Cyberveiligheid

Als een KPN-monteur zijn laptop vergeet, ligt de vertrouwelijke informatie voor het oprapen

Beeld Maus Bullhorst

KPN heeft de beveiliging niet op ­orde, blijkt uit onderzoek van Trouw nadat een monteur zijn laptop had vergeten bij een klant en nooit meer ophaalde. 

De laptop gaf met enkele muiskliks toegang tot gevoelige ­documenten van het Nederlandse ­telecombedrijf. De informatie betreft onder meer zakelijke klanten, de overheid, het Amerikaanse leger en de Navo.

Bedrijfsonderdeel KPN Security waarschuwt dat een kwart van de ­bedrijven weleens een apparaat kwijtraakt. Voorzorgsmaatregelen zijn dus van groot belang. Maar aan de laptop te zien gaat het ook bij KPN niet altijd goed. Zo had het beginscherm geen wachtwoord: inloggen was niet nodig. Verder waren allerlei bedrijfswebsites bewaard in de internetbrowser, inclusief gebruikersnaam en wachtwoord.

Om de beveiliging te testen opende Trouw het intranet TeamKPN. Een beveiligde verbinding of het ­invullen van een extra code (tweestaps-verificatie) was niet nodig. Dit gebrek aan extra beveiliging is riskant, want op TeamKPN liggen de documenten voor het oprapen. Zoals organisatieschema’s met verwijzingen naar de AIVD, Defensie en het Koninklijk Huis. Deze zijn als vertrouwelijk gemarkeerd.

Luchtmachtbasis Volkel

KPN verzorgt communicatiediensten die van groot belang zijn voor het functioneren van de maatschappij, zoals voor financiële bedrijven, de gezondheidssector, energievoorzieningen en overheidsdiensten. Dit wordt de vitale infrastructuur genoemd. Het is niet de bedoeling dat details hiervan naar buiten komen. Maar in een bestand op TeamKPN staan maar liefst 16.000 zakelijke en publieke klanten opgesomd. Van luchthavens tot legeronderdelen, van banken tot bouwbedrijven, van ministeries tot medische centra.

Een voorbeeld is de cryptische vermelding ‘Comm 703 Munss Volkel’.  Dit lijkt een verwijzing naar het Amerikaanse luchtmachtonderdeel 703rd Munitions Support Squadron. Deze vliegers zijn gevestigd op de Nederlandse luchtbasis Volkel, waar nucleaire wapens zouden liggen.

Bij die duizenden dossiers staan ook de KPN-accountmanagers vermeld. Hun pasfoto’s, e-mailadressen, 06-nummers en leidinggevenden zijn eenvoudig te vinden op het intranet. Voor kwaadwillenden is het waardevolle informatie. Met zulke bedrijfsgegevens kan een hacker zich voordoen als collega, voor zogenoemde CEO-fraude. Of hij kan werknemers met een phishingmail naar een nagemaakte website leiden en inloggegevens afvangen.

Opvallend is verder dat 13.000 KPN-medewerkers toegang hebben tot dit intranet. Ook partners van het Chinese techbedrijf Huawei en uitzendkrachten kunnen er rondkijken.

Monteurs via derde partijen

Trouw heeft de KPN-monteur zijn laptop teruggegeven. Omdat hij het apparaat niet dagelijks gebruikte, wist hij niet waar hij het was kwijtgeraakt. Hij kon de laptop dus niet ophalen. Hij werkte via een uitzendconstructie, wat niet ongebruikelijk is bij KPN, en heeft de vermissing gemeld. De klant had de klantenservice van KPN gebeld over de achtergelaten laptop, maar kwam daar niet verder. Hij gaf de laptop aan Trouw uit bezorgdheid over het gebrek aan beveiliging bij KPN.

In een reactie zegt KPN niet te kunnen achterhalen om welke laptop het gaat. Vanwege de vragen die Trouw heeft gesteld, heeft KPN de zaak gemeld bij de Autoriteit Persoonsgegevens. KPN zegt een ‘betrouwbaar en solide security-beleid’ te hebben voor het gebruik van apparatuur voor de eigen medewerkers, onder wie monteurs. “Dit beleid wordt per kwartaal geactualiseerd volgens de meest recente ontwikkelingen en eisen.”

KPN werkt ook met monteurs via derde partijen. Daarbij gelden vergelijkbare veiligheidseisen, zegt het bedrijf. Een verschil is er wel: “Partners van KPN leveren zelf apparatuur en dragen zelf zorg voor het voldoen aan de overeengekomen security-­eisen. Wij zullen naar aanleiding van deze kwestie kijken naar de gemaakte afspraken en de naleving hiervan”.

‘Zorgwekkend’, noemt Els de Busser de voorgelegde bevindingen. Als universitair docent Cyber Security Governance is ze verbonden aan het Institute of Security and Global Affairs aan de Universiteit Leiden. “Je mag verwachten dat de beveiliging van apparaten en de afscherming van gevoelige informatie op intranet in goede handen is bij KPN. Zorg voor stevige sloten op de deur en leg niet de juwelen in het zicht.”

