image

KPN meldt datalek bij Autoriteit Persoonsgegevens

dinsdag 28 januari 2020, 08:40 door Redactie, 44 reacties
Laatst bijgewerkt: 28-01-2020, 10:43

KPN heeft een datalek bij de Autoriteit Persoonsgegevens gemeld nadat een monteur een onbeveiligde laptop met gevoelige informatie bij een klant achterliet en nooit meer ophaalde, zo meldt Trouw vandaag. Volgens de krant was het mogelijk om zonder wachtwoord op de laptop in te loggen.

Inloggegevens van allerlei bedrijfswebsites waren in de browser van de laptop bewaard. Via deze gegevens was het mogelijk om toegang tot het intranet TeamKPN te krijgen. Het gebruik van tweefactorauthenticatie bleek niet nodig. Via het intranet kon Trouw allerlei vertrouwelijke documenten inzien, zoals organisatieschema's met verwijzingen naar de AIVD, het ministerie van Defensie en het Koninklijk Huis.

Tevens werd een bestand met de namen van 16.000 zakelijke en publieke klanten gevonden. Het ging om luchthavens, legeronderdelen, banken, bouwbedrijven, ministeries en medische centra. Ook gegevens van KPN-accountmanagers, waaronder pasfoto's, e-mailadressen, telefoonnummers en leidinggevenden, zijn via het intranet te vinden.

KPN laat weten dat het een "betrouwbaar en solide security-beleid" voert voor het gebruik van apparatuur voor de eigen medewerkers en monteurs van derde partijen. "Dit beleid wordt per kwartaal geactualiseerd volgens de meest recente ontwikkelingen en eisen", aldus een woordvoerder. KPN stelt dat partners zelf verantwoordelijk zijn voor het naleven van de security-eisen. Naar aanleiding van het incident zal het telecombedrijf de gemaakte afspraken en naleving hiervan bekijken. Trouw heeft de laptop aan de monteur, die via een uitzendconstructie voor KPN werkte, teruggegeven. Het incident is door KPN bij de Autoriteit Persoonsgegevens gemeld.

Reacties (44)
28-01-2020, 08:54 door Anoniem
Niet versleuteld en geen wachtwoord, daar mag van mij een hoge boete opstaan voor KPN.
28-01-2020, 09:08 door Anoniem
een monteur zonder denk vermogen ???????????
28-01-2020, 09:17 door The FOSS
Door Anoniem: een [sic] monteur zonder denk vermogen [sic] ???????????

Bedrijfslaptop toch? Dan is dat niet de verantwoordelijkheid van de monteur maar van KPN.
28-01-2020, 09:20 door Anoniem
Door The FOSS:
Door Anoniem: een [sic] monteur zonder denk vermogen [sic] ???????????

Bedrijfslaptop toch? Dan is dat niet de verantwoordelijkheid van de monteur maar van KPN.

Opslaan van wachtwoorden in de browser .... gauw afscheid nemen van die monteur.
28-01-2020, 09:20 door Anoniem
Sic: KPN laat weten dat het een "betrouwbaar en solide security-beleid" voert voor het gebruik van apparatuur voor de eigen medewerkers en monteurs van derde partijen.

Hahaha, die KPN toch
28-01-2020, 09:31 door Anoniem
AP doorpakken, KPN aan de schandpaal! Dit kan echt niet, KPN adverteert overal met 'veiligheid', 'wij hebben het op orde', 'wij lopen voor', 'wij beschermen jou', 'wij zijn de oplossing zakelijk tegen malware ransomware en andere computervirussen'.

KPN is een datamagnaat met net geen monopoliepositie, maar wel een enorme machtspositie (kijk naar overnames van de afgelopen jaren alles moet onder de vlag van KPN zeilen)... laat ze dan ook maar bewijzen dat ze een integere organisatie is die veiligwerkt en alle maatregelen genomen heeft om Nederlandse organisaties en burgers te beschermen. Disc Encryptie is een minimale stap voor alle devices met zakelijke data die de organisatie verlaten, actief beheer op useraccounts en password- en group policys is een must!

Sterk staaltje amateurisme, misschien dat stempel 'koninklijk' er maar afhalen...
28-01-2020, 09:43 door Anoniem
Vertrouwen is goed, controle is beter. Als je mensen hebt die veel met gevoelige info werken, op veel plekken, voldoet vertrouwen niet.
28-01-2020, 09:56 door The FOSS - Bijgewerkt: 28-01-2020, 09:56
Door Anoniem:
Door The FOSS:
Door Anoniem: een [sic] monteur zonder denk vermogen [sic] ???????????

Bedrijfslaptop toch? Dan is dat niet de verantwoordelijkheid van de monteur maar van KPN.

Opslaan van wachtwoorden in de browser .... gauw afscheid nemen van die monteur.

Er staat ook: Volgens de krant was het mogelijk om zonder wachtwoord op de laptop in te loggen. En als KPN niet wil dat er wachtwoorden in de browser worden opgeslagen dan moeten ze dat uitzetten.
28-01-2020, 10:24 door Briolet
Ik zie hier alleen klachten over de monteur, maar die klant was net zo fout. Hij wist dat dit een laptop van de kpn was, maar heeft blijkbaar geen moeite gedaan om dit bij de eigenaar of de politie in te leveren.

In plaatst daarvan heeft hij hem naar de krant gebracht waarbij hij wist dat gevoelige data in de publieke sfeer kon komen. En ook de krant is fout, omdat ze door zijn gaan graven nadat ze ontdekten dat ze bij gevoelige informatie konden komen. Wat mij betreft mag het AP hen ook een boete opleggen.
28-01-2020, 10:29 door Anoniem
In het originele artikel in Trouw staat dat het om een monteur van een derde partij gaat.

quote:
“Partners van KPN leveren zelf apparatuur en dragen zelf zorg voor het voldoen aan de overeengekomen security-­eisen. Wij zullen naar aanleiding van deze kwestie kijken naar de gemaakte afspraken en de naleving hiervan”.

Hierdoor blijkt maar weer hoe belangrijk het is dat je ook zeker weet dat de bedrijven waarmee je samenwerkt ook echt volgens de afspraken werkt en haar security op orde heeft.
28-01-2020, 10:36 door Ron625
Door Briolet: Ik zie hier alleen klachten over de monteur, maar die klant was net zo fout. Hij wist dat dit een laptop van de kpn was, maar heeft blijkbaar geen moeite gedaan om dit bij de eigenaar of de politie in te leveren.
Daar heb je een punt.
Door Briolet: En ook de krant is fout, omdat ze door zijn gaan graven nadat ze ontdekten dat ze bij gevoelige informatie konden komen.
Daar is niets mis mee.
Je kunt controleren, of een deur op slot zit, daar is niets mis mee.
De deur openen en naar binnen gaan is een ander verhaal, dan ben je fout bezig.
28-01-2020, 10:40 door Anoniem
De reacties hierboven leggen onmiddelijk de schuld bij KPN, maar was deze monteur in dienst bij KPN zelf (zodat hun beveiligingsbeleid technisch kan worden afgedwongen op bedrijfslaptops) of in dienst bij een derde partij (waar KPN moet hopen dat die zich aan de gemaakte afspraken houdt)?

De regel: "Naar aanleiding van het incident zal het telecombedrijf de gemaakte afspraken en naleving hiervan bekijken." doet vermoeden dat deze monteur niet in directe dienst van KPN was en het bedrijf dus ook technische maatregelen op diens laptop niet kon afdwingen, dat is aan het bedrijf waar ze een contract mee hebben gesloten.
28-01-2020, 10:44 door _R0N_
Door Anoniem: een monteur zonder denk vermogen ???????????

Daarom is hij monteur!
28-01-2020, 10:47 door Anoniem
Door Anoniem: In het originele artikel in Trouw staat dat het om een monteur van een derde partij gaat.

quote:
“Partners van KPN leveren zelf apparatuur en dragen zelf zorg voor het voldoen aan de overeengekomen security-­eisen. Wij zullen naar aanleiding van deze kwestie kijken naar de gemaakte afspraken en de naleving hiervan”.

Hierdoor blijkt maar weer hoe belangrijk het is dat je ook zeker weet dat de bedrijven waarmee je samenwerkt ook echt volgens de afspraken werkt en haar security op orde heeft.

Nee, wat hieruit blijkt is dat "afspraken maken" met externe partijen geen enkele zin heeft.
Ofwel je regelt het zelf, ofwel je leeft er mee dat het een zootje wordt.
Externe partijen worden ingehuurd en moeten van dat geld rondkomen, naleven van afspraken kost alleen maar geld en
laten ze dus als eerste vallen. Denk je nou echt dat als je met zo'n partij "afspreekt" dat ze geavanceerde veiligheids
maatregelen gaan nemen, ze dan ook echt hun laptops gaan beveiligen en hun personeel gaan opleiden daarin?
Dan moet je wel ERG naief zijn!
28-01-2020, 10:49 door _R0N_
Door Anoniem: De reacties hierboven leggen onmiddelijk de schuld bij KPN, maar was deze monteur in dienst bij KPN zelf (zodat hun beveiligingsbeleid technisch kan worden afgedwongen op bedrijfslaptops) of in dienst bij een derde partij (waar KPN moet hopen dat die zich aan de gemaakte afspraken houdt)?.

Derde partijen krijgen bedrijfsmiddelen van KPN om hun werk te doen voor KPN.
De monteur was de een AP (Ander Personeel) die gebruik maakte van een KPN laptop met toegang tot de KPN interne omgeving.

Het security beleid van KPN is op papier goed geregeld maar in de praktijk niet echt. Zo krijgt een nieuwe medewerker een wachtwoord bestaande uit en dierennaam gevolgd door 2 cijfers, het security beleid zegt daarover dat je dat met wijzigen naar een sterk wachtwoord.
28-01-2020, 10:51 door Anoniem
Er wordt nu een hele sterke focus op persoonsgegevens en AVG gelegd, maar mijn persoonlijke inschatting is dat het op dit vlak wel meevalt. De risico's zijn op andere vlakken veel groter. Als je een corporate klant bij KPN bent, zou ik me meer zorgen maken.

Als ik het artikel analyseer, kom ik tot de volgende inzichten:
- Laptop van een monteur -> Als het 'need to know' principe is toegepast, zou deze laptop niet vol moeten staan met vertrouwelijke persoonsgegevens.
- Op het intranet van KPN staat als het goed is ook geen echt vertrouwelijke gegevens, dat is immers een semi-openbare website waar elke KPN'er (inclusief ingehuurd personeel) bij kan.
- De foto's en contactgegevens van KPN accountmanagers zijn persoonsgegevens, maar die zijn gezien hun functie al openbaar. Accountmanagers hebben LinkedIn profielen en strooien met visitekaartjes. Dat is hun vak.
- Lijsten met zakelijke klantgegevens zijn misschien commercieel vertrouwelijk, maar is geen privacy ding. Een bedrijf is immers geen persoon, dus er is geen sprake van persoonsgegevens.
- Particuliere klanten zou een dingetje kunnen zijn, maar dan hangt het wel samen met welke gegevens er in die lijsten staan.
- Organisatieschema's zijn over het algemeen ook publieke informatie. Verwijzingen naar de AIVD klinkt spannend, maar dat kan iets heel basaals uit de telecomwet zijn. De AIVD heeft een website en is an sich niet geheim. Alleen het werk dat ze doen is geheim, maar wat ze doen delen ze ook niet met KPN. Dat staat echt niet op die laptop.

Waar het veel spannender wordt, is het risico dat op deze laptop credentials staan van systemen bij (grote) klanten van KPN. Aangezien het om een laptop van een monteur gaat, is dat niet ondenkbaar. Zo heb je geen Citrix lek nodig om ellende bij deze klanten van KPN te veroorzaken.
Ook is het in het Trouw artikel genoemde risico van 'Social Engineering' is groot (voorbeelden phishing en CEO fraude).
Verder lees ik iets van wachtwoordsynchronisatie met Google. Ik vraag me af of dat binnen de security policy van KPN valt.

