Cyberveiligheid grenstoezicht op Schiphol onvoldoende

De cyberveiligheid van het grenstoezicht door de Koninklijke Marechaussee op Schiphol is onvoldoende en niet toekomstbestendig. Dat blijkt uit onderzoek van de Algemene Rekenkamer. Beveiligingstesten op de IT-systemen vinden niet of nauwelijks plaats. De software van twee IT-systemen is zonder de vereiste goedkeuring operationeel. En IT-systemen zijn niet aangesloten op de detectiecapaciteit van Defensie en Schiphol.

Maatregelen voor beveiliging IT-systemen grenstoezicht nauwelijks genomen

Afbeelding nieuwsbericht Cybersecurity

Schiphol is met bijna 80 miljoen passagiers per jaar niet alleen de belangrijkste luchthaven van Nederland maar ook een belangrijke toegangspoort tot de Europese Unie. De Koninklijke Marechaussee controleert reizigers op Schiphol aan de paspoortbalie en via elektronische self-servicepoortjes. Ook worden reizigers van buiten het Schengengebied met pre-assessment voor aankomst gescreend. Deze drie vormen van grenstoezicht hebben hun eigen IT-systemen.

De cyberveiligheid van deze systemen is van cruciaal belang om digitale sabotage, spionage en criminaliteit tegen te gaan. Als de IT van het grenstoezicht door een digitale aanval onbruikbaar wordt, kan de KMar het grenstoezicht niet of nauwelijks uitvoeren. Het mogelijke gevolg: lange wachtrijen, vertraging en annulering van vluchten. Een ander risico is dat buitenlandse veiligheidsdiensten cyberspionage inzetten om de gegevens van (specifieke) reizigers in te zien. En cyberaanvallen kunnen ingezet worden om informatie te manipuleren, zodat gezochte personen makkelijker de grens kunnen passeren.

Goedkeuring voor twee IT-systemen grenstoezicht ontbreekt

In het defensiebeveiligingsbeleid staat beschreven aan welke beveiligingsmaatregelen alle IT-systemen van het grenstoezicht moeten voldoen. IT-systemen mogen pas in gebruik worden genomen als deze maatregelen zijn genomen. Maar van twee van de drie IT-systemen van het grenstoezicht is niet vastgesteld dat ze afdoende beveiligd zijn tegen cyberaanvallen. Het systeem voor de paspoortbalie en de selfservice hebben de goedkeuringsprocedure van het Ministerie van Defensie om dit vast te stellen niet geheel doorlopen.

Onvoldoende beveiligingstesten op IT-systemen grenstoezicht

Het defensiebeveiligingsbeleid schrijft ook jaarlijkse beveiligingstesten voor. Maar in de praktijk zijn er weinig tot geen beveiligingstesten uitgevoerd op de drie IT-systemen van het grenstoezicht. Op de systemen van pre-assessment en de paspoortbalie zijn ze zelfs nog nooit uitgevoerd. De beveiligingstest op het selfservicesysteem is wel uitgevoerd maar was beperkter dan gepland en de aanbevelingen na de test zijn slechts gedeeltelijk opgevolgd. Hierdoor kunnen onbekende kwetsbaarheden in de systemen blijven bestaan die misbruikt kunnen worden voor cyberaanvallen.

Insider threat: een reëel risico

De Algemene Rekenkamer heeft, omdat dit door het Ministerie van Defensie nog nooit gedaan was, voor dit onderzoek een beveiligingstest geïnitieerd op het IT-systeem van pre-assessment. Uitgangspunt vormde de insider threat: een cyberaanval via een Defensie-medewerker die toegang heeft tot het netwerk van het ministerie, maar niet geautoriseerd is voor het systeem voor pre-assessment. Dit is een reëel risico; er hebben immers 60.000 defensiemedewerkers toegang tot het netwerk.

Uit de test kwamen 11 kwetsbaarheden naar voren. Zo werd een standaard wachtwoord gebruikt dat via Google te vinden was in de gebruikershandleiding. Ook bleek het mogelijk om bijvoorbeeld een e-mail uit naam van de Commandant der Strijdkrachten te versturen. Als een afzender er betrouwbaar uitziet, zijn ontvangers ermee te verleiden om op malafide hyperlinks of malware te klikken.

Uit de test bleek ook dat verschillende kwetsbaarheden bij één cyberaanval gecombineerd konden worden. Met een geavanceerde aanval zou het voor ongeautoriseerden mogelijk zijn om het systeem van pre-assessment zo te manipuleren dat het lijkt dat een passagier niet op een opsporingslijst staat terwijl dit wel het geval is. Defensie heeft de kwetsbaarheden inmiddels opgelost zodat deze aanval nu onmogelijk is.

Systemen grenstoezicht niet aangesloten op Security Operations Centers

Bij een cyberaanval bestaat het risico dat deze niet of te laat wordt opgemerkt. De IT-systemen zijn namelijk niet aangesloten op de twee Security Operations Centers van het Ministerie van Defensie en Schiphol. Daardoor is slechts een deel van de cyberaanvallen direct waar te nemen. De Algemene Rekenkamer noemt het zorgwekkend dat uitgerekend het systeem voor pre-assessment niet is aangesloten op de detectiecapaciteit van Defensie. Het ministerie heeft dit systeem namelijk zelf aangemerkt als een kritiek systeem.

Aanbevelingen

Het grenstoezicht zal de komende jaren verder digitaliseren. De complexiteit en de afhankelijkheid van IT groeit. Met deze toekomst in gedachte is het zaak om nu een afdoende niveau van cybersecurity te waarborgen. De benodigde kennis en kunde is aanwezig binnen het Ministerie van Defensie. De aanbevelingen die in het rapport staan komen dan ook vooral neer op daadwerkelijk doen wat al mogelijk is. Het is volgens de Algemene Rekenkamer onbegrijpelijk dat dit tot op heden nog niet is gebeurd.

Dit onderzoek is medio 2019 begonnen. Het beschrijft de situatie vóór de komst van corona naar Nederland. Toen in Nederland de maatregelen tegen het coronavirus van kracht werden en het kabinet alle aandacht moest richten op crisisbeheersing, viel dat samen met het moment waarop wij onze bevindingen voorlegden aan de verantwoordelijke ministers. Daarbij gaat het om conclusies over feiten die in 2019 plaatsvonden. Die conclusies veranderen niet vanwege de ernstige ontwikkelingen in 2020. Onder deze moeilijke omstandigheden waren de betrokken ministers desondanks in de gelegenheid te reageren op de conclusies en aanbevelingen van de Algemene Rekenkamer. Dit illustreert dat ons democratisch systeem, waarvan de onafhankelijke controle van de Algemene Rekenkamer deel uitmaakt, blijft functioneren. Zelfs onder de uitzonderlijke omstandigheden van het voorjaar van 2020.