Huawei kopieerde klantgegevens van KPN-dochter Telfort

Het interne onderzoek van KPN dateert al van 2011, blijkt uit een rapportage van De Volkskrant. Destijds kwamen daar verontrustende signalen uit, maar die vormden voor KPN geen aanleiding tot nader onderzoek. Ook is geen melding gedaan bij de Autoriteit Persoonsgegevens omdat dat toen nog niet verplicht was. KPN wil nu geen toelichting geven op de berichtgeving in de media behalve dat er destijds geen enkele aanleiding was om te veronderstellen dat er klantgegevens waren ontvreemd.

KPN is pas verder gaan zoeken nadat de inlichtingendienst AIVD verschillende keren het telecombedrijf had gewaarschuwd voor mogelijke spionageactiviteiten. Pas in 2019 is door specialisten van de AIVD en KPN een verborgen toegangspad naar de klantgegevens gevonden dat exclusief beschikbaar was voor werknemers van Huawei.

Na zorgen geen verder onderzoek

Telfort was in 2004 het eerste Europese bedrijf dat zaken deed met Huawei, onder meer voor de aanleg van het 3G-netwerk. Een jaar later neemt KPN het telecombedrijf over waarna ook KPN voor het eigen netwerk apparatuur van Huawei gaat betrekken. In 2010 mag Huawei samen met HP een nieuw facturatiesysteem bouwen voor Telfort. HP had daarin de rol van service integrator.

Uit de controle die KPN daarop uitvoerde, bleek dat er vraagtekens waren bij de manier waarop de zaak werd ingericht. Zo ontdekte HP dat Huawei toegang had tot de database met klantgegevens zonder dat er loggegevens werden bijgehouden. Ondanks dat HP verschillende malen heeft gevraagd die toegang af te sluiten, werd daar geen gehoor aan gegeven. Door KPN werd dit wel gezien als een risico voor de veiligheid van het systeem. De KPN-woordvoerder zegt nu dat er een groot aantal bevindingen uit het onderzoek kwamen op een aantal onderwerpen. Veel daarvan waren gericht op HP als hoofdaannemer, waarbij alle verbetermaatregelen in de jaren daarna zijn toegepast. Het bewuste klantsysteem is overigens inmiddels vervangen.

Werkwijze Huawei

Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit in Nijmegen en tevens lid van de Cyber Security Raad wijst er in De Volkskrant op dat de gang van zaken een aanwijzing is hoe Huawei werkt. Bij de levering van systemen geeft het bedrijf zichzelf vergaande bevoegdheden.

Zijn collega van de TU Delft - Michel van Eeten - vindt dat alle basismaatregelen onvoldoende waren op een manier die nu als "schokkend" worden ervaren. Maar hij voegt ook toe dat de situatie rond risicobeleving tien jaar geleden wel anders was dan nu. Vorig jaar besloot de Nederlandse overheid dat Huawei geen apparatuur of software mag leveren voor de gevoelige delen van de nieuwe 5G-netwerken.