemaakt voordat ik op KPN glas overging. En nu is het simpelweg wachten totdat daar de eerste periodieke prijsverhoging gaat gebeuren. Geen kwestie van of, maar wanneer.

Die 450000 euro is best wel kleingeld eigenlijk, erg vreemd dat men op basis daarvan een aanname wil doen dat ze prijzen gaan verhogen.

logix147 @Oon • 30 augustus 2022 23:32

Freedom kan je op elke kpn lijn krijgen, wel inclusief de “kpn lijn vastrechtboete”

Op mijn thuis adres heb ik maar liefst 3 glas routes. KPN, Onsbrabant(inmiddels KPN) en T-Mobile, andere lijn

Dan heb ik nog coax voor Ziggo en DSL.. al is die laatste volgens mij beneden in pand tot de lift geknipt.

Dus monopolie, in zekere zin ja- financieel zeker. Keuze heb je genoeg als een kpn aansluiting hebt. Monopolie spreek je van als je alleen Ziggo hebt. Daar zal je geen tmobile of freedom op aan kunnen vragen.

Los daarvan is het financieel zeker een monopolie, die helaas legaal is toegestaan in BV NL.

tweazer @Oon • 31 augustus 2022 10:15

Omdat ziggo niet wil en tmobile niet betrouwbaar is, is kpn een monopolist. Je vergeet overigens delta en kabeltrekkers in deze drogargumentatie ...

Zynth @MeanGreen • 30 augustus 2022 14:08

dat dit niet mag leiden tot hogere tarieven voor de klanten in de komende X maanden.

Dat heeft geen nut.
Dan maken ze een "interne lening" waaruit ze tijdelijk geld halen, en dan verhogen ze na X maanden de tarieven om de "interne lening" weer af te lossen.

Er zijn maar 2 opties die echt kunnen werken:
* Personen vervolgen in plaats van organisaties
* Boetes opleggen die zo hoog zijn, dat een boete krijgen, betekent dat je je concurrentiepositie (tijdelijk) kwijt bent omdat je significant je prijzen moet verhogen.

[Reactie gewijzigd door Zynth op 24 juli 2024 10:07]

moonlander @Zynth • 30 augustus 2022 14:50

Misschien de frequentieveiling beperken?

hellfire_ultd @MeanGreen • 30 augustus 2022 14:17

Dat geld moet ergens vandaan komen en dat kan volgens mij maar één groep zijn: de klanten.

Je hebt geen ongelijk, maar probeer het zo te zien: op een omzet van meer dan 5 miljard euro merk je een boete van een half miljoen bijna niet.

Bergen @MeanGreen • 30 augustus 2022 14:39

Als KPN de abonnementsprijzen met 1 cent verhoogt is de boete na een jaar alweer terugverdiend. (12 * €0,01 * 4 miljoen klanten = €480.000) Dus als klant hoef je niet bang te zijn dat je hier iets van gaat merken.

CH4OS

Beveiliging en antivirus

@MeanGreen • 30 augustus 2022 14:47

Gezien het al opgelost is, zullen wellicht hier en daar wat permissies strakker gezet zijn in de password manager. Dus ik verwacht niet dat dit schrikbaremd veel hogere kosten gaat betekenen voor de klant. De 450.000 euro zal de klant sowieso uiteindelijk ophoesten voor KPN.

debroervanhenk @MeanGreen • 30 augustus 2022 16:20

Elk commercieel bedrijf wil zo hoog mogelijke tarieven vragen, en het enige wat dat beperkt is wetgeving en het feit dat bedrijven concurrenten hebben en dat klanten dus weg kunnen lopen. Incidentele bedrijfskosten (zoals boetes) hebben geen directe invloed op prijzen. Denk je nou echt dat je als consument door een bedrijf wordt gematst zolang ze geen boetes krijgen?

Dat riedeltje dat boetes geen zin hebben omdat de consument het toch moet ophoesten, is echt klinkklare onzin.

Roko @MeanGreen • 30 augustus 2022 14:22

Welnee joh, dat wordt uitgesmeerd en afgeboekt uit het besteedbare vermogen. Daar weten de boekhouders vast wel raadt mee

mijsk1974 @MeanGreen • 30 augustus 2022 16:51

Als het geld maar van één groep kan komen, de klanten dan zal men het altijd moeten verhalen.
Maar gelukkig zijn er over het algemeen meer potjes in een budget, zelfs voorzieningen die onvoorzien zijn.
Overigens kan je alles afwentelen op de klant, of je het moet doen is een tweede.

supersnathan94

30 augustus 2022 13:52

Hoezo niet verwijtbaar? Misschien in de hoogste top niet, maar daaronder heeft iemand anders toch goedkeuring moeten geven voor dit systeem? Zelfde met het opstellen van de eisen en requirements om dit te maken. Daar had “persoonsgebonden account” toch de default moeten zijn de afgelopen tig jaar?

Auditing is niet iets nieuws he? Dat bestaat al jaren en daar zijn protocollen voor die je gewoon op kunt zoeken. Ik zeg absoluut niet dat dit moedwillig fout is gegaan, maar je kunt er toch wel vraagtekens bij zetten waarom dit nog op deze manier gebeurt. Hoewel er nog steeds veel bedrijven zijn die met een keyvault werken met shared passwords. Dat is dan ook per definitie een probleem.

LurkZ @supersnathan94 • 30 augustus 2022 14:36

Hoezo niet verwijtbaar? Misschien in de hoogste top niet, maar daaronder heeft iemand anders toch goedkeuring moeten geven voor dit systeem?

Als de hoogste top geen budget geeft voor veiligheid dan komt er geen veiligheid.

mijsk1974 @LurkZ • 30 augustus 2022 17:00

Ik heb bij een project nog nooit een budget voor veiligheid gezien.
Wel een budget voor het opleveren van een veilig, functioneel systeem met een logisch toegangsbeheer.
Geen potje geld in de wereld gaat voorkomen dat er ergens een hele groep admins het maar heeft getolereerd dat met algemene accounts werd gewerkt in kritische systemen.

Budget voor een stel ballen zouden ze moeten krijgen (M/V).
De ballen om dit soort zaken aan de kaak te stellen en simpelweg te weigeren om hieraan mee te werken wanneer iemand je inwerkt op zo'n stupide onderdeel van je organisatie.

supersnathan94

@mijsk1974 • 30 augustus 2022 17:39

Precies. Dit had gewoon een functionele eis moeten zijn.

sympa @supersnathan94 • 30 augustus 2022 23:03

Voor lawful intercept gelden strenge eisen. Ook een beheerder met rootrechten mag bijvoorbeeld niet kunnen zien welke taps er staan.
Gebruik van gedeelde accounts is natuurlijk helemaal een probleem...

supersnathan94

@sympa • 31 augustus 2022 00:34

Eisen die dus kennelijk niet op tafel zijn gekomen bij inventarisatie vooraf aan het maken van de systemen. Lijkt mij erg raar, want dat is toch het eerste waar je naar gaat kijken?

sympa @supersnathan94 • 31 augustus 2022 08:20

Kennelijk is de kennis verloren gegaan bij KPN.
Van een collega hoorde ik dat ze lang geleden last hadden van chantage. Criminelen die beheerders onder druk zetten om tapinformatie te geven.
Het is voor iedereen veel beter als een beheerder helemaal niet bij dat soort informatie kan.

DarkMessiah @supersnathan94 • 30 augustus 2022 15:12

Het zou mij niet verbazen als het hier gaat om het gebruik van CICD systemen (Azure DevOps/GitHub/GitLab) die met een service account connecten naar de doelomgeving (de pipeline wordt onder dat service account gedraaid op de doelomgeving). De auditing ligt dan in het CICD systeem. Echter kun je je dan wel afvragen hoe er dan omgegaan wordt met de credentials van dit service account en wie daar toegang toe heeft.

supersnathan94

@DarkMessiah • 30 augustus 2022 17:39

Ik denk het niet. Ik denk dat dit daadwerkelijk om audittrails gaat in de software die die info oplepelt. Dus eigenlijk verkapt directe database toegang en dergelijke.

Je ziet dit in medische systemen ook. Medisch personeel kan wel bij je dossier omdat dit nodig is voor de zorgplicht, maar er wordt dan wel bijgehouden wie, wanneer en waarom. Deze auditlog wordt (als het goed is) periodiek steekproefsgewijs gecheckt.

Upeletix 30 augustus 2022 13:54

Niet zo fijn natuurlijk, zo'n boete, maar waar gaat dat geld eigenlijk naartoe?

wildhagen

Beveiliging en antivirus

@Upeletix • 30 augustus 2022 14:09

Boetes zijn altijd voor de eisende partij, in dit geval dus de overheid.

Dat gaat dus naar de schatkist en kan weer ingezet worden voor nuttige zaken.

Er is een verschil tussen boetes en schadevergoedingen wat dat betreft. De tweede gaat naar de slachtoffers (naar rato), de eerste niet.

Upeletix @wildhagen • 30 augustus 2022 14:14

ah, de overheid!

wel ironisch dat ze kpn op de vingers tikken over veiligheid terwijl de overheid qua veiligheid ook zo zijn gebreken kent

batjes @Upeletix • 30 augustus 2022 14:21

De overheid tikt zichzelf ook op de vingers als het niet goed zit. Ook al lijkt het bij de overheid en IT één grote puinhoop te zijn, in de realiteit heeft de overheid het over het algemeen beter voor elkaar dan het bedrijfsleven. Informatiebeveiliging is binnen de meeste onderdelen van de overheid echt wel een prioriteit. Jaarlijkse controles en certificeringen zijn ook de norm.

mijsk1974 @Upeletix • 30 augustus 2022 16:57

En om die reden hebben we de scheiding van de machten.
Dat bepaalde onderdelen van de overheid hun zaakjes niet op orde hebben wil niet zeggen dat ze maar op de handen moeten blijven zitten.
De overheid is meer dan de som van hun falen.
Wat mij betreft zou er alleen wat meer persoonlijke verantwoordelijkheden mogen worden toegepast bij dit soort zaken. Bestuurders en uitvoerders persoonlijk aansprakelijk stellen. Dat zou bij KPN mogen maar ook bij bijvoorbeeld de belastingdienst. Dat bij die laatste bijvoorbeeld de toeslagen affaire heeft kunnen gebeuren is één ding, dat er nu nog steeds mensen diep in de shit zitten zonder schuldig te zijn is een grof schandaal. Daarvoor bewindslieden, managers en uitvoerders persoonlijk aansprakelijk stellen zou een flinke stok achter de deur zijn.

Auteur

TijsZonderH Nieuwscoördinator @Upeletix • 30 augustus 2022 13:58

Bestuursboetes gaan naar Algemene Middelen van de schatkist van de Rijksoverheid.

com2,1ghz 30 augustus 2022 14:28

Daar komt bij dat de beheerders die toegang ook konden krijgen met niet-persoonsgebonden accounts. Het was daarom onmogelijk om goed te loggen wie welke gegevens kon inzien en wanneer dat daadwerkelijk gebeurde.

Kan iemand mij vertellen waarom dit niet goed is? Bij mijn vorige klanten hadden altijd beheerders toegang tot NPA accounts. Moest je wel via een systeem een tijdelijk wachtwoord opvragen die door je mede collega goedgekeurd moest worden en je kon inloggen als die NPA user.
Zo was het ook niet gek dat de buildserver ook een NPA had maar met een vast wachtwoord

Cyberpuppy @com2,1ghz • 30 augustus 2022 15:05

Ergens in de keten wil je kunnen terugvinden waar en wanneer iemand toegang tot een systeem heeft gehad.

Het gebruik van NPA's is niet per definitie een probleem, maar zorgt voor wat extra werk. Je zult dan namelijk goed moeten vastleggen wanneer iemand toegang krijgt tot een NPA. En als je naderhand wilt auditen dan zul je dus alles wat gelogd is onder een NPA terug moeten relateren aan een natuurlijk persoon.

com2,1ghz @Cyberpuppy • 30 augustus 2022 15:09

Eigenlijk hoorde er dus in het artikel te staan dat de auditlogging gebrekkig was.

DiaZ_1986 @com2,1ghz • 30 augustus 2022 15:19

Eigenlijk hoorde er dus in het artikel te staan dat de auditlogging gebrekkig was.

[...]
Het Agentschap concludeert daarmee dat KPN drie specifieke overtredingen beging: de mogelijkheid tot ongeautoriseerde toegang, het feit dat toegang niet individueel, maar groepsgebonden was, en dat er onvoldoende werd gelogd. Volgens het AT zijn dat drie aparte overtredingen, al wierp KPN daartegen op dat het om één individuele procesfout zou gaan.
[...]

Staat ook netjes vermeld?

com2,1ghz @DiaZ_1986 • 30 augustus 2022 15:27

Nee, dat zit in een ander alinea wat niet meer gaat over NPA.

Daar komt bij dat de beheerders die toegang ook konden krijgen met niet-persoonsgebonden accounts. Het was daarom onmogelijk om goed te loggen wie welke gegevens kon inzien en wanneer dat daadwerkelijk gebeurde. De logging gebeurde via een eigen systeem, waarvan het AT zegt dat het 'niet afdoende' was. In het algemeen werd het inzien van LI-gegevens niet gelogd in dat systeem en de loginformatie kon door beheerders met rootrechten worden verwijderd omdat die op dezelfde server stond opgeslagen.

Het probleem is dus niet dat beheerders toegang konden krijgen maar de audit logging die gebrekkig zou werken. In dit geval een eigen systeem waar ze zelf ook nog eens rootrechten voor hebben.
De eerste paar regels suggereerden dat het slecht zou zijn dat beheerders uberhaupt mochten inloggen met de NPA users.

[Reactie gewijzigd door com2,1ghz op 24 juli 2024 10:07]

DiaZ_1986 @com2,1ghz • 30 augustus 2022 16:38

Maar je quote nu ook dat er niet genoeg gelogd werd:

De logging gebeurde via een eigen systeem, waarvan het AT zegt dat het 'niet afdoende' was

'Niet afdoende' is hetzelfde als 'gebrekkig' of 'onvoldoende' toch?

Om de volledige alinea's te quoten:

Daar komt bij dat de beheerders die toegang ook konden krijgen met niet-persoonsgebonden accounts. Het was daarom onmogelijk om goed te loggen wie welke gegevens kon inzien en wanneer dat daadwerkelijk gebeurde. De logging gebeurde via een eigen systeem, waarvan het AT zegt dat het 'niet afdoende' was. In het algemeen werd het inzien van LI-gegevens niet gelogd in dat systeem en de loginformatie kon door beheerders met rootrechten worden verwijderd omdat die op dezelfde server stond opgeslagen.

Het Agentschap concludeert daarmee dat KPN drie specifieke overtredingen beging: de mogelijkheid tot ongeautoriseerde toegang, het feit dat toegang niet individueel, maar groepsgebonden was, en dat er onvoldoende werd gelogd. Volgens het AT zijn dat drie aparte overtredingen, al wierp KPN daartegen op dat het om één individuele procesfout zou gaan. Het AT zegt dat KPN met de overtredingen in strijd handelde met het Besluit beveiliging gegevens telecommunicatie uit 2003. Daarin staat, specifiek in artikel 2, opgenomen dat 'de aanbieder zorg draagt voor het treffen van alle noodzakelijke beveiligingsmaatregelen om kennisneming door onbevoegden te voorkomen van de navolgende gegevens en informatie'.

Volgens mij zijn we het wel met elkaar eens, maar interpreteren we het nieuwsbericht anders?

[Reactie gewijzigd door DiaZ_1986 op 24 juli 2024 10:07]

com2,1ghz @DiaZ_1986 • 30 augustus 2022 16:46

Klopt, echter vond ik het verkeerd geformuleerd.

Deze zin zegt dat het een probleem is dat beheerders toegang kregen tot NPA users.

Daar komt bij dat de beheerders die toegang ook konden krijgen met niet-persoonsgebonden accounts.

Wat als gevolg heeft dat vanwege die reden onmogelijk was om goed te kunnen loggen

Het was daarom onmogelijk om goed te loggen wie welke gegevens kon inzien en wanneer dat daadwerkelijk gebeurde.

Dus het inloggen is dus niet het probleem, maar het niet loggen ervan wel. Vandaar dat ik het me afvroeg.

mijsk1974 @com2,1ghz • 30 augustus 2022 17:08

Een dergelijk cruciaal en gevoelig onderdeel van een telecom netwerk moet helemaal niet toegankelijk zijn met een anoniem account. Zeker niet als de credentials statisch of gedurende een langere periode ongewijzigd blijven. Op gebruikersniveau verplichten we medewerkers en managers om altijd gepersonaliseerde accounts en unieke wachtwoorden te gebruiken voor alle mogelijke applicaties. Op admin niveau vinden we het vaak ondoenlijk om voor elk systeem individuele accounts te maken. Als het technisch onmogelijk is om met gepersonaliseerde accounts te werken dan moet dat eigenlijk als een blocking issue worden gezien en naar een andere oplossing worden gezocht.
Dat het een schier onmogelijke taak wordt om voor alle toegangen op individueel niveau accounts te maken zou niet moeten resulteren in een algemeen account maar in toegangbeheer die hoger dan dat niveau wordt gesteld, m.a.w. medewerkers op een bepaald niveau/recht mogen onderliggende systemen openen. Dan kan men nog steeds keurig monitoren wie wat doet.

Zomborro 30 augustus 2022 13:56

Nou weet ik dat ze bij KPN ook Windows Hello for Windows gebruiken icm SMS als MFA Factor, dus er kan zeker nog meer verbeterd worden

mouthman73 @Zomborro • 30 augustus 2022 14:27

Dat was mij ook al opgevallen. Dat moest ik ze vertellen, ze geloofde niet dat SMS als 'niet vellig wordt beschouwd.

triflip @mouthman73 • 30 augustus 2022 16:35

Ik kan je vertellen dat men wel degelijk snapt dat SMS niet veilig is. Bij nieuwe medewerkers wordt dan ook afgedwongen dat de authenticator app gebruikt word. Al liep er in de periode dat ik er zat alleen nog de vraag daar in hoeverre je een medewerker kan verplichten om privé een smartphone te hebben (privé nummer voor MFA hebben de meeste minder issues mee blijkbaar). Niet iedereen kreeg namelijk een telefoon van de zaak en yubikeys hadden ze nog niet over nagedacht. Wat de situatie nu is durf ik niet zeggen.

En dat de eerste lijn IT Servicepunt medewerker niet snapt dat SMS niet veilig is kan ik nog begrijpen, daar zitten bij KPN hoofdzakelijk mensen waarvan de snapper sowieso defect is.

mouthman73 @triflip • 30 augustus 2022 21:14

Ik moest er ook eentje uitleggen dat mac filtering niet het ultieme security antwoord is.

triflip @mouthman73 • 30 augustus 2022 21:27

Dan vraag ik me oprecht af met wie jij gesproken hebt. Want mac filtering is binnen het interne werkplek/netwerk domein de laatste 10 jaar nooit ter sprake geweest (over daarvoor kan ik niet meepraten) en iedereen snapt daar ook dat het amper beveiliging biedt en met het open byod beleid binnen KPN ook niet te doen is.

Binnen het werkplek / netwerk domein binnen KPN zitten echt capabele mensen. Je moet alleen echt niet met de eerste lijn gaan praten. De gasten van het Blue team bij security kan je ook beter skippen, daar zitten ook achterlijke tussen.

mouthman73 @triflip • 30 augustus 2022 21:32

Ik zal volgende keren naam en wernemmersnummers vragen.

triflip @mouthman73 • 30 augustus 2022 21:45

Praat je überhaupt over de interne werkplek van kpn of heb je een random studentje achter de algemene servicedesk gesproken. Wereld van verschil kwa kennis. En 99% van KPN doet niets op werkplek of netwerk gebied, tenminste niet op een niveau waarbij er meer kennis als het volgen van instructies wordt verwacht. Al doen een hoop van die mensen wel alsof ze er iets van snappen.

mouthman73 @triflip • 31 augustus 2022 20:19

Ik bedoel de dienst waar ik €5/pm voor betaal. Sommige zijn inderdaad studentjes, maar sommige zijn in ieder geval techies en hebben wel verstand van zaken. Maar ik ga weg bij kpn.

tweazer @mouthman73 • 31 augustus 2022 10:22

SMS is een best effort dienst. Daarnaast kun je SMS verkeer spoofen en is met genoeg hardware al het (encrypted) mobiele verkeer te manipuleren... Zelf heb ik liever hardware tokens. Ten koste van doorlooptijd meerdere 2FA systemen (inclusief hardware tiokens) achter elkaar gebruiken ?

Hieronymuski @mouthman73 • 30 augustus 2022 15:07

Een (medewerker van een) telecom provider die niet weet hoe onveilig zijn eigen dienst is?

Dat is wel ernstig.

CAPSLOCK2000

Beveiliging en antivirus

30 augustus 2022 18:35

Het onderzoek begon nadat de Volkskrant in april vorig jaar een artikel publiceerde over de toegang tot het netwerk van KPN. De krant legde de hand op een rapport van Capgemini waaruit bleek dat Huawei jarenlang 'vrije toegang tot het mobiele netwerk van KPN had'. Het AT begon dat onderzoek kort daarna. In het eindrapport staat overigens geen bevestiging of ontkenning van die conclusie, maar veel informatie in het rapport is als vertrouwelijk aangemerkt en daarom niet te lezen.

Dit vind ik een nogal belangrijke toevoeging aan dit artikel.

Over welke organisatie hebben we het hier precies?
Zijn dit systemen en mensen van KPN zelf?
Of zijn het de systemen en mensen van Huwaei die door KPN zijn ingehuurd om dit te doen?
Staan deze systemen in Nederland of misschien in China?
Die Verklaring Omtrent het Gedrag, is dat een Nederlandse VOG of eentje van de Chinese regering?

Als laatste wil ik nog even meegeven dat ik blij ben dat er een penetration test is gedaan. Op papier alles perfect regelen is makkelijk maar de praktijk is meestal wat lastiger. De beste manier om daar achter te komen is om zelf even aan de deur te rammelen.

[Reactie gewijzigd door CAPSLOCK2000 op 24 juli 2024 10:07]

tweazer 31 augustus 2022 10:24

Humor dat een nederlands bedrijf een boete krijgt terwijl anderen uit het buitenland komen, beheer in het buitenland doen. Daar kan ACM wieinig in betekenen, maar verzwegen wordt het wel .... Gevalletje de sier maken met laaghangend fruit ?

peize9 30 augustus 2022 13:54

Misschien moeten ze boetes hoger maken dan de kosten om het te verbeteren. Misschien dat ze dan wel dit soort problemen oplossen. Dit is erg weinig.

[Reactie gewijzigd door peize9 op 24 juli 2024 10:07]

Alcmaria @peize9 • 30 augustus 2022 14:05

ja maar als ze de bietes higer maken, worden dan de priblomen opgelust?

Hermy4321 @Alcmaria • 30 augustus 2022 14:25

veltnet @Alcmaria • 30 augustus 2022 15:48

met higere bietes worden de priblomen niet direct opgelust maar misschien dat de betaler van de bietes gaan nadenken of een andere securitypersoon gaan aannemen.. Dus op termijn gaan ze wel wat doen.