Cruciaal Defensienetwerk NAFIN goed opgezet, maar beveiliging in de praktijk onvoldoende

Het Netherlands Armed Forces Integrated Network (NAFIN) laat vitale onderdelen van de rijksoverheid veilig en vertrouwelijk met elkaar communiceren en is technisch goed opgezet. De minister van Defensie heeft veel maatregelen genomen om de kwetsbaarheden van NAFIN zoveel mogelijk te beperken en de kans op uitval is relatief klein. Op papier is ook de beveiliging goed geregeld. Desondanks blijkt het in de praktijk mogelijk voor onbevoegden om fysiek toegang te krijgen tot beveiligde ruimtes en netwerkkasten. Dit leidt tot de conclusie dat Nederland in een zeer gespannen geopolitieke situatie militair gezien onvoldoende alert is op sabotagerisico's door statelijke actoren.

X

  • Door NAFIN kunnen Defensie, politie en andere onderdelen van de rijksoverheid veilig en vertrouwelijk met elkaar communiceren.
  • NAFIN wordt technisch goed ondersteund en onderhouden.
  • De kans op uitval is klein.
  • De fysieke beveiliging is in de praktijk onvoldoende.
  • De minister is voor onderhoud en integriteit van NAFIN deels afhankelijk van externe partijen (KPN, gebruikers, onderaannemers).
  • Er is geen uitgewerkte strategische visie op de toekomst van NAFIN.

Het NAFIN is een glasvezelnetwerk van het Ministerie van Defensie en KPN. Het maakt veilige communicatie tussen Defensieonderdelen mogelijk. Ook de politie, de meldkamers van noodnummer 112 én alle ministeries en Eerste en Tweede Kamer maken gebruik van het netwerk om onderling te communiceren. Het is daarmee van groot belang voor de nationale veiligheid. Er vinden de afgelopen jaren echter steeds meer sabotageacties plaats op kritieke Europese systemen. Daarom heeft de Algemene Rekenkamer onderzocht hoe de minister van Defensie het NAFIN beschermt.

Beveiliging op papier goed, in de praktijk onvoldoende

Het NAFIN is technisch gezien goed opgezet. Er is voldoende capaciteit en de kans op uitval is klein. Er is autorisatiebeheer voor digitale toegang tot het netwerk en er zijn toegangsprocedures voor fysieke toegang tot de netwerkruimtes. Maar in de praktijk heeft de Algemene Rekenkamer tijdens het onderzoek een aantal beveiligingsproblemen gevonden. 

Kwetsbaarheden in de beveiliging van het NAFIN

Schematische weergave van kwetsbaarheden in de beveiliging van het NAFIN. De volledige beschrijving staat in het bijschrift onder de afbeelding.
Dit figuur laat de kwetsbaarheden in het Netherlands Armed Forces Integrated Network zien. Dit glasvezelnetwerk van de krijgsmacht is beter bekend als NAFIN. In het figuur is te zien dat de netwerkkabels van NAFIN op 4 plaatsen worden beveiligd en dat de Algemene Rekenkamer op 3 plaatsen een kwetsbaarheid heeft vastgesteld. 1. Glasvezelkabels onder de grond, geen kwetsbaarheid vastgesteld 2. Bij de toegangscontrole voor de kazerne, kwetsbaarheid vastgesteld 3. Op een netwerkkast met router en alarm, kwetsbaarheid vastgesteld 4. Het IT Operations Center dat alle alarmen monitort, kwetsbaarheid vastgesteld
  • De belangrijkste locaties mogen alleen met de juiste autorisatie worden betreden. Het was, zo blijkt uit onze tests, toch mogelijk om zonder deze autorisatie toegang te krijgen tot deze ruimtes. En ook tot de netwerkkasten die daar staan. Dit is een terugkerend probleem bij de beveiliging van Defensie-objecten, zie hiervoor bijvoorbeeld de bevindingen in onze Verantwoordingsonderzoeken over Defensie uit 2022 en 2023.
  • De middelen die Defensie heeft om cyberaanvallen op het NAFIN te detecteren, werden in de praktijk niet optimaal benut.

Defensie afhankelijk van derden voor aanleg en onderhoud

Defensie is afhankelijk van KPN voor aanleg en aanpassingen aan de kabels van het netwerk. Om werk aan KPN uit te besteden moet Defensie staatsgeheime informatie met KPN delen. Zoals informatie over waar de NAFIN-kabels liggen of waar de netwerkruimtes precies staan. KPN besteedt de werkzaamheden aan het NAFIN uit aan onderaannemers, die het ook weer uitbesteden aan onderaannemers. Het zicht op wie er aan het NAFIN werkt en welke beveiligingsmaatregelen met deze partijen zijn afgesproken verdwijnt op deze manier. Zo kon het gebeuren dat een onderaannemer twee jaar lang werkte zonder geldige autorisatie. 
Defensie is daarnaast voor de beveiliging van het netwerk afhankelijk van hoe gebruikers het netwerk behandelen en beveiligen. De minister van Defensie stelt aansluitvoorwaarden en beveiligingseisen voor het NAFIN op, maar controleerde niet of gebruikers (bijvoorbeeld andere ministeries) zich hier aan houden.

Geen uitgewerkte strategie voor gebruik en toekomst NAFIN

In het verleden zijn veel keuzes rond de inzet van NAFIN op financiële of technische basis gemaakt en niet op strategische. Zo is het netwerk in 2001 bijna verkocht aan een commerciële partij. De minister van Defensie heeft verder niet uitgewerkt hoe groot het NAFIN eigenlijk mag worden, en wie er wel of geen gebruik van mogen maken. Het ministerie geeft aan dat overheidspartijen mogen worden aangesloten ‘zolang het Defensiebelang niet wordt geschaad’, maar dit is niet verder concreet gemaakt. Er is geen heldere visie op eventuele groei van het netwerk in de toekomst. En er is al lang geen nieuwe risicoanalyse voor NAFIN gemaakt, terwijl de onrust in de wereld flink is toegenomen. Daarnaast is het opvallend dat het NAFIN niet de formele status van ‘vitale infrastructuur’ heeft, terwijl een aantal voor ons land uiterst belangrijke processen er van afhankelijk zijn. 

Grote verstoring op 28 augustus 2024

Tijdens het onderzoek van de Algemene Rekenkamer heeft er een grote verstoring plaatsgevonden op het NAFIN. Op 28 augustus 2024 waren er grote problemen bij onder meer de communicatie met en tussen hulpdiensten in heel Nederland. Ook was er geen vliegverkeer mogelijk op Eindhoven Airport. De Algemene Rekenkamer heeft deze verstoring niet onderzocht. De staatssecretaris van Defensie heeft aangegeven dat de oorzaak bleek te liggen in een foute softwarecode, maar dat een definitieve analyse pas aan het einde van het jaar wordt opgeleverd. Dit incident illustreert hoe groot de maatschappelijke gevolgen kunnen zijn als het NAFIN uitvalt.