image

Vodafone krijgt miljoenenboete voor onvoldoende beveiligen aftapvoorziening

dinsdag 22 oktober 2024, 09:24 door Redactie, 11 reacties

Vodafone heeft van de Rijksinspectie Digitale Infrastructuur (RDI) een boete van 2,25 miljoen euro gekregen wegens het onvoldoende beveiligen van de aftapvoorziening. De beveiliging voldeed op meerdere onderdelen niet aan de wettelijke eisen. De vastgestelde tekortkomingen zijn inmiddels verholpen.

Een aftapsysteem bevat informatie over personen of organisaties die ‘getapt’ worden. Het gaat dan bijvoorbeeld om het meeluisteren met telefoongesprekken of het lezen van berichten die via sms, chat of e-mail worden verstuurd. De inzet van een tap gebeurt onder strikte voorwaarden en alleen op last van de Officier van Justitie, AIVD of MIVD, zo laat de RDI weten.

Aangezien een aftapsysteem staatsgeheime of strafrechtelijke informatie kan bevatten zijn er strenge eisen gesteld aan de beveiliging. Dat geldt zowel voor de fysieke ruimte waarin het systeem staat als voor de toegang tot de geautomatiseerde systemen. Ook moeten organisatorische maatregelen genomen worden om te voorkomen dat de informatie in het aftapsysteem bij onbevoegden terecht komt.

De RDI deed onderzoek naar de beveiliging van het aftapsysteem van Vodafone en ontdekte dat die op meerdere onderdelen tekortschoot. Aanbieders moeten over een beveiligingsplan beschikken waarin staat hoe de beveiligingsplicht wordt uitgevoerd. Bij Vodafone was dit plan niet volledig en bovendien sterk verouderd. Verder bleek dat Vodafone onderdelen van het aftapproces aan derden heeft uitbesteed, waarbij de vereiste afspraken niet afdoende volledig en concreet met alle leveranciers waren gemaakt.

Het onderzoek liet ook zien dat het personeel dat toegang had tot het aftapsysteem niet goed was gescreend. Bij een groot deel van hen ontbrak een adequate functieomschrijving, een ondertekende geheimhoudingsverklaring en een Verklaring Omtrent het Gedrag. Ook bleek dat de fysieke beveiliging van de ruimte waarin aftapgegevens aanwezig waren onvoldoende was. Zo konden onbevoegden eenvoudig toegang tot de ruimte krijgen. Als laatste was de toegangsbeveiliging tot geautomatiseerde systemen waarin aftapgegevens worden verwerkt onvoldoende.

"Deze overtredingen acht ik niet alleen afzonderlijk, maar zeker ook in onderlinge samenhang bezien ernstig. Een adequate beveiliging bestaat namelijk uit een combinatie van maatregelen op het gebied van preventie en detectie alsook administratieve en personele maatregelen", zo stelt de RDI in het boetebesluit. Volgens de toezichthouder is niet gebleken dat er ongeautoriseerd kennis is genomen van aftapgegevens.

Vodafone is het in essentie niet eens met de vastgestelde overtredingen en vindt het opleggen van een boete niet opportuun, zo stelde het in een reactie aan de RDI. Daarnaast noemt de provider de boetehoogte disproportioneel. Tevens wilde Vodafone dat de RDI het boetebesluit niet zou publiceren. De toezichthouder besloot daarop het boetebesluit gedeeltelijk te publiceren, omdat volledige publicatie de staatsveiligheid zou kunnen schaden.

Reacties (11)
22-10-2024, 09:31 door Anoniem
Blijft mij verbazen dat dit soort overheidsinstellingen dit soort onderzoeken mogen doen. Terwijl de RDI op hun eigen site gebruik maakt van dark pattern en andere onwenselijke snuisterijen.
22-10-2024, 09:40 door Anoniem
Protectionisme ten top.
Vanuit de overheid moet je je klanten (!!!) kunnen bespioneren. Maar alleen die overheid wil er toegang toe hebben. Je zou zomaar de indruk kunnen hebben dat we in Rusland of China leven...
22-10-2024, 10:54 door Anoniem
Begin van deze maand werd bekend dat een Chinese actor toegang verkregen had tot de aftap faciliteiten van Amerikaanse telecomproviders. Het is dus een reële dreiging, waar Vodafone nog niet helemaal tegen opgewassen blijkt te zijn. Laten voor alle Vodafone klanten hopen dat dit risico nog niet gematerialiseerd is. Niet in de laatste plaats Vodafone al jaren de telefonie voor de Rijksoverheid te levert....
22-10-2024, 11:28 door Anoniem
Je kunt je afvragen of je wel wilt aftappen. Als blijkt dat dat inhoudt dat Putin en Xi er ook bij kunnen.

Je kunt je ook de vraag stellen wie de taps dan moet betalen. Vodafone of de overheid? Nu zijn het de telecom providers die voor de kosten opdraaien. Heb je dan nog wel iets te zeggen over hoe het aftapproces is ingericht?
22-10-2024, 11:54 door Anoniem
Hoe zit het met de rest van de gegevensbescherming en beveiliging van alle telco's? Was in het verleden toch lek als een mandje, ook met simswaps e.d. Lijkt me een van de grootste risico's voor burgers die er is.
22-10-2024, 12:29 door Anoniem
@Anoniemen 09:31 en 09:40 Het is overduidelijk dat jullie de wet- en regelgeving niet kennen, noch op de hoogte zijn van de partijen die mogen tappen, tapaanvragen mogen doen, data mogen verwerken etc., anders hadden jullie deze opmerkingen niet gemaakt.
22-10-2024, 16:14 door Anoniem
Door Anoniem: Hoe zit het met de rest van de gegevensbescherming en beveiliging van alle telco's? Was in het verleden toch lek als een mandje, ook met simswaps e.d. Lijkt me een van de grootste risico's voor burgers die er is.
Euhh, jij maakt je druk over de gegevens bescherming bij Telco's terwijl jouw gegevens elke dag wettelijke verplicht door die telco's aan de overheid moeten worden overgedragen? Hoezo gegevensbescherming, die bestaat toch helemaal niet.
Privacy in Nederland bestaat niet en heeft nooit bestaan want we worden allemaal getapt, gevolgd en bespied door onze o zo betrouwbare overheid. Maar goed, jullie kiezen er voor om het te accepteren, dus niet moeilijk doen als gegevens blijkbaar niet veilig zijn opgeslagen.
22-10-2024, 17:23 door Anoniem
De eisen rond het beveiliging van aftapvoorziening zijn vastgelegd in het “Besluit beveiliging gegevens telecommunicatie” zie https://wetten.overheid.nl/BWBR0015808/2018-05-01

De eisen zijn gedateerd.

Rond 2002 is “Besluit beveiliging gegevens telecommunicatie” voor het eerst opgenomen in wet en regelgeving. In die tijd was er al een hoop commentaar op deze beveiligingseisen. Zie
https://eronald.home.xs4all.nl/eygendaals/Publicaties/besluit_beveiliging_gegevens_aftappen.pdf
22-10-2024, 18:47 door Anoniem
Als ik te hard rij en een boete krijg, zal ik ook zeggen dat het"niet opportuun" is.
22-10-2024, 19:41 door Metobard
...Ook bleek dat de fysieke beveiliging van de ruimte waarin aftapgegevens aanwezig waren onvoldoende was.
Iedereen een loper van de hakken- en zolenbar in de Praxis.
Zo konden onbevoegden eenvoudig toegang tot de ruimte krijgen.
Bezemkast? Rommelzolder?
Als laatste was de toegangsbeveiliging tot geautomatiseerde systemen waarin aftapgegevens worden verwerkt onvoldoende.
Admin wachtwoord: hoeperdepoep_zat_op_de_stoep
22-10-2024, 21:52 door Anoniem
Het is duidelijk: een groot aftapfestijn dat Nederland voor de hele wereld organiseert.

Ook bijzonder dat het door de Nederlandse autoriteiten kennelijk op zich wél ok wordt gevonden dat Vodafone "onderdelen van het aftapproces" uitbesteedt aan "derden", als er maar de "vereiste afspraken" met "leveranciers" worden gemaakt.

Tuurlijk joh. Als je maar de vereiste afspraken maakt, mag je het aftappen van Nederlanders best uitbesteden aan Huawei, Google of de NSA. Dit land is echt een joke.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.