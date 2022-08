Het hoofdkantoor van KPN in Rotterdam. Beeld Piroschka van de Wouw / REUTERS

Agentschap Telecom, onderdeel van het ministerie van Economische Zaken, deed onderzoek naar KPN naar aanleiding van een publicatie in de Volkskrant van 2021, waaruit bleek dat het Chinese technologiebedrijf Huawei vrije toegang had tot de kern van het mobiele netwerk van KPN. Die conclusie stond in een intern rapport van KPN uit 2010, dat was opgesteld door Capgemini.

Huawei had volgens dat rapport inzicht in de database met afgetapte telefoonnummers, waarmee de Telecomwet werd overtreden. Het rapport was nooit openbaar geworden, mede omdat de conclusies zo hard waren. Gevreesd werd voor het ‘voortbestaan van de mobiele tak van KPN’ als ze publiekelijk bekend zouden worden.

De meest verregaande rechten

Het Agentschap Telecom onderzocht hoe het tien jaar later stond met de beveiliging van het aftapsysteem van KPN. Telecomaanbieders zijn verplicht zo’n systeem te hebben: hierin zit informatie opgeslagen over personen die worden afgeluisterd. Inlichtingen- en opsporingsdiensten die een telefoonnummer of ip-adres willen aftappen, geven een bevel aan de telecomaanbieder. In dat bevel staan vertrouwelijke gegevens, zoals een naam en een telefoonnummer. Daarna begint het tappen, wat zowel metadata oplevert (wie belt met wie en hoe lang) als de inhoud van het gesprek.

Het agentschap deed alleen onderzoek naar de database met informatie over de eerstgenoemde gegevens – de systemen met telefoonnummers en ip-adressen. Veelal gaat het hierbij om zeer gevoelige informatie: personen die mogelijk zijn geradicaliseerd, voor een buitenlandse veiligheidsdienst werken of te linken zijn aan zware criminaliteit. Beheerders van KPN hebben toegang tot het systeem om onderhoud uit te voeren en updates te doen. Met zogeheten ‘rootrechten’ hebben zij de meest verregaande rechten.

Detectie van misbruik niet op orde

De telecomautoriteit kwam erachter dat een willekeurige beheerder van KPN een wachtwoord kan invoeren om zo een ‘rootgebruiker’ te worden. Ook werd tapinformatie op verschillende platforms binnen KPN onversleuteld opgeslagen, waardoor personen die daartoe niet waren gemachtigd de informatie wel konden inzien. Een ernstige overtreding, volgens het agentschap. Verder bleek toegang ook mogelijk via groepaccounts en was het vastleggen van handelingen en detectie van misbruik niet op orde. Beheerders die vertrouwelijke informatie hadden ingezien, konden die handeling na inzage zelf anoniem verwijderen.

De drie overtredingen samen waren voor het agentschap voldoende reden voor een stevige boete, schrijft John Derksen, hoofd Toezicht. ‘De overtredingen acht ik dan ook ernstig nu zij niet alleen op zichzelf, maar ook in onderlinge samenhang bezien een risico op ongeautoriseerde kennisname van LI-gegevens (tapinformatie, red.) vormen.’

KPN heeft volgens het agentschap ‘constructief’ meegewerkt aan het onderzoek en de tekortkomingen in de beveiliging direct verholpen. Uit het boetebesluit blijkt dat KPN de boete op meerdere punten onterecht vond en betwistte, maar daarbij geen gehoor vond bij de telecomautoriteit. In een eigen verklaring op de website zegt KPN dat het de beveiliging van de aftapketen ‘uiterst serieus’ neemt en daarom de boete van de AT niet zal aanvechten.