Aftapvoorziening Vodafone niet voldoende beveiligd: boete van € 2,25 miljoen voor Vodafone
De Rijksinspectie Digitale Infrastructuur (RDI) heeft onderzoek gedaan naar de veiligheid van het aftapsysteem van Vodafone. Hieruit blijkt dat de beveiliging op meerdere onderdelen niet aan de wettelijke eisen voldeed. De RDI legt Vodafone daarom een boete op van in totaal € 2,25 miljoen.
Aftapsysteem
Een aftapsysteem bevat informatie over personen of organisaties die ‘getapt’ worden. Daarvan is sprake als communicatie van personen of organisaties wordt onderschept. Voorbeelden daarvan zijn het meeluisteren met telefoongesprekken of het lezen van berichten die via sms, chat of e-mail worden verstuurd. Dat gebeurt alleen onder strikte voorwaarden en alleen op last van de Officier van Justitie, AIVD of MIVD.
Een aftapsysteem kan staatsgeheime of strafrechtelijke informatie bevatten. Daarom worden er strenge eisen gesteld aan de beveiliging. Dat geldt zowel voor de fysieke ruimte waarin het systeem staat als voor de toegang tot de geautomatiseerde systemen. Daarnaast moeten er ook noodzakelijke organisatorische maatregelen getroffen worden om te voorkomen dat de informatie in het aftapsysteem bij onbevoegden terecht komt.
Resultaten
Uit het onderzoek van de RDI blijkt dat de beveiliging van het aftapsysteem van Vodafone op meerdere onderdelen tekortschoot.
Allereerst bleek het beveiligingsplan van Vodafone niet aan de eisen te voldoen. Een beveiligingsplan is wettelijk verplicht en moet aangeven welke maatregelen worden genomen om het aftapsysteem te beveiligen.
Het onderzoek liet ook zien dat het personeel dat toegang had tot het aftapsysteem niet goed was gescreend. Bij een groot deel van hen ontbrak een adequate functieomschrijving, een ondertekende geheimhoudingsverklaring en een Verklaring Omtrent het Gedrag.
De logische en fysieke beveiliging van het systeem zelf bleek ook niet in orde. Dat maakte het kwetsbaar voor ongeautoriseerde toegang.
Er is niet gebleken dat er daadwerkelijk ongeautoriseerd kennis is genomen van aftapgegevens.
Overtredingen opgelost
Vodafone heeft naar aanleiding van de vastgestelde tekortkomingen actie ondernomen om de beveiliging op orde te krijgen. De risico’s van ongeoorloofde toegang tot aftapgegevens zijn inmiddels weggenomen.
De RDI
De RDI staat voor de beschikbaarheid en betrouwbaarheid van de digitale infrastructuur, zodat Nederland veilig verbonden is.