30 821 Nationale Veiligheid

Nr. 164 BRIEF VAN DE MINISTER VAN ECONOMISCHE ZAKEN EN KLIMAAT

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 30 augustus 2022

Tijdens het plenair debat van 29 juni 2021 (Handelingen II 2020/21, nr. 94, item 37) over buitenlandse spionage in telecomnetwerken heeft de toenmalige Staatssecretaris van Economische Zaken toegezegd de Kamer te informeren over de uitkomst van een onderzoek van het Agentschap Telecom (AT) bij KPN. Met deze brief kom ik aan deze toezegging tegemoet.

Aanleiding voor het onderzoek door AT was een artikel in de Volkskrant van 17 april 2021. Daarin werd, op basis van een rapport uit 2010, gesuggereerd dat er «ongeautoriseerde, ongecontroleerde en ongelimiteerde» toegang was tot de mobiele netwerken van KPN. In de bijlage treft u het persbericht van AT aan met de belangrijkste bevindingen van haar onderzoek. Naast dit persbericht publiceert AT op haar website1 nadere informatie over de aanpak en bevindingen van het onderzoek.

Het is van groot belang dat onze telecomnetwerken veilig en integer zijn. Dit principe ligt verankerd in de zorgplicht die is opgenomen in de Telecommunicatiewet. De zorgplicht stelt dat aanbieders passende technische en organisatorische maatregelen moeten nemen om hun risico’s te beheersen. Hierbij is een grote eigen verantwoordelijkheid bij de aanbieders neergelegd hoe zij dat precies invullen. Zij hebben immers het beste zicht op hun systemen en de dagelijkse risico’s waar zij mee van doen krijgen. Het AT houdt toezicht op de naleving van die zorgplicht.

Vanuit de toegenomen zorg over spionage in de telecomsector is de afgelopen jaren onder leiding van de Taskforce Economische Veiligheid gewerkt aan aanvullende maatregelen om risico’s die samenhangen met ongeautoriseerde toegang door derden beter te beheersen (Kamerstuk 30 821, nr. 92 en Kamerstukken 30 821 en 26 643, nr. 143). Hiermee worden zwaardere eisen gesteld aan de beveiliging van onze telecomnetwerken. In het verlengde daarvan zijn meer middelen beschikbaar gesteld aan het AT voor bijpassend geïntensiveerd toezicht.

Deze nieuwe wettelijke instrumenten vormen samen met de bestaande bepalingen uit de Telecommunicatiewet en een versterkt AT belangrijke stappen om de weerbaarheid van de telecomsector te versterken tegen actuele dreigingen.

Desgewenst kunt u een vertrouwelijke briefing krijgen waarin de aanpak en bevindingen van het AT onderzoek nader kunnen worden toegelicht.

De Minister van Economische Zaken en Klimaat, M.A.M. Adriaansens

Bijlage 1: Persbericht AT

Tekortkomingen in beveiliging van aftapvoorziening KPN

Agentschap Telecom heeft diepgaand onderzoek gedaan naar de veiligheid van het aftapsysteem van KPN. Hieruit blijkt dat de beveiliging niet op alle onderdelen aan de wettelijke vereisten voldeed. Agentschap Telecom legt daarom een boete op aan KPN van 450.000 euro. KPN geeft aan dat zij de geconstateerde tekortkomingen inmiddels heeft verholpen.

Aanleiding

Aanleiding voor het onderzoek was een artikel in de Volkskrant van 17 april 2021. Daarin werd – op basis van een rapport uit 2010 – gesuggereerd dat er «ongeautoriseerde, ongecontroleerde en ongelimiteerde» toegang was tot de mobiele netwerken van KPN.

Het onderzoek

Agentschap Telecom heeft diepgaand technisch onderzoek gedaan naar de huidige beveiliging van de aftapvoorziening van KPN. Dit is het systeem dat informatie bevat over personen die «getapt» worden. Tappen is het meeluisteren met telefoongesprekken die personen voeren of het meelezen met berichten (bijvoorbeeld via sms of mails). De Officier van Justitie, de AIVD of MIVD kunnen daarvoor opdracht geven op basis van hun eigen wettelijke taken.

Resultaten

Uit het onderzoek blijkt dat KPN onvoldoende zorg heeft gedragen voor het treffen van noodzakelijke beveiligingsmaatregelen om kennisneming van aftapgegevens door onbevoegden te voorkomen. Ook blijkt uit het onderzoek dat KPN voor haar systemen gebruik maakt van diverse leveranciers. Het beheer doet KPN echter zelf. De zogenoemde derdelijns ondersteuning komt van leveranciers, hetgeen gebruikelijk is en ook is toegestaan. Omdat er bij de tapvoorziening ook staatsgeheime informatie in het geding kan zijn, worden aan de beheerders strenge eisen gesteld. Alles wat ze doen moet nauwkeurig worden vastgelegd en alleen medewerkers met een Verklaring omtrent het Gedrag (VOG) en een geheimhoudingsverklaring mogen in aanraking komen met deze gegevens.

John Derksen, hoofd Toezicht van Agentschap Telecom: het onderzoek laat zien dat KPN «de voordeur» tot haar systemen voldoende beveiligd heeft. Niemand anders dan KPN bepaalt wie er toegang krijgt tot de systemen. Het onderzoek laat echter ook zien dat een beperkte groep systeembeheerders die toegang had tot de systemen, niet over de vereiste Verklaring omtrent het Gedrag (VOG) en een geheimhoudingsverklaring beschikte. Deze personen hadden bovendien geen persoonlijk account. Daardoor konden hun individuele handelingen niet goed worden gevolgd en geregistreerd.

Problemen opgelost

KPN heeft volledig meegewerkt aan het onderzoek en tijdens het onderzoek maatregelen genomen om de veiligheid van het aftapsysteem op het vereiste niveau te brengen. KPN heeft aangegeven dat het autorisatieproces inmiddels is verbeterd en dat alle beheerders nu over de vereiste documenten beschikken. Agentschap Telecom heeft essentiële delen van de verbeteringen gezien en de overige verbeteringen worden gecontroleerd in het reguliere inspectieproces onder de aangescherpte zorgplicht.

Weerbaarheid telecomsector

De veiligheid en integriteit van telecomnetwerken zijn van vitaal belang voor onze maatschappij en onze economie. Hiervoor zetten de medewerkers van het agentschap zich dagelijks in. De afgelopen jaren is onder leiding van de Taskforce Economische Veiligheid gewerkt aan wettelijke mogelijkheden om risico’s te mitigeren. Onder andere het Besluit veiligheid en integriteit telecommunicatie en de daaruit volgende beschikkingen en ministeriële regeling geven een juridische basis om risico’s die samenhangen met ongeautoriseerde toegang door derden beter te beheersen. Deze wettelijke instrumenten vormen samen met de bestaande bepalingen uit de Telecommunicatiewet de basis om de telecomsector voldoende weerbaar te maken tegen de actuele dreigingen en de basis voor het toezicht daarop door het agentschap.

Naar boven