De kracht en kwetsbaarheid van het digitale krijgsmachtnetwerk NAFIN
Het Netherlands Armed Forces Integrated Network (NAFIN) laat vitale onderdelen van de Rijksoverheid veilig en vertrouwelijk met elkaar communiceren en is technisch goed opgezet. De minister van Defensie heeft veel maatregelen genomen om de kwetsbaarheden van NAFIN zoveel mogelijk te beperken en de kans op uitval is relatief klein. Op papier is ook de beveiliging goed geregeld. Desondanks blijkt het in de praktijk mogelijk voor onbevoegden om fysiek toegang te krijgen tot beveiligde ruimtes en netwerkkasten. Dit leidt tot de conclusie dat Nederland in een zeer gespannen geopolitieke situatie militair gezien onvoldoende alert is op sabotagerisico's door statelijke actoren.
Het NAFIN is een glasvezelnetwerk van het Ministerie van Defensie en KPN. Het maakt veilige communicatie tussen Defensieonderdelen mogelijk. Ook de politie, de meldkamers van noodnummer 112 én alle ministeries en Eerste en Tweede Kamer maken gebruik van het netwerk om onderling te communiceren. Het is daarmee van groot belang voor de nationale veiligheid. Er vinden de afgelopen jaren echter steeds meer sabotageacties plaats op kritieke Europese systemen. Daarom heeft de Algemene Rekenkamer onderzocht hoe de minister van Defensie het NAFIN beschermt.
Beveiliging op papier goed, in de praktijk onvoldoende
Het NAFIN is technisch gezien goed opgezet. Er is voldoende capaciteit en de kans op uitval is klein. Er is autorisatiebeheer voor digitale toegang tot het netwerk en er zijn toegangsprocedures voor fysieke toegang tot de netwerkruimtes. Maar in de praktijk heeft de Algemene Rekenkamer tijdens het onderzoek een aantal beveiligingsproblemen gevonden.
Kwetsbaarheden in de beveiliging van het NAFIN
- De belangrijkste locaties mogen alleen met de juiste autorisatie worden betreden. Het was, zo blijkt uit onze tests, toch mogelijk om zonder deze autorisatie toegang te krijgen tot deze ruimtes. En ook tot de netwerkkasten die daar staan. Dit is een terugkerend probleem bij de beveiliging van Defensie-objecten, zie hiervoor bijvoorbeeld de bevindingen in onze Verantwoordingsonderzoeken over Defensie uit 2022 en 2023.
- De middelen die Defensie heeft om cyberaanvallen op het NAFIN te detecteren, werden in de praktijk niet optimaal benut.
Defensie afhankelijk van derden voor aanleg en onderhoud
Defensie is afhankelijk van KPN voor aanleg en aanpassingen aan de kabels van het netwerk. Om werk aan KPN uit te besteden moet Defensie staatsgeheime informatie met KPN delen. Zoals informatie over waar de NAFIN-kabels liggen of waar de netwerkruimtes precies staan. KPN besteedt de werkzaamheden aan het NAFIN uit aan onderaannemers, die het ook weer uitbesteden aan onderaannemers. Het zicht op wie er aan het NAFIN werkt en welke beveiligingsmaatregelen met deze partijen zijn afgesproken verdwijnt op deze manier. Zo kon het gebeuren dat een onderaannemer twee jaar lang werkte zonder geldige autorisatie.
Defensie is daarnaast voor de beveiliging van het netwerk afhankelijk van hoe gebruikers het netwerk behandelen en beveiligen. De minister van Defensie stelt aansluitvoorwaarden en beveiligingseisen voor het NAFIN op, maar controleerde niet of gebruikers (bijvoorbeeld andere ministeries) zich hier aan houden.
Geen uitgewerkte strategie voor gebruik en toekomst NAFIN
In het verleden zijn veel keuzes rond de inzet van NAFIN op financiële of technische basis gemaakt en niet op strategische. Zo is het netwerk in 2001 bijna verkocht aan een commerciële partij. De minister van Defensie heeft verder niet uitgewerkt hoe groot het NAFIN eigenlijk mag worden, en wie er wel of geen gebruik van mogen maken. Het ministerie geeft aan dat overheidspartijen mogen worden aangesloten ‘zolang het Defensiebelang niet wordt geschaad’, maar dit is niet verder concreet gemaakt. Er is geen heldere visie op eventuele groei van het netwerk in de toekomst. En er is al lang geen nieuwe risicoanalyse voor NAFIN gemaakt, terwijl de onrust in de wereld flink is toegenomen. Daarnaast is het opvallend dat het NAFIN niet de formele status van ‘vitale infrastructuur’ heeft, terwijl een aantal voor ons land uiterst belangrijke processen er van afhankelijk zijn.
Grote verstoring op 28 augustus 2024
Tijdens het onderzoek van de Algemene Rekenkamer heeft er een grote verstoring plaatsgevonden op het NAFIN. Op 28 augustus 2024 waren er grote problemen bij onder meer de communicatie met en tussen hulpdiensten in heel Nederland. Ook was er geen vliegverkeer mogelijk op Eindhoven Airport. De Algemene Rekenkamer heeft deze verstoring niet onderzocht. De staatssecretaris van Defensie heeft aangegeven dat de oorzaak bleek te liggen in een foute softwarecode, maar dat een definitieve analyse pas aan het einde van het jaar wordt opgeleverd. Dit incident illustreert hoe groot de maatschappelijke gevolgen kunnen zijn als het NAFIN uitvalt.
Wat waren onze onderzoeksvragen?
- Wat zijn de doelen van het krijgsmachtnetwerk NAFIN en wie maken er gebruik van?
- Functioneert de publiek-private samenwerking voor cybersecurity van het krijgsmachtnetwerk NAFIN voldoende?
a. Is er een duidelijke verantwoordelijkheidsverdeling tussen de minister van Defensie en de private partijen?
b. Zijn de private partijen geautoriseerd om aan het netwerk te werken en is het toezicht hierop voldoende?
c. Welke afspraken zijn gemaakt met aansluitende publieke partijen over cyberveiligheid en is het toezicht hierop voldoende? - Zijn de detectiemaatregelen van het krijgsmachtnetwerk NAFIN voldoende doeltreffend (opzet en bestaan)?
- Zijn er heldere responsscenario’s bij incidenten op het krijgsmachtnetwerk NAFIN en zijn deze responsmaatregelen voldoende?
- Zijn de detectie- en responsmaatregelen bij mogelijke digitale en fysieke aanvallen op het krijgsmachtnetwerk NAFIN voldoende in de praktijk (werking)?
Heeft u feedback over dit onderzoek?
Wij heten alle feedback op onze onderzoeken van harte welkom. Wat vindt u van dit rapport? Heeft u er vragen over of heeft u behoefte aan nadere uitleg? Mail ons dan op feedback@rekenkamer.nl. We nemen alle e-mails in overweging en zullen ze met zorg behandelen.
Bijlagen
-
Cruciaal Defensienetwerk NAFIN goed opgezet, maar beveiliging in de praktijk onvoldoende
Het Netherlands Armed Forces Integrated Network (NAFIN) laat vitale onderdelen van de Rijksoverheid veilig en vertrouwelijk met ...
-
Reactie minister en staatssecretaris van Defensie op het rapport De kracht en kwetsbaarheid van het digitale krijgsmachtnetwerk NAFIN