De bevindingen

• KPN-monteur vergeet zijn laptop bij een klant. Hij weet niet precies waar of wanneer en haalt het apparaat niet meer op.
• De laptop heeft geen beginscherm-wachtwoord. Op de laptop staat het verouderde Windows 7. Het wachtwoord is verwijderd voor de vermissing. Dat blijkt onder meer uit Windows-systeembestanden.
• De adressen van interne websites van KPN staan inclusief inlognamen en wachtwoorden opgeslagen in de browser Google Chrome. Zoals van het klantmanagementsysteem OmniCRM en het bedrijfsintranet Team KPN.
• Geruime tijd na de vermissing van de laptop werkt het wachtwoord voor het intranet nog. 
• Bij het inloggen op het intranet is geen veilige verbinding nodig. Ook vraagt de site niet om tweestapsverificatie: daarbij moet de gebruiker een extra ­code invullen die bijvoorbeeld via e-mail of sms wordt verstuurd.
• Duizenden werknemers en ­medewerkers van KPN hebben toegang tot dit intranet. Hierop staat gevoelige en vertrouwelijke bedrijfsinformatie. Ook een uitzendkracht kan hierbij.
• De contactgegevens van duizenden werknemers en medewerkers zijn eenvoudig te raadplegen. De pagina’s van het intranet zijn door een cyberaanvaller eenvoudig te kopiëren.
• Het is mogelijk voor intranet-­gebruikers om bestanden te uploaden. Zo kan een aanvaller corrupte bestanden proberen te delen.
• Het Google-account van de monteur synchroniseert wachtwoorden. Als de monteur zijn KPN-wachtwoord vernieuwt, kan de verdwenen laptop het nieuwe wachtwoord binnenhalen. Zo kan de oude laptop toegang houden tot het KPN-systeem.

KPN: Vertrouwelijke informatie op intranet is niet te voorkomen

TeamKPN is het online platform voor alle 13.000 medewerkers van KPN. Het telecombedrijf noemt dit intranet in een reactie ‘het hart van de ­organisatie’, waar medewerkers op de hoogte blijven van KPN-nieuws en met elkaar communiceren. “Bijzonder is dat zo’n beetje alle medewerkers actief zijn op TeamKPN”, zegt een woordvoerder. Van callcentermedewerkers tot de hoogste baas, CEO Joost Farwerck.

Nadat een monteur zijn laptop vergeten had bij een klant, bleek uit onderzoek van Trouw dat kwaadwillenden veel informatie op TeamKPN zouden kunnen vinden. Gebruikers hebben alleen een inlognaam en een wachtwoord nodig en op de laptop werden deze bewaard in de internetbrowser.

KPN zegt dat zo’n sociaal intranet pas succesvol is ‘als iedereen die voor KPN werkt, toegang heeft: altijd en overal’. Het bedrijf wil open en transparant communiceren. De website is ook beschikbaar voor samenwerkingspartners van KPN, zegt de woordvoerder.

Waarom wordt als vertrouwelijk gemarkeerde informatie op TeamKPN niet afgeschermd voor werknemers die deze informatie niet nodig hebben, zoals uitzendkrachten of Huawei-partners?

“Alle informatie op TeamKPN die beschikbaar is voor grote groepen, is voor intern gebruik. Vertrouwelijke en geheime informatie dient uiteraard te worden afgeschermd. Strikt vertrouwelijke documenten worden in de basis dan ook niet op TeamKPN gepubliceerd, maar ­gedeeld via e-mail op specifieke ­servers of bewaard in afgeschermde omgevingen.

“Aangezien TeamKPN een sociaal medium is, kunnen we nooit helemaal voorkomen dat vertrouwelijk geclassificeerde informatie onbedoeld op TeamKPN verschijnt. Indien gedetecteerd, wordt actie ondernomen om deze informatie naar een ­afgeschermde omgeving te verplaatsen.”

Voor phishingmails of CEO-fraude verzamelen hackers contactgegevens van werknemers. Waarom zijn alle persoonsgegevens, functies en gezagsverhoudingen op Team KPN zo gemakkelijk te vinden? Ziet KPN dit als een risico?

“Een sociaal platform zoals TeamKPN bevordert het eenheidsgevoel, maar het platform is ook nodig om als organisatie effectief te kunnen samenwerken. Daarom kunnen medewerkers binnen TeamKPN de contactgegevens van hun collega’s zien, net als de functies en de gezagsverhoudingen. Dat is overigens ­gebruikelijk bij alle grotere werkgevers in Nederland.

“KPN-medewerkers, intern en ­extern, worden periodiek getraind op het herkennen van sociale cyberaanvallen, zoals phishingmails. Ook verzorgen onze eigen hackers phishingcampagnes om het veiligheidsbewustzijn van medewerkers te verhogen. En we doen bijzondere trainingen voor specifieke doelgroepen: zo zijn de secretaresses van het senior management getraind in het herkennen van CEO-fraude.”

De verantwoording

Trouw heeft gesproken met de KPN-monteur die de laptop heeft verloren. Hij bevestigt dat hij zijn laptop bij een klant heeft laten liggen. Omdat hij de laptop niet dagelijks gebruikt, merkte hij de vermissing pas later op. Hij weet daardoor niet waar of wanneer hij de laptop precies is kwijtgeraakt. Hij heeft de vermissing gemeld bij het uitzendbureau dat hem voor KPN inhuurde. De laptop kwam van een verhuurbedrijf.

De klant zegt dat hij de klantenservice van KPN heeft ­gebeld om te melden dat de monteur zijn laptop had vergeten. Toen de monteur niet van zich liet horen, heeft hij de laptop uiteindelijk aan de krant overgedragen. Dit om te wijzen op de slordigheid en het gebrek aan beveiliging van KPN. De namen van de klant en de monteur zijn bekend bij de hoofdredactie. Vanwege hun privacy worden zij niet bij naam genoemd. De laptop is nu weer bij de monteur.

Lees ook:

Cyberveiligheid is kostbaar mensenwerk

Bedrijven zijn voor digitale veiligheid verplicht om voorzorgsmaatregelen te nemen. KPN schoot daarin tekort. ‘Beperk de risico’s van dataverlies.’

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden