De cyberveiligheid en grenstoezicht op Schiphol zijn onvoldoende. Dat stelt de Algemene Rekenkamer in een rapport.
Het ging om een test met een insider threat. De test was een gefingeerde cyberaanval via een Defensiemedewerker. Deze medewerker had toegang tot het netwerk van het ministerie, maar was niet geautoriseerd voor het systeem. Dit is een reëel risico, want minstens 60.000 defensiemedewerkers hebben toegang tot het netwerk.
11 kwetsbaarheden
Uit de test kwamen 11 kwetsbaarheden naar voren. Zo werd het standaard wachtwoord gebruikt, gewoon te vinden via Google in de gebruikershandleiding. Ook bleek het mogelijk om bijvoorbeeld een e-mail uit naam van de Commandant der Strijdkrachten te versturen. Als een afzender er betrouwbaar uitziet, kun je ontvangers makkelijker verleiden op malafide hyperlinks of malware te klikken.
Uit de test bleek ook dat verschillende kwetsbaarheden bij een cyberaanval gecombineerd konden worden. Met een geavanceerde aanval zou het voor ongeautoriseerden mogelijk zijn om het systeem zo te manipuleren dat het lijkt dat een passagier niet op een opsporingslijst staat terwijl dit wel het geval is. Defensie heeft de kwetsbaarheden wel meteen opgelost.
Security Operations Centers
Bij een cyberaanval bestaat het risico dat deze niet of te laat wordt opgemerkt. De IT-systemen van de luchthaven zijn namelijk niet aangesloten op de twee Security Operations Centers van het Ministerie van Defensie en Schiphol. Daardoor is slechts een deel van de cyberaanvallen direct waar te nemen.
De Algemene Rekenkamer noemt het zorgwekkend dat uitgerekend het systeem voor pre-assessment niet is aangesloten op de detectiecapaciteit van Defensie. Het ministerie heeft dit systeem namelijk zelf aangemerkt als een kritiek systeem.
Aanbevelingen
Het grenstoezicht zal de komende jaren verder digitaliseren. De complexiteit en de afhankelijkheid van IT groeit. Met deze toekomst in gedachte is het zaak om nu een afdoende niveau van cybersecurity te waarborgen. De benodigde kennis en kunde is aanwezig binnen het Ministerie van Defensie. De aanbevelingen die in het rapport staan komen dan ook vooral neer op daadwerkelijk doen wat al mogelijk is. Het is volgens de Algemene Rekenkamer onbegrijpelijk dat dit tot op heden nog niet is gebeurd.
Schiphol is met bijna 80 miljoen passagiers per jaar niet alleen de belangrijkste luchthaven van Nederland maar ook een belangrijke toegangspoort tot de Europese Unie. De Koninklijke Marechaussee controleert reizigers op Schiphol aan de paspoortbalie en via elektronische self-servicepoortjes. Ook worden reizigers van buiten het Schengengebied met pre-assessment voor aankomst gescreend. Deze drie vormen van grenstoezicht hebben hun eigen IT-systemen.
De cyberveiligheid van deze systemen is van cruciaal belang om digitale sabotage, spionage en criminaliteit tegen te gaan. Als de IT van het grenstoezicht door een digitale aanval onbruikbaar wordt, kan de KMar het grenstoezicht niet of nauwelijks uitvoeren. Het mogelijke gevolg: lange wachtrijen, vertraging en annulering van vluchten. Een ander risico is dat buitenlandse veiligheidsdiensten cyberspionage inzetten om de gegevens van (specifieke) reizigers in te zien. En cyberaanvallen kunnen ingezet worden om informatie te manipuleren, zodat gezochte personen makkelijker de grens kunnen passeren.
Goedkeuring ontbreekt
In het defensiebeveiligingsbeleid staat beschreven aan welke beveiligingsmaatregelen alle IT-systemen van het grenstoezicht moeten voldoen. IT-systemen mogen pas in gebruik komen als deze maatregelen zijn genomen.
Maar van twee van de drie IT-systemen van het grenstoezicht is niet vastgesteld dat ze afdoende beveiligd zijn tegen cyberaanvallen. Het systeem voor de paspoortbalie en de selfservice hebben de goedkeuringsprocedure van het Ministerie van Defensie niet geheel doorlopen.
Het defensiebeveiligingsbeleid schrijft ook jaarlijkse beveiligingstesten voor. Maar in de praktijk zijn er weinig tot geen beveiligingstesten uitgevoerd op de drie IT-systemen van het grenstoezicht. Op de systemen van pre-assessment en de paspoortbalie zijn ze zelfs nog nooit uitgevoerd.
De beveiligingstest op het selfservicesysteem is wel uitgevoerd maar was beperkter dan gepland. Bovendien zijn de aanbevelingen na de test slechts gedeeltelijk opgevolgd. Hierdoor kunnen onbekende kwetsbaarheden in de systemen blijven bestaan.
Algoritmes
In februari begon de Algemene Rekenkamer ook met een kritisch onderzoek naar gebruik van algoritmes door de rijksoverheid. Naast in kaart brengen gaat de Rekenkamer ook toetsen. Dit is het eerste onderzoek naar algoritmes waarin het maatschappelijke effect centraal staat.