En last but not least.... De verwijzing van KPN dat partners zelf verantwoordelijk zijn slaat echt alles en is tekenend voor de mindset van KPN. In contracten tussen KPN en hun partners hebben zal dit vast zijn vastgelegd, maar als je als bedrijf zaken doet met KPN, dan is toch echt KPN verantwoordelijk voor ellende die door door KPN ingehuurde partners wordt veroorzaakt.

KPN heeft wat uit te leggen, zeker bij grote klanten waar ze systeembeheer doen....
28-01-2020, 10:53 door linux4
Door _R0N_:
Door Anoniem: een monteur zonder denk vermogen ???????????

Daarom is hij monteur!

Wat fijn dat jij zo slim bent! Arrogantie is een slechte eigenschap.
28-01-2020, 10:54 door Anoniem
Door Anoniem: De reacties hierboven leggen onmiddelijk de schuld bij KPN, maar was deze monteur in dienst bij KPN zelf (zodat hun beveiligingsbeleid technisch kan worden afgedwongen op bedrijfslaptops) of in dienst bij een derde partij (waar KPN moet hopen dat die zich aan de gemaakte afspraken houdt)?

De regel: "Naar aanleiding van het incident zal het telecombedrijf de gemaakte afspraken en naleving hiervan bekijken." doet vermoeden dat deze monteur niet in directe dienst van KPN was en het bedrijf dus ook technische maatregelen op diens laptop niet kon afdwingen, dat is aan het bedrijf waar ze een contract mee hebben gesloten.

Wat ik me dan afvraag is waarom een monteur van een derde partij "zo gemakkelijk bij het intranet van KPN kan en bij gevoelige documenten kan komen die als vertrouwelijk gemarkeerd zijn en o.a. AIVD, Koninklijk Huis en Ministerie van Defensie omvatten. Dan heb je op het gebied van dataclassificatie en overeenkomstige beveiligingsmaatregelen nog een hoop te leren.
28-01-2020, 11:02 door Anoniem
Zowel aannemer als klant zouden KPN hebben benaderd met de melding dat er een laptop zoek was en weer gevonden. Dat de klant naar Trouw is gegaan is roept vragen op. Was de klant zowiezo ontevreden over KPN? Was het wellicht een ontevreden oud-medewerker die KPN een hak wilde zetten? Of een klant met een vriendje bij Trouw? Ik bedoel wie gaat er nou voor de lol naar een krant toe om moedwillig een bedrijf in kwaad daglicht te stellen? Wat zijn de achterliggende motieven? Dit mag ook nader onderzocht worden. Los hiervan is de ongeautoriseerde toegang tot het intranet zorgelijk. KPN laat weliswaar weten dat toeleveranciers verwantwoordelijk zijn voor hun security. Maar zo gemakkelijk kom je er, zeker als telecom bedrijf die zegt een "betrouwbaar en solide security-beleid" te hebben, niet vanaf. Het begint al bij de onnodige toegangsrechten die een externe monteur kennelijk heft om op een intranet te komen. Waatvoor? Het role based access model van KPN mag onder de loep. Ook dat er met meldingen bij servicedesks niets is gebeurd duiden op een proces/ kennis en bewustwording problem. Niet alle medewerkers zijn voldoende getraind of zich bewust van veiligheid. Dit is ernstiger wat mij betreft. Want dit was nog Trouw maar wat als het een black hat hacker was geweest die deze laptop in handen had gehad? Daar mag KPN Security op gaan broeden want dit lijkt me niet aanvaardbaar voor een bedrijf wat security in haar vaandel draagt als onderdeel van haar dienstverlening.
28-01-2020, 11:11 door Anoniem
Door Anoniem: Er wordt nu een hele sterke focus op persoonsgegevens en AVG gelegd, maar mijn persoonlijke inschatting is dat het op dit vlak wel meevalt. De risico's zijn op andere vlakken veel groter. Als je een corporate klant bij KPN bent, zou ik me meer zorgen maken.

Als ik het artikel analyseer, kom ik tot de volgende inzichten:
- Laptop van een monteur -> Als het 'need to know' principe is toegepast, zou deze laptop niet vol moeten staan met vertrouwelijke persoonsgegevens.
- Op het intranet van KPN staat als het goed is ook geen echt vertrouwelijke gegevens, dat is immers een semi-openbare website waar elke KPN'er (inclusief ingehuurd personeel) bij kan.
- De foto's en contactgegevens van KPN accountmanagers zijn persoonsgegevens, maar die zijn gezien hun functie al openbaar. Accountmanagers hebben LinkedIn profielen en strooien met visitekaartjes. Dat is hun vak.
- Lijsten met zakelijke klantgegevens zijn misschien commercieel vertrouwelijk, maar is geen privacy ding. Een bedrijf is immers geen persoon, dus er is geen sprake van persoonsgegevens.
- Particuliere klanten zou een dingetje kunnen zijn, maar dan hangt het wel samen met welke gegevens er in die lijsten staan.
- Organisatieschema's zijn over het algemeen ook publieke informatie. Verwijzingen naar de AIVD klinkt spannend, maar dat kan iets heel basaals uit de telecomwet zijn. De AIVD heeft een website en is an sich niet geheim. Alleen het werk dat ze doen is geheim, maar wat ze doen delen ze ook niet met KPN. Dat staat echt niet op die laptop.

Waar het veel spannender wordt, is het risico dat op deze laptop credentials staan van systemen bij (grote) klanten van KPN. Aangezien het om een laptop van een monteur gaat, is dat niet ondenkbaar. Zo heb je geen Citrix lek nodig om ellende bij deze klanten van KPN te veroorzaken.
Ook is het in het Trouw artikel genoemde risico van 'Social Engineering' is groot (voorbeelden phishing en CEO fraude).
Verder lees ik iets van wachtwoordsynchronisatie met Google. Ik vraag me af of dat binnen de security policy van KPN valt.

En last but not least.... De verwijzing van KPN dat partners zelf verantwoordelijk zijn slaat echt alles en is tekenend voor de mindset van KPN. In contracten tussen KPN en hun partners hebben zal dit vast zijn vastgelegd, maar als je als bedrijf zaken doet met KPN, dan is toch echt KPN verantwoordelijk voor ellende die door door KPN ingehuurde partners wordt veroorzaakt.

KPN heeft wat uit te leggen, zeker bij grote klanten waar ze systeembeheer doen....

Eens ik vind de privacy aspecten in dit datalek wel meevallen. Alleen formeel moeten ze wel gemeldt worden aan AP. Zeker door een bedrijf als KPN. Ook eens met de zwakke uitspraak omtrent verantwoordelijkheid leveranciers, wat KPN uit juridisch oogpunt overigens wel moet doen. KPN blijft eindverantwoordelijk in deze kwestie naar haar klanten toe. Dat KPN het vervolgens bij eventuele schade kan claimen bij een leverancier dat is een andere discussie. Overigens roept dit gelijk de vraag op: hoeveel schade gaat dit geval KPN kosten? Bestaande klanten kunnen niet weg door contracten als zouden ze willen. Gaan er potentiële nieuwe klanten nu niet naar KPN is dan de vraag? Omzetderving zou het gevolg kunnen zijn van deze ene laptop.... Dit zouden ze op de aannemer kunnen proberen te verhalen als reputatutie en imagoschade. Maar de rechetr zal dan ook aan KPN vragen aan te geven hoeveel KPN heeft gedaan om dit te voorkomen. En dan staan ze waarschijnlijk met een mond vol tanden...
28-01-2020, 11:42 door Anoniem
KPN had tweefactorauthenticatie op hun sites moeten instellen. Dan maakt het niet uit of de gebruiker eigen personeel is of in dienst van derden is. En het merendeel van ingehuurde monteurs bij KPN betreft oud personeel dat als ZZP is ingehuurd.
28-01-2020, 11:59 door Anoniem
Door Anoniem: KPN had tweefactorauthenticatie op hun sites moeten instellen. Dan maakt het niet uit of de gebruiker eigen personeel is of in dienst van derden is. En het merendeel van ingehuurde monteurs bij KPN betreft oud personeel dat als ZZP is ingehuurd.
Dit onderstreept dat outsourcing van werk zowiezo risico's geeft die moeten zijn afgedekt !
28-01-2020, 12:09 door Anoniem
Er lopen hier wel veel mensen rond die precies weten, wat KPN had moeten doen.
Over arrogantie gesproken...
28-01-2020, 12:11 door Anoniem
Het gaat niet alleen om de laptop ... het gaat om de gehele structuur van pn (koninklijk eraf en doelbewust kleine letters)

Het gaat echt om iedereen !!

Alle data , ook die van andere providers gaan via het backbone systeem van pn , landlijnen, glasvezel etc ...

ALLE persoons-/bigdata-gegevens liggen nu al een tijdje in China !
Huawei (=Staatsbedrijf, sponsoring CCP/PRC, militaire top CCP/PRC zitten in het directie-bestuur..)

Ja denk daar maar eens over na ..

Hier moet de politiek hard ingrijpen maar wij zijn al te laat.

Wie zijn en waren hier verantwoordelijk voor ?
28-01-2020, 12:15 door Anoniem
KPN stroomt in mijn hart en nieren een geweldig bedrijf om voor te werken!
28-01-2020, 12:23 door Anoniem
Ik heb altijd al gezegd dat KPN zwaar achteruit is gegaan vanwege bezuinigingen.
28-01-2020, 13:32 door Anoniem
KPN stelt dat partners zelf verantwoordelijk zijn voor het naleven van de security-eisen.
Dat is natuurlijk veel te "zacht", en helemaal als het om een uitzendkracht gaat.

Men dient alles zoveel mogelijk in te richten dat security wordt afgedwongen.
28-01-2020, 13:37 door karma4
Door Anoniem: De reacties hierboven leggen onmiddelijk de schuld bij KPN, maar was deze monteur in dienst bij KPN zelf (zodat hun beveiligingsbeleid technisch kan worden afgedwongen op bedrijfslaptops) of in dienst bij een derde partij (waar KPN moet hopen dat die zich aan de gemaakte afspraken houdt)? …. .
Een inhuur die bedrijfsgegevens kan komen en het op een eigen laptop zet. Doet me denken aan E Snowden.
De NSA was daar ook heel slecht in het inrichten van de security en screenen van personeel bij derden.

Dat delen van intranet site informatie discussiegroepen over interne aangelegenheden welke open staan op het publieke internet, een incident management systeem open op het publieke internet. Je moest eens weten hoe vaak dat voorkomt.
Dan kun je het altijd nog via github (of overeenkomstig alternatief) op het publieke internet delen. Dat gebeurt al te vaak onbewust met gevoelige informatie.
28-01-2020, 14:09 door Anoniem
Door karma4:
Door Anoniem: De reacties hierboven leggen onmiddelijk de schuld bij KPN, maar was deze monteur in dienst bij KPN zelf (zodat hun beveiligingsbeleid technisch kan worden afgedwongen op bedrijfslaptops) of in dienst bij een derde partij (waar KPN moet hopen dat die zich aan de gemaakte afspraken houdt)? …. .
Een inhuur die bedrijfsgegevens kan komen en het op een eigen laptop zet. Doet me denken aan E Snowden.
De NSA was daar ook heel slecht in het inrichten van de security en screenen van personeel bij derden.

Dat delen van intranet site informatie discussiegroepen over interne aangelegenheden welke open staan op het publieke internet, een incident management systeem open op het publieke internet. Je moest eens weten hoe vaak dat voorkomt.
Dan kun je het altijd nog via github (of overeenkomstig alternatief) op het publieke internet delen. Dat gebeurt al te vaak onbewust met gevoelige informatie.

Het onderscheid tussen 'eigen personeel' en 'inhuur' zie ik vaak, maar is onterecht en zelfs onverstandig. Je rechtspositie (arbeidsrelatie) is inderdaad anders, maar slordig gedrag, niet volgen van bedrijfregels, fraude, etc. kan zowel bij eigen personeel als bij inhuurkrachten voorkomen. Sterker, als je deze denkfout maakt, kan je ervan uitgaan dat de beveiliging in betreffende organisatie niet op orde is. Eigen personeel heeft dan min of meer vrij spel.

Er zijn in mijn ogen twee belangrijke oorzaken die aan onbedoeld niet veilig werken ten grondslag liggen, te weten:
1) Onvoldoende bewustzijn van risico's
2) De veilige werkwijze leidt tot onwerkbare situaties
Voor de eerste kan je awareness trainingen geven. Voor de tweede moet je zorgen dat je beveiligingsmaatregelen niet dusdanig in de weg zitten dat medewerkers hun werk niet meer fatsoenlijk kunnen doen.

Bewuste fraude is een lastiger verhaal. Dat kan je enigzins voorkomen door preventieve maatregelen; controle en sancties. Maar 100% voorkomen van fraude is onmogelijk.

Hier voorbeelden die aantonen dat eigen personeel net zo makkelijk - vaak zelfs eenvoudiger - kan frauderen:
https://www.accountancyvanmorgen.nl/2020/01/08/financieel-medewerker-woningcorporatie-verduisterde-miljoenen
https://nos.nl/artikel/2320570-frauderende-penningmeester-moet-ruim-vier-ton-terugbetalen.html

Bij beide voorbeelden was controle overduidelijk niet aanwezig. Hier kan de denkfout waar ik deze reactie mee begon een rol hebben gespeeld.
28-01-2020, 15:09 door Anoniem
Eigenlijk is het bij alle vormen van security zo dat de personen die dit moeten borgen (personeel zowel inhuur als eigen) de zwakke schakel vormen. Nu gaat het om een "monteur" die zijn laptop "vergeet". (sowieso een vreemd verhaal... een gemiddelde klant monteur merkt direct bij de volgende klant dat hij zijn laptop kwijt is lijkt mij).
kern van mijn betoog is dat je de medewerkers kunt instrueren wat je wilt je voorkomt hiermee niet dat ze hun mobiel/laptop enz. kwijt raken en dat de medewerker altijd de zwakke schakel is.
Voorheen waren het altijd de memory sticks met corporate info die in de trein bleven liggen…..
Laatst weer een voorbeeld van een bewaakster in een gevangenis die met een crimineel ligt te ketsen in de meterkast….
Kortom waar gewerkt wordt …… werken kennelijk ook mensen met een iets andere moraal dan de reaguurders hierboven.
28-01-2020, 15:38 door karma4
Door Anoniem: ….
Bij beide voorbeelden was controle overduidelijk niet aanwezig. Hier kan de denkfout waar ik deze reactie mee begon een rol hebben gespeeld.
Dank je, Die lijst zou je makkelijk heel lang kunnen maken en dan is nog enkel wat bekend geworden is, niet wat onopgemerkt gebleven is dan wel binnenskamers gehouden is. Bij de eerste zou ik het niet bij awareness sessies laten, een werkbare en veilige werkomgeving is iets waar je naar toe moet zien te werken.
28-01-2020, 15:42 door Anoniem
Door Anoniem:
Door karma4:
Door Anoniem: De reacties hierboven leggen onmiddelijk de schuld bij KPN, maar was deze monteur in dienst bij KPN zelf (zodat hun beveiligingsbeleid technisch kan worden afgedwongen op bedrijfslaptops) of in dienst bij een derde partij (waar KPN moet hopen dat die zich aan de gemaakte afspraken houdt)? …. .
Een inhuur die bedrijfsgegevens kan komen en het op een eigen laptop zet. Doet me denken aan E Snowden.
De NSA was daar ook heel slecht in het inrichten van de security en screenen van personeel bij derden.

Dat delen van intranet site informatie discussiegroepen over interne aangelegenheden welke open staan op het publieke internet, een incident management systeem open op het publieke internet. Je moest eens weten hoe vaak dat voorkomt.
Dan kun je het altijd nog via github (of overeenkomstig alternatief) op het publieke internet delen. Dat gebeurt al te vaak onbewust met gevoelige informatie.

Het onderscheid tussen 'eigen personeel' en 'inhuur' zie ik vaak, maar is onterecht en zelfs onverstandig. Je rechtspositie (arbeidsrelatie) is inderdaad anders, maar slordig gedrag, niet volgen van bedrijfregels, fraude, etc. kan zowel bij eigen personeel als bij inhuurkrachten voorkomen. Sterker, als je deze denkfout maakt, kan je ervan uitgaan dat de beveiliging in betreffende organisatie niet op orde is. Eigen personeel heeft dan min of meer vrij spel.

Er zijn in mijn ogen twee belangrijke oorzaken die aan onbedoeld niet veilig werken ten grondslag liggen, te weten:
1) Onvoldoende bewustzijn van risico's
2) De veilige werkwijze leidt tot onwerkbare situaties
Voor de eerste kan je awareness trainingen geven. Voor de tweede moet je zorgen dat je beveiligingsmaatregelen niet dusdanig in de weg zitten dat medewerkers hun werk niet meer fatsoenlijk kunnen doen.

Bewuste fraude is een lastiger verhaal. Dat kan je enigzins voorkomen door preventieve maatregelen; controle en sancties. Maar 100% voorkomen van fraude is onmogelijk.

Hier voorbeelden die aantonen dat eigen personeel net zo makkelijk - vaak zelfs eenvoudiger - kan frauderen:
https://www.accountancyvanmorgen.nl/2020/01/08/financieel-medewerker-woningcorporatie-verduisterde-miljoenen
https://nos.nl/artikel/2320570-frauderende-penningmeester-moet-ruim-vier-ton-terugbetalen.html

Bij beide voorbeelden was controle overduidelijk niet aanwezig. Hier kan de denkfout waar ik deze reactie mee begon een rol hebben gespeeld.

Alhoewel je zinnige dingen zegt is het in dit geval wel zo dat er een laptop zonder login/wachtwoord, of welke al in de browser stond (vaak het geval bij google), waarmee direct op het KPN intranet toegang werd verkregen. Inhuur en eigen personeel maakt toruwens niet uit. Als inhuurkracht heb ik zelf ook vaak een geheimhouding, code of conduct en acceptable use moeten tekenen. Dus juridisch heeft KPN dit wel dichtgetimmerd en kan eventuele schade verhaald worden op inhuur in dit geval. De aantoonbare schade door een dagje media bashing is echter niet aan te tonen. Tenzij iemand daar een idee van heeft? Het gaat waarschijnlijk om indirecte vervolgschade van potentiële klanten die maar even niet bij KPN gaan. Moeilijk te bewijzen lijkt me.

Awareness is en blijft een punt van zorg. Die sevicedesk zakelijke markt waar dit 2 x is gemeldt heeft voor zover we weten niet opgevolgd. Dat is behalve geen awareness issue een proces issue en kennis issue. Je weet niet hoe aannemer en klant dit hebben gemeldt.

Informatieveiligheid en werkbaarheid: veiligheid heeft nou eenmaal een prijs.
Dit is een onderwerp wat binnen een bedrijf altijd voor een dilemma zorgt. Afhankelijk van de risk appetite van de organisatie zal de werkbaarheid hierop moeten zijn aangepast. Dit kan betekenen dat er extra handelingen in het process moetenw orden uitgevoerd indien de veiligheid dit vereist. Door een goede awareness en support kan de motivatie van medewerkers op peil blijven. Denk in dit verband ook maar aan de lange rijen bij vliegvelden bij de security check. Deze nemen we tegenwoordig ook voor lief met in ons achterhoofd de terreuraanslagen. Veiligheid heeft zijn prijs. En dat moeten we accepeteren vind ik. Leuk of niet.

Leerpunten voor andere bedrijven
Wat deze laptop in het nieuws heeft veroorzaakt is dat in elk bedrijf in Nederland er nu, vandaag, over KPN en over de eigen veiligheid wordt gepraat. Kan het ook bij ons gebeuren gonst het door Nederland? Ja, moet het eerlijke antwoord zijn. Wat gaan we eraan doen dan? Dat is de volgende stap. Lang leve de informatiebeveliging!
28-01-2020, 18:42 door karma4
Door Anoniem: ...
Leerpunten voor andere bedrijven
Wat deze laptop in het nieuws heeft veroorzaakt is dat in elk bedrijf in Nederland er nu, vandaag, over KPN en over de eigen veiligheid wordt gepraat. Kan het ook bij ons gebeuren gonst het door Nederland? Ja, moet het eerlijke antwoord zijn. Wat gaan we eraan doen dan? Dat is de volgende stap. Lang leve de informatiebeveliging!
Onbeantwoord is de vraag of het over grotendeels publiek beschikbare data welke voor de handig nazoeken goed gerubriceerd is. Voor je het weet is elke uitlating van een journalist een datalek. Dat elke monteur er toegang tot heeft en de betreffende site kennelijk open stond doet zoiets vermoeden. Als je nu citrixfarm voor extern gebruik had neergezet of pulse secure vpn ...
28-01-2020, 19:44 door Anoniem
Ook interne data bereikbaar via intranets dien je te classificeren.

En dat is bij KPN niet goed genoeg gebeurt.
28-01-2020, 20:57 door Anoniem
Door karma4:
Door Anoniem: ...
Leerpunten voor andere bedrijven
Wat deze laptop in het nieuws heeft veroorzaakt is dat in elk bedrijf in Nederland er nu, vandaag, over KPN en over de eigen veiligheid wordt gepraat. Kan het ook bij ons gebeuren gonst het door Nederland? Ja, moet het eerlijke antwoord zijn. Wat gaan we eraan doen dan? Dat is de volgende stap. Lang leve de informatiebeveliging!
Onbeantwoord is de vraag of het over grotendeels publiek beschikbare data welke voor de handig nazoeken goed gerubriceerd is. Voor je het weet is elke uitlating van een journalist een datalek. Dat elke monteur er toegang tot heeft en de betreffende site kennelijk open stond doet zoiets vermoeden. Als je nu citrixfarm voor extern gebruik had neergezet of pulse secure vpn ...
Een datalek voor de goede orde is een inbreuk op of aantasting van de rechten en vrijheden van natuurlijke personen. Een journalist veroorzaakt alleen een datalek indien deze zonder toestemming van de natuurlijke persoon diens gegevens publiceerd. Right to Consent. Indien het een publiek persoon is overigens geldt dit niet. De BN'er is reeds bekend. Namen van accountmanagers zit er tussenin. Deze moeten vanuit hun functie al bekend zijn in de branches waar ze opereren. Dus feitelijk al een publiek persoon. Maar de gewone medewerker niet. De klant zeker niet. Tenzij weer van een publiek bekend persoon gesproken kan worden, ergo de persoonsgegevens zijn reeds al bekend.

Citrixfarm ? Liever niet gezien de recente lekken. Pulse secure zeker wel !
29-01-2020, 03:48 door Anoniem
Het is wel droevig dat iemand dit al 8 jaar geleden had aangegeven bij KPN via een officieel security incident.

En dat ze de data via intranet nog steeds niet goed geclassificeerd hebben laat staan de autorisaties goed op orde hebben.
Toen gaf die specialist al aan dat ze ernstig moesten overwegen om naar een militair classificatie model over te stappen..

Tja wie niet wil luisteren gaat het op den duur voelen.

Het is diep droevig dat een bedrijf als KPN er heel lang over deed om security niet als een kostenpost te zien maar als een investering en commercieel product en dat het dan juist van belang is dat je zelf het goede voorbeeld geeft

Helaas werken daar nog steeds een paar dwarsliggers in het middle management welke eigenlijk niets anders moeten doen dan de boel te faciliteren maar in de praktijk de mensen die het werk doen enkel maar dwarsliggen.

