Telecomdiensten zijn niet veilig genoeg, daar heb ik al het nodige over geschreven. Problemen zijn er onder meer met simswapping, onvoldoende verificatie identiteit klanten, onveilig sms-protocol, en dat te makkelijk is te fingeren wie er belt (telefonische spoofing). In oktober vorig jaar schreef ik dat er eindelijk iets lijkt te gebeuren [*].

Consultaties
Recent zijn een aantal internetconsultaties van start gegeven, die tot doel lijken te hebben dat de veiligheid van telecomdiensten wordt verbeterd. Het betreft:

1. Wetsvoorstel aanpassingen nummerbeleid, consultatie tot 9 september a.s. De voorgestelde wijzigingen moeten gaan helpen om spoofing en phishing tegen te gaan.
2. Wijziging van het Nummerplan voor telefoon- en ISDN-diensten in verband met doorschakeldiensten, consultatie tot 2 september a.s. Dit ontwerpbesluit heeft samenhang met het hierna onder 3. genoemde voorstel tot wijziging van de Regeling universele dienstverlening en eindgebruikersbelangen. Doel is onder meer het verbeteren van de bescherming van gebruikers van doorschakeldiensten.
3. Wijziging van de Regeling universele dienstverlening en eindgebruikersbelangen in verband met doorschakeldiensten en enkele andere wijzigingen, consultatie tot 2 september a.s. Doel van de wijziging is het borgen van een bepaald kwaliteitsniveau van abonnee-informatiediensten uit de 18-reeks en informatie die aanbieders van deze diensten moeten verstrekken, ter voorkoming van misleidingspraktijken.

Aanverwant is de dienstverlening door DNS-dienstverleners, tot 26 augustus a.s. loopt een consultatie Regeling aanvullende aanwijzing van DNS-dienstverleners als aanbieders van essentiële diensten, die strekt tot een ruimere aanwijzing van Domain Name System (DNS)-dienstverleners als aanbieders van een essentiële diensten. Daardoor gaat voor meer aanbieders de Wet beveiliging netwerk- en informatiesystemen (Wbni) gelden.

Brief over integrale aanpak online fraude
De Minister van Veiligheid stuurde samen met enige andere bewindspersonen een brief aan de Tweede Kamer over integrale aanpak online fraude, waarin telco’s een prominente rol spelen. Zo wordt melding gemaakt van phishing en spoofing. Over telco’s schrijft men:

Technische barrières telecomsector. Telecomaanbieders hebben maatregelen getroffen om smishing (SMS-phishing) met alphanumerieke en numerieke nummers tegen te gaan, en hebben in samenwerking met banken maatregelen getroffen om spoofing van telefoonnummers van banken tegen te gaan. Voorts worden in samenwerking met politie en op verzoek van de Autoriteit Consument en Markt vaste telefoonnummers die worden gebruikt voor helpdeskfraude (techsupport-scams) geblokkeerd. (…)

Technische barrières telecomsector. Telecomaanbieders werken aan aanvullende maatregelen om misbruik van telefoonnummers bij online fraude tegen te gaan.

Aanscherping spoofingverbod: Het door de minister van Economische Zaken en Klimaat aangekondigde wetsvoorstel tot aanpassing van de Telecommunicatiewet – met aanscherping van het spoofingverbod, een beperking van het gebruik van Nederlandse nummers vanuit het buitenland en flankerende maatregelen – gaat voor de zomer in consultatie. Met lagere regelgeving zullen een aantal onderdelen van de wet nader moeten worden ingevuld. (…)

Optimalisatie van informatie-uitwisseling telecomsector. Telecomaanbieders onderzoeken hoe zij binnen de bestaande regelgeving informatie beter kunnen uitwisselen om online fraude tegen te gaan.

Kennisoverdracht Politie en telecomsector. Tijdens het ondernemersdiner van 16 mei jl. hebben verschillende partners uit de telecomsector de intentie uitgesproken om kennis en expertise uit te wisselen met de politie o.a. door het opleiden van politiemensen. Politie verkent op welke wijze dit bestaande samenwerking en kennis- en expertiseopbouw kan aanvullen.

Onbegrijpelijk is dat niet aan de orde komt dat e-mail en sms onveilig zijn en niet geschikt voor vertrouwelijke communicatie. Het is nodig dat aanbieders van essentiële diensten (zoals banken) geen gebruik meer maken van e-mail voor communicatiedoeleinden.

Misschien dat dit thema in de systeemdoorlichting door TNO aan bod zal komen, waarover in de brief wordt gesproken.

[*] Zie de Regeling veiligheid en integriteit telecommunicatie. Voorts zijn relevant: Besluit veiligheid en integriteit telecommunicatie, Besluit beveiliging en continuïteit openbare elektronische communicatienetwerken en -diensten en Besluit beveiliging gegevens telecommunicatie. Deze regelgeving is gebaseerd op de Telecommunicatiewet.

Aanvulling 27 april 2024
# AT&T bevestigt dat het toch privédata van 73 miljoen klanten heeft gelekt
# Rel over onjuistheid van telefoongegevens die telco O2 aan de politie heeft verstrekt: Police forces check intelligence and criminal databases after errors discovered in O2 phone data: “Communications data – which includes details of the owner of a mobile phone, their location history, and details of when phone calls and messages were exchanged and who with – is used by investigators to track people’s locations and to build up lists of their contacts and associates“. En: “The case highlights a wider problem, which is that since 2000, following changes to the Police and Criminal Evidence Act 1984, courts presume that computer evidence is reliable unless there is evidence to show otherwise.”

Aanvulling 29 april 2024
Security.nl: FBI: cybercriminelen laten telefoonnummer slachtoffers doorschakelen.