Eergisteren maakte de ACM bekend dat zij in 2013 een boete van €364.000 heeft uitgedeeld aan KPN, voor het onvoldoende beveiligen van de persoonsgegevens van abonnees. In 2012 had een zeventienjarige jongen ingebroken in honderden KPN-servers. Dit vormde de aanleiding voor een onderzoek, waaruit bleek dat de beveiliging op diverse punten tekort was geschoten.
Interessant is ten eerste dat KPN het incident zelf aan de ACM had gemeld, terwijl de meldplicht die nu geldt voor telecomproviders (art 11.3a Tw) op dat moment nog niet in werking was. Een algemene meldplicht voor datalekken is overigens ook in aantocht, maar nog altijd niet in werking.
In het boetebesluit en de beslissing op bezwaar van de ACM is verder te lezen dat de beveiliging van KPN op de volgende onderdelen onvoldoende was:
• het opzetten en het handhaven van beveiligingsbeleid
• netwerkinrichting
• afscherming
• netwerk- en systeembewaking, en
• patchmanagement
KPN heeft geprobeerd zich met diverse argumenten te verdedigen. Ten eerste beweerde KPN dat zij snel heeft gereageerd na het incident om tekortkomingen op te lossen. De ACM ontkende dit niet, maar gaf aan dat dit niet betekent dat een boete niet op zijn plaats zou zijn voor de periode waarin de tekortkomingen wel speelden.
KPN argumenteerde verder dat de ACM zich bij het onderzoek naar de beveiliging teveel had laten leiden door het incident en de onderzoeksrapporten die naar aanleiding daarvan intern en door Fox-IT waren opgesteld. Als er eenmaal een hack heeft plaatsgevonden, zullen er met kennis achteraf immers bijna altijd wel zwakheden aan het licht komen die door de aanvaller zijn misbruikt. Achteraf zeggen dat de beveiliging vanwege dergelijke zwakheden dus niet passend was, zou te gemakkelijk zijn. Volgens KPN had de ACM meer algemeen moeten beschouwen wat voor maatregelen in de branche algemeen gebruikelijk zijn en tot de stand der techniek behoren en de beveiliging van KPN langs die meetlat moeten houden. De ACM heeft ook dit bezwaar van de hand gewezen en aangegeven dat zij heeft gekeken naar vakliteratuur en diverse in de branche gebruikelijk gehanteerde en gerespecteerde normen.
Uit de beslissing op bezwaar (randnr 90) blijkt wel dat de ACM een strenge maatstaf hanteert voor telecomproviders. Volgens de ACM behoren logmanagement (waaronder centrale logging), intrusion detection systems, intrusion prevention systems en monitoring tot de maatregelen die telecomproviders in elk geval moeten treffen. Ook moet een professionele organisatie bij het gebruik van software in elk geval een patch management proces hebben geïmplementeerd om te zorgen dat voor beveiliging relevante patches steeds tijdig worden opgemerkt en geïnstalleerd. Uiteraard moet dat beleid ook daadwerkelijk consistent worden toegepast, waar het volgens de ACM aan had geschort bij KPN.
Saillant detail is nog dat KPN had geargumenteerd dat de CISSP-norm te stellig, inflexibel en ‘Amerikaans’ zou zijn om één op één tot de stand der techniek te rekenen, althans tot de maatregelen die in het algemeen passend zouden zijn. De ACM pareerde onder andere met een citaat van de website van KPN Consulting, waarin CISSP wordt omschreven als ‘DE standaard om aan te tonen dat u beschikt over de noodzakelijke kennis op het vakgebied informatiebeveiliging’.
Het persbericht van de ACM vermeldt verder dat de Rechtbank Rotterdam op 8 januari 2015 het besluit van de ACM heeft bekrachtigd (helaas heb ik het vonnis niet kunnen vinden op Rechtspraak.nl) en dat KPN hoger beroep heeft ingesteld bij het CBb. Dat is de hoogste rechter voor dergelijke zaken en het zal de eerste keer zijn dat deze zich over de beveiligingsplicht voor telecomproviders uit zal spreken. Dat wordt dus een interessant vonnis.