Voortkomend uit angst dat ze eigenlijk niet zoveel in te brengen hebben in die technische wereld lat staan er uberhaupt iets van snappen en overgewaardeerd worden.

En ik hoop dat ze die zuippartijen vrijdags afgeschaft hebben en die managers niet meer bezopen in die auto\s stappen.

En dat levert diensten aan de overheid...

Schande!

M.v.g.

Drietand.
29-01-2020, 06:44 door Anoniem
Door Briolet: Ik zie hier alleen klachten over de monteur, maar die klant was net zo fout. Hij wist dat dit een laptop van de kpn was, maar heeft blijkbaar geen moeite gedaan om dit bij de eigenaar of de politie in te leveren.

In plaatst daarvan heeft hij hem naar de krant gebracht waarbij hij wist dat gevoelige data in de publieke sfeer kon komen. En ook de krant is fout, omdat ze door zijn gaan graven nadat ze ontdekten dat ze bij gevoelige informatie konden komen. Wat mij betreft mag het AP hen ook een boete opleggen.
Twee relevante fragmenten uit het artikel van Trouw:
Trouw heeft de KPN-monteur zijn laptop teruggegeven. Omdat hij het apparaat niet dagelijks gebruikte, wist hij niet waar hij het was kwijtgeraakt.
Slordig, maar dat overkomt mensen. Dat de laptop vertrouwelijke data bevatte en niet versleuteld was is ernstiger, dat het toegang tot het intranet van KPN gaf omdat accountgegevens werden bewaard en geen tweefactorauthenticatie wordt gebruikt is ernstiger, dat dat intranet toegang geeft tot wel heel veel vertrouwelijke data ook.
De klant had de klantenservice van KPN gebeld over de achtergelaten laptop, maar kwam daar niet verder. Hij gaf de laptop aan Trouw uit bezorgdheid over het gebrek aan beveiliging bij KPN.
De klant heeft kennelijk wel degelijk moeite gedaan om hem aan de eigenaar te retourneren, maar liep tegen een typische grotebedrijvenhelpdesk aan: helemaal ingericht op wat men bedacht heeft waar klanten voor zullen bellen, en totaal incapabel om iets wat daarvan afwijkt af te handelen.

Als je tegen dat soort muren aanloopt dan is wat die klant gedaan heeft heel effectief. En let wel, hij heeft niet de vertrouwelijke gegevens op straat gegooid maar gezorgd dat duidelijk werd dat dat had kunnen gebeuren, juist door naar een krant te stappen die wel een paar slagjes betrouwbaarder is dan bijvoorbeeld een sensatieblad van Rupert Murdoch. Dat vind ik niet fout, grote organisaties met (inherent) een gering zelfcorrigerend vermogen hebben soms een publicitaire opdonder nodig om scherp gehouden te worden.

Ik kan niet beoordelen of de klant te ver is gegaan in het inspecteren van de laptop en waar die toegang toe gaf. Het is mogelijk dat hij dat deed om te kijken of hij zo contactgegevens van de monteur kon vinden, of van een afdeling van KPN die behulpzamer kon zijn dan de klantenservice, en dat direct evident was dat er vertrouwelijke gegevens toegankelijk waren; wie weet keek hij direct tegen geopende vensters aan die er vol mee stonden. Of hij daarin fout zat weet ik dus domweg niet, maar het hoeft niet per se zo te zijn.
29-01-2020, 08:56 door karma4
Door Anoniem: Een datalek voor de goede orde is een inbreuk op of aantasting van de rechten en vrijheden van natuurlijke personen. Een journalist veroorzaakt alleen een datalek indien deze zonder toestemming van de natuurlijke persoon diens gegevens publiceerd.

Indien het een publiek persoon is overigens geldt dit niet. De BN'er is reeds bekend.
Met de persmuskieten die dat soort figuren achtervolgen dan wel verhalen uit de duim zuigen. Denk aan barbie, is er wel degelijk een privacyinbreuk en worden datalekken uitgelokt. Het is dat in de GDPR voor journalisten een hoofdstukje staat met vrije nieuwsgaring, dat is het eerste niet.
.
Je noemt al wat nuances over hoe gevoelig die data zou kunnen zijn. Ook een journalist moet je niet op zijn woord zo maar geloven. Hij heeft belang bij zoveel mogelijk aandacht. Als die betreffend gegevens als openbaar gemarkeerd zijn is er weinig aan de hand. Een telefoongids een dns is openbaar bedoeld. Het noemen van grote namen kriebelt aan wat er speelt.

Citrixfarm ? Liever niet gezien de recente lekken. Pulse secure zeker wel !
Beide waren afgelopen tijd in het nieuws omdat ze lek waren, ook Pulse secure. Niets is 100% veilig ook niet met BSD. https://www.security.nl/posting/638890/VS+waarschuwt+voor+aanvallen+op+Pulse+Secure+vpn-servers
Met meerdere lagen van beveiliging welke je goed met beheersen (niet enkele beheren) heb je meer zekerheid.
29-01-2020, 09:02 door Anoniem
Laat ik voorop stellen dat dit super slordig is gedaan door de monteur, duidelijk niet geschikt voor het werkt.
Is KPN hiervoor verantwoordelijk, jazeker.

Maar kom op zeg, dit lijkt steeds meet op overdrijf praktijken van VS.
Gevoelige informatie via intranet van KPN, laat mij niet lachen.
Gaan we lekker met z'n allen zitten overdrijven weer. Ïntranet" van KPN is een grote blog met veel interne interne bla bla, handige links voor personeel en her en der wat HR semi nuttige info. Sterker nog, succes met vinden van nuttige info en bovendien zijn heel veel subdomeinen/services beveiligd waar men uitendelij kom een of ander vorm van verificate gevraagd wordt.
Kortom,alles behalve interessante en gevoelige informatie want die staat natuurlijk niet open en bloot op de algemene intranet of hoe fancy het me ook wilt noemen.
29-01-2020, 09:06 door Anoniem
Door Briolet: Ik zie hier alleen klachten over de monteur, maar die klant was net zo fout. Hij wist dat dit een laptop van de kpn was, maar heeft blijkbaar geen moeite gedaan om dit bij de eigenaar of de politie in te leveren.

