Dit meldt de Algemene Rekenkamer in het rapport ‘Digitalisering aan de Grens’. Het ministerie van Justitie en Veiligheid maakt voor de cybersecurity van het grenstoezicht gebruik van de expertise en de it-infrastructuur van het ministerie van Defensie en Schiphol. Binnen Defensie is volgens de rapporteurs de expertise aanwezig om een hoog niveau van cybersecurity te waarborgen. De organisatie zet deze in de praktijk echter niet altijd in conform afspraken en eigen richtlijnen. ‘In het licht van alle komende technologische ontwikkelingen beoordelen we het huidige niveau van cybersecurity op het grenstoezicht is onvoldoende en niet toekomstbestendig’, aldus de Rekenkamer.
Cybersecuritybeleid faalt
Het ministerie van Defensie heeft een vastgesteld cybersecuritybeleid. Onderdeel daarvan is dat de beveiliging van de belangrijkste it-systemen moet zijn goedgekeurd vóór de systemen gebruikt mogen worden. Dit beleid is van toepassing op de twee systemen van het grenstoezicht van het ministerie van Defensie. Daarnaast is besloten dat het systeem waar het ministerie van Justitie en Veiligheid eigenaar van is deze goedkeuring ook moet krijgen. Uit het onderzoek blijkt dat het it-systeem van de balie en het selfservicesysteem operationeel zijn zonder de vereiste goedkeuring. Daardoor is niet vastgesteld dat ze veilig zijn.
It-systemen aan de grens niet aangesloten op SOC
Opvallend is daarnaast dat de it-systemen bij het grenstoezicht niet aangesloten zijn bij een van de twee security operations centers van het ministerie van Defensie enerzijds en Schiphol anderzijds. Hierdoor bestaat het risico dat cyberaanvallen op deze it-systemen niet of te laat worden opgemerkt.
Bovendien zijn bij het it-systeem waarvan het ministerie van Justitie en Veiligheid eigenaar is, meerdere publieke en private partijen betrokken. Een gezamenlijke beveiligingstest verliep hierdoor moeizaam en had als resultaat dat een kleiner deel getest werd dan de partijen van plan waren. Ook bij de goedkeuring van de beveiliging van het systeem zijn de verschillende betrokken partijen van elkaar afhankelijk. Tot slot blijkt ook dat, hoewel het ministerie van Defensie oefent met cybercrisissituaties, er niet geoefend wordt met concrete scenario’s, zoals een aanval met gijzelsoftware. Ook is er geen cyberoefening gedaan voor het grenstoezicht. Hierdoor is onzeker of de reactie vanuit het ministerie van Defensie op een cyberaanval in de praktijk van het grenstoezicht effectief is.
Aanbevelingen
Om de cybersecurity van het grenstoezicht door de Koninklijke Marechaussee op Schiphol te vergroten, doet de Rekenkamer aanbevelingen. Hieronder de meest urgente:
• Zorg dat voor het it-systeem van de balie zo spoedig mogelijk de benodigde beveiligingsmaatregelen worden genomen zodat de goedkeuringsprocedure conform het Defensiebeveiligingsbeleid kan worden afgerond.
• Sluit de twee it-systemen van het grenstoezicht waar het ministerie van Defensie voor verantwoordelijk is zo snel mogelijk aan op de detectiecapaciteit van het soc van het ministerie van Defensie.
• Zorg dat het selfservicesysteem de goedkeuringsprocedure conform het Defensiebeveiligingsbeleid zo spoedig mogelijk doorloopt, waarbij Schiphol alle beveiligingseisen implementeert en blijft implementeren en het systeem goedkeuring verkrijgt van de beveiligingsautoriteit van het ministerie van Justitie en Veiligheid.
• Onderwerp de drie grenstoezichtsystemen zo snel mogelijk, conform het Defensiebeveiligingsbeleid, aan jaarlijkse beveiligingstesten en borg de opvolging van aanbevelingen.
• Laat het ministerie van Defensie en het ministerie van Justitie en Veiligheid in samenwerking met alle relevante ketenpartijen oefenen met het beheersen van crisissen als gevolg van een cyberaanval op de drie it-systemen van het grenstoezicht op Schiphol.
Om te kunnen beoordelen moet u ingelogd zijn: