Groot deel providers voldoet niet aan regels beveiliging

Een groot deel van de providers in Nederland voldoet niet aan de regels rondom beveiliging die de overheid stelt. Dat blijkt uit een onderzoek van het Agentschap Telecom. Vooral de kleinere aanbieders laten steken vallen op dit gebied.

Veel aanbieders van vast internet of mobiele diensten hebben bijvoorbeeld geen registratie van incidenten zoals hacks, blijkt uit het volledige onderzoek van het Agentschap Telecom dat Nu.nl online heeft gezet. Eerder citeerde NOS al uit het rapport over het te lang bewaren van gegevens, maar toen was het volledige onderzoeksrapport nog niet online beschikbaar.

Uit het onderzoek blijkt dat meer dan 55 procent geen volledig werkend incidentenbeheer heeft. Incidenten zoals hacks worden daardoor niet goed bijgehouden. Ook de procedure voor het melden van datalekken is bij een meerderheid van de providers niet in orde.

Hoewel de mate van beveiliging zelf niet is onderzocht, beveiligen 128 van de 229 onderzochte Nederlandse providers gegevens van klanten niet via een standaard. Het gebruik van een standaard leidt volgens het Agentschap Telecom niet alleen tot betere beveiliging, maar ook tot een betere bedrijfsvoering en het zou klanten gerust stellen dat gegevens veiliger zouden zijn dan zonder standaard. Bovendien is het soms een vereiste voor verzekeraars. De grote providers met een omzet boven 20 miljoen euro per jaar gebruiken allemaal de door Agentschap Telecom aangeraden ISO27001/2, terwijl de meeste kleinere providers die een standaard gebruiken kiezen voor ITIL.

Het onderzoek is gehouden in 2012 onder alle 'relevante' aanbieders van communicatienetwerken of -diensten. Daaronder vallen waarschijnlijk vaste providers als UPC, Ziggo en KPN, maar ook mobiele providers als Vodafone en T-Mobile en virtuele providers als Telfort en Tele2. Het Agentschap noemt in het rapport wel statistieken, maar vermeldt geen namen.

IT-banen

Reacties (32)

CyBeRSPiN 14 oktober 2013 14:18

Zouden ze YouFone ook hebben onderzocht?
Die spannen helemaal de kroon:

Geen HTTPS login (ondanks 'slotje'-icon) http://www.youfone.nl/myYF/index.php
Initiele password is je postcode, ook na reset.. (handig als je je postcode kwijt bent, minder handig als iemand jouw email + postcode weet)

Om te huilen zo slecht dus.. Vermoedelijk door wat scholieren voor 5 euro/uur in elkaar gezet.

Reactie Youfone hierover: bedankt voor de opmerking, misschien hoor je nog wat van ons..
En ondertussen niks hebben aangepast.. Moet blijkbaar eerst wat mis gaan met klantgegevens..

telenut @CyBeRSPiN • 14 oktober 2013 16:30

dan zijn het nog enkel klantengegevens... ik ken ziekenhuizen waar het ook zo is... Enkel tweakers liggen daar van wakker. De gewone burger trekt zich daar niks van aan helaas.

Netrunner 14 oktober 2013 11:06

Het is dan ook de moeite waard om te vertellen dat je niet 1-2-3 een 27001 of 27002 certificaat implementeert bij Ziggo, KPN of UPC. Dat gaat niet zomaar, dat gaat zeker aantal jaar in beslag nemen.

Het betreft de volgende normen die essentieel van belang zijn:

NEN-ISO/IEC 27001:2013 en Information technology - Security techniques - Information security management systems - Requirements

NEN-ISO/IEC 27002:2013 en Information technology - Security techniques - Code of practice for information security controls

Let dus op: 27001:2005 is dus vervangen door bovenstaande, net zoals 27002:2007 is vervangen door bovenstaande. 27001:2005 en 27002:2007 en officiëel ingetrokken en onbruikbaar verklaard (door verouderd IB methodieken). Tegenwoordig gelden in de nieuwe normen ook verbeterde meldplicht-randvoorwaarden, waarin de klant kan inzien in hoeverre bijvoorbeeld gegevens buit zijn gemaakt of verloren zijn gegaan tijdens een hack/datalek.

[Reactie gewijzigd door Netrunner op 23 juli 2024 01:37]

johnkeates @Netrunner • 15 oktober 2013 01:37

Daarnaast wordt een vergelijking getrokken die een beetje scheef staat:

De grote providers met een omzet boven 20 miljoen euro per jaar gebruiken allemaal de door Agentschap Telecom aangeraden ISO27001/2, terwijl de meeste kleinere providers die een standaard gebruiken kiezen voor ITIL.

ITIL heeft weinig te maken met ISO27001/2, en zou eerder met ISO20000 vergeleken kunnen worden.

RvL 14 oktober 2013 10:54

Enerzijds begrijpelijk dat er geen namen worden genoemd, anderzijds zou ik het juist goed vinden als er wel eens een keer namen genoemd zouden worden.

Als klant zou ik het namelijk wel willen weten of een providers zijn zaakjes een beetje op orde heeft. Zeker nu hacken en op andere manieren verliezen van gegevens steeds meer tot de orde van de dag lijkt te gaan horen. Persoonlijk zou ik eerder geneigd zijn voor een provider te kiezen die dit soort zaken beter op orde heeft dan een provider die (gechargeerd) maar wat aanmoddert.

@Raphaelo
Dit gaat niet alleen om de daadwerkelijke beveiliging (daar is niet eens zo zeer naar gekeken volgens het bericht), maar ook om procedures als het wel een keer fout gaat. Veel mensen lopen te emmeren op Ziggo omdat ze de gegevens van 40000 klanten kwijt zijn, maar zoals Ziggo de zaken daarna heeft opgepakt, getuigd juist van het feit dat er procedures zijn voor de afhandeling van dit soort zaken. Het is gebeurd, nu de scahade beperken voor zowel klant als Ziggo. Daarmee probeer ik het veliezen van gegevens overigens niet goed te praten.

[Reactie gewijzigd door RvL op 23 juli 2024 01:37]

Deem @RvL • 14 oktober 2013 11:11

Als Ziggo gegevens van 400000 mensen verliest, betekend dat toch juist dat de medewerker in kwestie NIET de procedures heeft gevolgd, en Ziggo geen procedure heeft die achterhaalt wie, welke info mee naar huis neemt.

[Reactie gewijzigd door Deem op 23 juli 2024 01:37]

RvL @Deem • 14 oktober 2013 11:23

Die medewerker heeft inderdaad een procedures niet gevolgd (of werd daar niet toe in staat gesteld, ook nog een mogelijkheid). Het probleem met medewerkers is dat ze soms net mensen zijn: een beetje dwars en eigenwijs. Het gebeurde kan echter niet worden teruggedraaid, dus daarna is het een kwestie van schade beperken, onder andere door melding te maken van het datalek.

Of Ziggo geen procedures heeft om te achterhalen wie welke info mee naar huis neemt kan ik daar niet uit afleiden. Als de betreffende medewerker expliciet de opdracht heeft gekregen om een statistische analyse op die gegevens los te laten, was men daar namelijk wel degelijk van op de hoogte.

[Reactie gewijzigd door RvL op 23 juli 2024 01:37]

SharpY @RvL • 14 oktober 2013 12:47

Naar mijn weten stond in het artikel juist wel dat er een procedure was:

De medewerker, die in strijd met Ziggo's interne regels handelde door de gegevens onversleuteld mee te nemen op zijn laptop...

ari3 @SharpY • 14 oktober 2013 13:49

Nogal een foute procedure. Ziggo had afdoende maatregelen moeten treffen zodat het geheel niet mogelijk was om klantgegevens te kopieeren. Zelfs een versleutelde klantdatabase mag helemaal niet op een losse laptop staan. Bij verlies kun je immers de klantendatabase op je gemak brute-forcen.

Medewerker fout, maar security officer van Ziggo ook.

SharpY @ari3 • 14 oktober 2013 16:55

Kun je het zo beveiligen dat de mensen die op database niveau toegang moeten hebben (bijv. devs) nooit een export kunnen maken terwijl het wel werkbaar blijft? copy-paste/export naar excel lijkt me op dat niveau sowieso moeilijk te voorkomen.

RGAT @SharpY • 15 oktober 2013 01:36

Tja, het is een database, dus je kan altijd een aantal records opvragen en deze opslaan, zeer grote kans dat als je bijv. records per query beperkt tot 1000 zodat mensen geen export maken, een medewerker een loop scripjte maakt wat steeds de volgende 100 records downloadt.
Wat ze eerder zouden moeten doen is iedere query naar de database registreren aan het gebruikersaccount, ip (op kantoor netwerk) en tijd zodat een aangewezen persoon deze kan monitoren om dit soort lekken te voorkomen, helaas werken dit soort procedures vaak niet als er medewerkers zijn die de bureaucratische route niet willen volgen omdat ze denken dat het beter is gewoon maar wat te doen ipv toestemming te vragen aan leidinggevenden...

Wild Fox333 @RvL • 14 oktober 2013 11:05

Ik kan begrijpen dat mensen graag namen zien en dan a.d.h.v hiervan kunnen beslissen om bij een provider te blijven of niet. Maar ongeacht het feit of ze een goede beveiliging hebben of niet, als iemand echt gebrand is op het verkrijgen van de data, zullen ze er aan geraken. Dan kan je nog de beste firewall, security, encryptie e.d. hebben, dan kan men er nog aan geraken (mits genoeg resources worden vrijgemaakt). Kijk naar Belgacom in België, een van de grootste telecom bedrijven in België is niet immuun voor hackers.

Ook vind ik best dat het aantal dat zelfs niet een standaard gebruikt qua beveiliging best wel hoog liggen, meer als 50%. Ook al zitten daar een hele hoop kleinere providers bij...

RvL @Wild Fox333 • 14 oktober 2013 11:32

Natuurlijk, als men iets wil hebben en men maar voldoende middelen en tijd heeft is alles te kraken, is overal in te breken en is alles te stelen. Of een groot bedrijf als Belgacom of KPN daar minder vatbaar voor zijn durf ik niet zo 1-2-3 te stellen. KPN heeft nog geen twee jaar terug ook een grote hack gehad.

Ryack @RvL • 14 oktober 2013 11:14

Waarom wordt dat afgedaan met "foutje bedankt"? Personeel hoort dit soort gegevens helemaal niet mee naar huis te nemen. Waarom wordt hier geen strafrechtelijk ondezoek gestart?

Zelfde met deze telco's, sommige doen het goed fout. Waarom wordt er niet ingegrepen? Geen boetes, nog niet eens een datum wanneer ze hun zaakjes wel op orde moeten hebben.

RvL @Ryack • 14 oktober 2013 11:26

Ik doe het zeker niet af met Foutje, Bedankt. De medewerker in kwestie heeft al dan niet tegen beter weten in tegen de regels en procedures in gehandeld door de gegevens onversleuteld mee naar huis te nemen. Maar dan ligt de vraag waar de schuld ligt: bij de medewerker omdat die de procedures niet volgt of bij de werkgever omdat die de medewerker niet in staat stelt om de procedures te kunnen volgen? De medewerker heeft niet altijd de kennis om dit soort zaken zelf te regelen, dus daarin moet de werkgever faciliteren. Vooral als het werken met vertrouwelijke gegevens behoort tot de werkzaamheden van de werknemer.

Het is niet altijd werkbaar om te zeggen dat dit soort gegevens niet mee naar huis genomen moeten worden. Eens, deze gegevens zouden nooit onversleuteld mee naar huis genomen mogen worden.

[Reactie gewijzigd door RvL op 23 juli 2024 01:37]

RGAT @RvL • 15 oktober 2013 01:39

Ik zou zeggen dat Ziggo volledig aansprakelijk zou kunnen worden gestelt omdat het mogelijk was data op deze manier mee te nemen.
Of de werknemer moedwillig zo handelde omdat de officiele route te lang duurde naar zijn mening of omdat het onduidelijk was hoe het moest worden gedaan, maar in dat geval moet een medewerker dat gewoon vragen aan zijn leidinggevende...
Dus tenzij het echt routine/gewoonte was bij Ziggo om op deze manier met informatie om te gaan zou ik het zeer vreemd vinden als de werknemer geen gevolgen zal ervaren voor het op straat gooien van de informatie van 40.000 klanten...

Moartn @Ryack • 14 oktober 2013 11:28

Strafrechtelijk onderzoek? Welke wet heeft de medewerker precies overtreden dan?

Deem @Moartn • 14 oktober 2013 11:48

Mogelijk Artikel 529 Burgerlijk Wetboek Boek 7?

RvL @Deem • 14 oktober 2013 11:53

Instemming met de betalingopdracht????

Ik zie geen enkele corelatie tussen een medewerker die gegevens verliest en het instemmen met een betalingopdracht. Sterker nog, kijkende naar de inhoudsopgave van Boek 7 zie ik geen enkel artikel wat hier overtreden zou zijn, maar IANAL.

Ryack @Moartn • 14 oktober 2013 15:08

Strafrechtelijk onderzoek? Welke wet heeft de medewerker precies overtreden dan?

Precies. Waarom kan een medewerker van een bedrijf de gegevens van 40000 klanten mee naar huis nemen en verliezen zonder dat er consquenties aan vast zitten voor het bedrijf?

Verwijderd 14 oktober 2013 12:22

IK begrijp niet zo goed waarom ze die gegevens te lang (willen) bewaren. Eerst klagen ze dat het bewaren allemaal maar geld kost, en vervolgens bewaren ze het toch nog langer dan nodig...

sumac @Verwijderd • 14 oktober 2013 13:43

Het opruimen zal ook geld kosten? Ze moeten een half jaar bewaren. Het is waarschijnlijk veel eenvoudiger alle data in groepen van een half jaar op te slaan. Dat betekent dat de laatste dag van halfjaar1 nog een half jaar bewaard moet worden, waardoor de eerste dag van halfjaar1 inmiddels een jaar bewaard is. Dan gooi je halfjaar1 weg, en is halfjaar2 inmiddels voorbij en begint het van voren af aan. Geen idee of het zo gaat, maar het zou zomaar kunnen.

[Reactie gewijzigd door sumac op 23 juli 2024 01:37]

Verwijderd @sumac • 14 oktober 2013 20:49

Nou, wie weet, maar dat lijkt me toch wel een beetje ver gezocht. Dat doen ze ook niet bij hun abonnee's. Die krijgen gewoon ook elke dag van de maand de factuur voor hun jaarlijkse dienst, of zeg per 1e of laatste van een bepaalde maand.

RGAT @sumac • 15 oktober 2013 01:43

Je kan de data gewoon in een database invoeren en koppelen aan een datum, dan iedere dag op een rustig moment (02:00 bijv.) een script op de server de database doorloopt en alles wat 6 maanden oud is eruit gooit.
(Ik neem aan dat het geen Windows gedeelde map is met bestanden als 'telefoon 0612345678<gesprek>0687654321.txt' waar een medewerker een voor een door moet zoeken dus er moet zeker een optie zijn om aan de hand van datum content te vernietigen.)

TDeK @Raphaelo • 14 oktober 2013 11:02

De politie kan al sinds de jaren '70 telefoonlijnen aftappen, dat is niks nieuws. Wel dat een andere mogendheid dit doet, maar daar hebben we ook genoeg voorbeelden van uit de koude oorlog (Amerikaanse telefooncentrales voor Polen die een backdoor hadden bijvoorbeeld).
Het pijnlijke hier is dat de genoemde data (deep packet inspection, bezochte URL's, e-mail verkeer, locatie gegevens mobieltje enz) zeer gevoelige informatie is, waarvan je zeker niet wilt dat willekeurige personen er mee aan de haal gaan. Als je dan moet constateren dat zelfs 'de grote jongens' hun procedures niet op orde hebben, of deze zelfs nog niet geautomatiseerd hebben, dan vind ik dat wel kwalijk. Er hoeft maar een hacker binnen te lopen (niet ondenkbaar als je je procedures sowieso al niet op orde hebt) en er met al deze data vandoor te gaan. Menig crimineel die hier voor in de rij staat om - in geval van high value targets - over te gaan tot afpersing of handel met voorkennis. Het is niet voor niets zo dat in de telecomwet is vastgelegd dat providers deze gegevens niet voor commerciële doeleinden mogen gebruiken, hoewel dat nu toch lijkt te gebeuren. Tijd om de bezem door de servers te halen, oude data (goed) te vernietigen, goede procedures opstellen en dedicated personeel voor deze taken aannemen of aanstellen.

Door het web af te speuren kunnen ze criminelen en terroristen oppakken en hun griezelige zaakjes te kunnen voorkomen!

Klopt, het lullige is alleen dat ze dat ook _buiten_ hun jurisdictie doen, heimelijk en zonder hierover verantwoordelijkheid af te leggen, én alleen als het in hun belang is. Of denk je dat ze de Nederlandse Politie zullen bellen als ze iets horen via hun 'afluistermachine'? Dan zouden ze moeten erkennen dat ie bestaat en dat willen ze niet.
Edit: hier staat meer informatie over dit onderzoek.

[Reactie gewijzigd door TDeK op 23 juli 2024 01:37]

mae-t.net @Xieoxer • 14 oktober 2013 14:11

Prachtig en beleefd geschreven stukje propaganda, maar je motivatie is inhoudelijk niet van hetzelfde kaliber. Wat gammel is vrij zacht uitgedrukt (zie andere reacties en diverse oudere discussies waar het in elk geval wel on-topic was).

@gevoelig hierboven: de kans dat je opgeblazen wordt is ongeveer 1:100.000.000 als ik het ruw moet schatten, dus er gaan jaren voorbij dat er in Nederland precies 0 slachtoffers van dergelijk terrorisme zijn. Dat staat inderdaad in geen verhouding tot continu afgeluisterd en bespied worden (het ongemakkelijke gevoel en de verharding van de maatschappij die daar bijhoren) of de kans op false positives met bijbehorende overlast die ik meer dan een factor 1000 groter schat dan de kans om ueberhaupt bij een aanslag betrokken te raken.

[Reactie gewijzigd door mae-t.net op 23 juli 2024 01:37]

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (32)

Sorteer op:

Weergave: