Grenscontrole Schiphol eenvoudig doelwit voor hackers

Rekenkamer kwalificeert cybersecurityniveau als onvoldoende en niet-toekomstbestendig

Dit artikel delen:

De cybersecuritymaatregelen bij de grenscontroles op Schiphol laten te wensen over. Hoewel er expertise aanwezig is bij het ministerie van Defensie (waarvan de Koninklijke Marechaussee als krijgsmachtdeel onderdeel uitmaakt) wordt deze niet altijd conform de eigen afspraken en richtlijnen ingezet.

Dit meldt de Algemene Rekenkamer in het rapport ‘Digitalisering aan de Grens’. Het ministerie van Justitie en Veiligheid maakt voor de cybersecurity van het grenstoezicht gebruik van de expertise en de it-infrastructuur van het ministerie van Defensie en Schiphol. Binnen Defensie is volgens de rapporteurs de expertise aanwezig om een hoog niveau van cybersecurity te waarborgen. De organisatie zet deze in de praktijk echter niet altijd in conform afspraken en eigen richtlijnen. ‘In het licht van alle komende technologische ontwikkelingen beoordelen we het huidige niveau van cybersecurity op het grenstoezicht is onvoldoende en niet toekomstbestendig’, aldus de Rekenkamer.

Cybersecuritybeleid faalt

"Uit het onderzoek blijkt dat het it-systeem van de balie en het selfservicesysteem operationeel zijn zonder de vereiste goedkeuring"

Het ministerie van Defensie heeft een vastgesteld cybersecuritybeleid. Onderdeel daarvan is dat de beveiliging van de belangrijkste it-systemen moet zijn goedgekeurd vóór de systemen gebruikt mogen worden. Dit beleid is van toepassing op de twee systemen van het grenstoezicht van het ministerie van Defensie. Daarnaast is besloten dat het systeem waar het ministerie van Justitie en Veiligheid eigenaar van is deze goedkeuring ook moet krijgen. Uit het onderzoek blijkt dat het it-systeem van de balie en het selfservicesysteem operationeel zijn zonder de vereiste goedkeuring. Daardoor is niet vastgesteld dat ze veilig zijn.

It-systemen aan de grens niet aangesloten op SOC

Opvallend is daarnaast dat de it-systemen bij het grenstoezicht niet aangesloten zijn bij een van de twee security operations centers van het ministerie van Defensie enerzijds en Schiphol anderzijds. Hierdoor bestaat het risico dat cyberaanvallen op deze it-systemen niet of te laat worden opgemerkt.

Bovendien zijn bij het it-systeem waarvan het ministerie van Justitie en Veiligheid eigenaar is, meerdere publieke en private partijen betrokken. Een gezamenlijke beveiligingstest verliep hierdoor moeizaam en had als resultaat dat een kleiner deel getest werd dan de partijen van plan waren. Ook bij de goedkeuring van de beveiliging van het systeem zijn de verschillende betrokken partijen van elkaar afhankelijk. Tot slot blijkt ook dat, hoewel het ministerie van Defensie oefent met cybercrisissituaties, er niet geoefend wordt met concrete scenario’s, zoals een aanval met gijzelsoftware. Ook is er geen cyberoefening gedaan voor het grenstoezicht. Hierdoor is onzeker of de reactie vanuit het ministerie van Defensie op een cyberaanval in de praktijk van het grenstoezicht effectief is.

Aanbevelingen

Om de cybersecurity van het grenstoezicht door de Koninklijke Marechaussee op Schiphol te vergroten, doet de Rekenkamer aanbevelingen. Hieronder de meest urgente:

• Zorg dat voor het it-systeem van de balie zo spoedig mogelijk de benodigde beveiligingsmaatregelen worden genomen zodat de goedkeuringsprocedure conform het Defensiebeveiligingsbeleid kan worden afgerond.

• Sluit de twee it-systemen van het grenstoezicht waar het ministerie van Defensie voor verantwoordelijk is zo snel mogelijk aan op de detectiecapaciteit van het soc van het ministerie van Defensie.

• Zorg dat het selfservicesysteem de goedkeuringsprocedure conform het Defensiebeveiligingsbeleid zo spoedig mogelijk doorloopt, waarbij Schiphol alle beveiligingseisen implementeert en blijft implementeren en het systeem goedkeuring verkrijgt van de beveiligingsautoriteit van het ministerie van Justitie en Veiligheid.

• Onderwerp de drie grenstoezichtsystemen zo snel mogelijk, conform het Defensiebeveiligingsbeleid, aan jaarlijkse beveiligingstesten en borg de opvolging van aanbevelingen.

• Laat het ministerie van Defensie en het ministerie van Justitie en Veiligheid in samenwerking met alle relevante ketenpartijen oefenen met het beheersen van crisissen als gevolg van een cyberaanval op de drie it-systemen van het grenstoezicht op Schiphol.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2020-04-20T11:21:00.000Z Christel Dieleman
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.