Hij wist waarschijnlijk ook dat dit onder de mat geveegd zou worden als hij het naar KPN terug bracht. En dan gebeurt het morgen of volgende week weer. Dus moet je iets bedenken waarmee de kans kleiner wordt dat het nog een keer gebeurd.

Dan is het beter om naar een krant te gaan.

In plaatst daarvan heeft hij hem naar de krant gebracht waarbij hij wist dat gevoelige data in de publieke sfeer kon komen. En ook de krant is fout, omdat ze door zijn gaan graven nadat ze ontdekten dat ze bij gevoelige informatie konden komen. Wat mij betreft mag het AP hen ook een boete opleggen.

Die klant vertrouwde Trouw. En dat vertrouwen is niet beschaamd. Er is geen gevoelige data in de publieke sheer terecht gekomen. Trouw heeft de data bekeken en er over gerapporteerd. Ze hebben geen dump online gezet, zoals sommige partijen wel doen als ze dergelijke laptops vinden.

In dat opzicht is de klant te complimenteren.
Maar klokkeluiders zijn nog steeds het haasje. We roepen nog steeds "shoot the messenger".

Peter
29-01-2020, 09:16 door Anoniem
Door The FOSS:
Door Anoniem: een [sic] monteur zonder denk vermogen [sic] ???????????

Bedrijfslaptop toch? Dan is dat niet de verantwoordelijkheid van de monteur maar van KPN.

Helemaal mee eens. Je moet mensen niet de verantwoordelijkheden geven, die zien / snappen niet de consequenties.

Iets met MDM, policy, bitlocker, e.d.
29-01-2020, 13:48 door Anoniem
Door karma4:
Door Anoniem: Een datalek voor de goede orde is een inbreuk op of aantasting van de rechten en vrijheden van natuurlijke personen. Een journalist veroorzaakt alleen een datalek indien deze zonder toestemming van de natuurlijke persoon diens gegevens publiceerd.

Indien het een publiek persoon is overigens geldt dit niet. De BN'er is reeds bekend.
Met de persmuskieten die dat soort figuren achtervolgen dan wel verhalen uit de duim zuigen. Denk aan barbie, is er wel degelijk een privacyinbreuk en worden datalekken uitgelokt. Het is dat in de GDPR voor journalisten een hoofdstukje staat met vrije nieuwsgaring, dat is het eerste niet.
.
Je noemt al wat nuances over hoe gevoelig die data zou kunnen zijn. Ook een journalist moet je niet op zijn woord zo maar geloven. Hij heeft belang bij zoveel mogelijk aandacht. Als die betreffend gegevens als openbaar gemarkeerd zijn is er weinig aan de hand. Een telefoongids een dns is openbaar bedoeld. Het noemen van grote namen kriebelt aan wat er speelt.

Citrixfarm ? Liever niet gezien de recente lekken. Pulse secure zeker wel !
Beide waren afgelopen tijd in het nieuws omdat ze lek waren, ook Pulse secure. Niets is 100% veilig ook niet met BSD. https://www.security.nl/posting/638890/VS+waarschuwt+voor+aanvallen+op+Pulse+Secure+vpn-servers
Met meerdere lagen van beveiliging welke je goed met beheersen (niet enkele beheren) heb je meer zekerheid.

Barbie? Dat is een publiek persoon. Maar dit ging om medische gegevens van Barbie niet haar openbare liefdesleven. Medische gegevens mogen niet worden gepubliceerd noch worden ingezien door onbevoegden zonder uitdrukkelijke toestemming van betrokkene. En dat was wel het geval. Volgens mij is haar medisch dossier niet gepubliceerd maar is wel bekend geworden, en gemeldt aan AP, dat vele medewerkers van het betreffende ziekenhuis waar ze werd opgenomen toegang hadden gehad tot haar medisch dossier. Sensatie beluste ziekenhuis medewerkers dus. Wat moet het toch een saai bestaan zijn als ziekenhuis medewerker dat je je hieraan schuldig maakt denk ik dan.

Goed dat je wijst op de zwakheden en blootstellingen avn Pulse.
29-01-2020, 22:25 door Krav
Door Briolet: Ik zie hier alleen klachten over de monteur, maar die klant was net zo fout. Hij wist dat dit een laptop van de kpn was, maar heeft blijkbaar geen moeite gedaan om dit bij de eigenaar of de politie in te leveren.

In plaatst daarvan heeft hij hem naar de krant gebracht waarbij hij wist dat gevoelige data in de publieke sfeer kon komen. En ook de krant is fout, omdat ze door zijn gaan graven nadat ze ontdekten dat ze bij gevoelige informatie konden komen. Wat mij betreft mag het AP hen ook een boete opleggen.

Serieus?!?!?! Daar is de media voor. Om de maatschappij te informeren wat er fout gaat. Een journalist gebruikt dit puur voor zijn onderzoek. De klant heeft overigens kpn eerst ingelicht om de laptop op te komen halen. Dit hebben ze echter niet gedaan.
03-02-2020, 13:47 door Anoniem
Als dit allemaal zo lees dan denk ik dat we te maken hebben met een boze medewerker (lees: monteur) die bewust het wachtwoord dat toegang tot zijn laptop verleend heeft weggehaald om het makkelijker te maken voor anderen om op zijn laptop het een en ander op te zoeken. Kennelijk kwam hij bij een klant thuis die boos was op KPN en hebben ze zit trucje bedacht. Feit is wel dat deze monteur door het brengen van schade aan het imago van KPN, ervoor kan zorgen dat KPN het contract met zijn werkgever opzegt. Daarmee schaadt deze kennelijk boze monteur het belang van zijn werkgever maar ook die van zijn collega's. Als ik in de schoenen van KPN stond dan was dit het einde van de samenwerking met de werkgever van deze monteur.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.