Laptop vergeten door KPN monteur

Hi Genetic. 

Eens. Wij hebben kennisgenomen van de berichtgeving rondom een vermiste laptop van een monteur van een leverancier. We nemen dit incident heel serieus en hebben dit gemeld bij de Autoriteit Persoonsgegevens. KPN heeft een helder securitybeleid voor het gebruik van apparatuur. Dit beleid geldt voor de eigen medewerkers en derde partijen waar wij mee samenwerken. We constateren in dit geval een schending van ons securitybeleid. Het is onze verantwoordelijkheid dat het KPN security beleid ook bij derde partijen gehandhaafd wordt.

Dit soort incidenten willen we natuurlijk voorkomen. Als een leverancier zich niet aan ons veiligheidsbeleid houden, zullen we maatregelen nemen. Wij gaan dit incident verder onderzoeken, trekken uiteraard lering en nemen maatregelen om de handhaving van ons securitybeleid aan te scherpen. Zo hebben we nu de toegang - via het internet - tot ons intranet via apparatuur die niet beheerd wordt door KPN afgesloten.

Het is ons beleid dat er geen vertrouwelijke informatie, waaronder klantgegevens, op ons intranet gedeeld wordt.

Als een kpn monteur een laptop bij mij laat staan zorg ik ervoor dat hij/zij dat ding terug krijgt zonder dat ik er in ga snuffelen. Iedereen kan een fout maken. Walgelijk om dan naar een krant te gaan. 

Hier bij het forum waren we ook uiterst verrast, we hebben ons ook achter de oren gekrabd over hoe en wat. Vooral omdat onze eigen monteurs dezelfde laptops gebruiken die wij ook gebruiken, en die zijn goed beveiligd. Een wachtwoord om überhaupt toegang te krijgen tot de laptop en daarnaast een aanmelding via VPN voordat toegang mogelijk is tot intranet. Het gaat in dit geval om een externe monteur van een derde partij, een partij die in dit geval niet ons security beleid heeft gevolgd.

Dit is overigens niet als excuus bedoeld, wel als extra uitleg. 

Op welk punt zouden we harder moeten reageren? Ik sta je graag te woord. 

En dan mis ik nog een heel belangrijke beveiliging en dat is het beschikbaarstellen van alleen die functies binnen het Intranet die voor het uitvoeren van  jouw functie benodigd zijn en waarvan in jouw functieprofiel is vastgelegd dst je ze mag benaderen.

Ook daar schort blijkbaar het één en ander aan als ik die berichtgeving lees.

En dat is KPN aan te rekenen, de procedures moeten dat namelijk afdwingen.

Er moeten technische blokkades opgelegd zijn opdat een partij (intern of extern) het security beleid niet kan omzeilen.

Volgens andere media heeft de klant wel contact opgenomen met de klantenservice van KPN, maar die konden er niks mee en toen heeft ie besloten om de laptop aan de krant te geven.

Hoewel KPN nu maatregelen heeft genomen, het kwaad kan allang meermaals geschied zijn in een soortgelijk geval wat niet de krant heeft gehaald.

Een crimineel/inbreker kan doelgericht ongemerkt even gebruik maken van een laptop van een medewerker met functie monteur. Niemand die het zal opmerken, tenzij de medewerker toevallig in logbestanden/browserhistory kijkt en dan denkt: He, toen had ik toch een dagje vrij / koffiepauze?

Ik maak me persoonlijk nog niet eens zo druk over die monteur, maar als het zo is dat eigen medewerkers en externe partijen in het algemeen toegang hadden (hebben) tot al die informatie op het Intranet van KPN dan hebben we hier te maken met een security breach waar je u tegen zegt. 

Bron.