Algemene Rekenkamer: ‘Cybersecuritymaatregelen Schiphol laten te wensen over’

Algemene Rekenkamer: ‘Cybersecuritymaatregelen Schiphol laten te wensen over’

Laatst bijgewerkt: 21 april 2020
Leestijd: 4 minuten, 13 seconden

Cyberaanvallen bedreigen de continuïteit van het grenstoezicht en de vertrouwelijkheid van verwerkte gegevens. De overheid bezit de juiste expertise als het om cyberveiligheid gaat, maar deze wordt nog onvoldoende ingezet om een hoog niveau van cybersecurity te waarborgen. Daardoor loopt luchthaven Schiphol op diverse vlakken onnodige veiligheidsrisico’s.

Dat is de conclusie die de Algemene Rekenkamer trekt in haar rapport ‘Digitalisering aan de grens. Cybersecurity van het grenstoezicht door de Koninklijke Marechaussee op Schiphol’.

Digitalisering

Volgens de Koninklijke Marechaussee (KMar) verwerkt Schiphol jaarlijks 80 miljoen passagiers. Daarmee is de luchthaven een van de belangrijkste toegangspoorten tot Europa. Tegelijkertijd verzamelt en verwerkt de KMar persoonsgegevens van reizigers over de hele wereld. Het gaat daarbij om zaken als nationaliteit, reisroute, reisgezelschap en strafrechtelijke gegevens (boetes, openstaande vorderingen bij de Belastingdienst). Dit toezicht is noodzakelijk om onze nationale veiligheid te garanderen en grip te krijgen op immigratie.

Digitalisering speelt een belangrijke rol op Schiphol. Als de IT-systemen uitvallen, kan de KMar geen controles uitoefenen. Tevens zet de dienst daarmee de deur op een kier voor cyberaanvallen en cyberspionage. Het is dus van vitaal belang dat de computersystemen op Schiphol goed werken. Om het grenstoezicht te verbeteren, wordt de komende jaren nog meer ingezet op digitalisering. Voordat dit proces in werking wordt gesteld, onderzocht de Algemene Rekenkamer hoe de luchthaven op dit moment beschermd is tegen cyberaanvallen. Een soort van nulmeting dus.

Over het onderzoek

Het onderzoek van de KMar is opgedeeld in drie primaire en IT-intensieve processen als het gaat om grenstoezicht:

  1. Controles op aankomende passagiers gedurende hun vlucht;
  2. Controles bij de KMar-balies op Schiphol; en
  3. Controles bij de self service passport control op Schiphol.

Al deze processen hebben hun eigen IT-systeem. De minister van Defensie is verantwoordelijk voor de cybersecurity van de systemen van de eerste twee processen. De minister van Justitie en Veiligheid is aangewezen om zorg te dragen voor de systemen in het derde proces. Daarnaast zijn er nog meerdere publieke en private partijen betrokken bij het onderhoud van de systemen bij de zelfbediening.

‘Cyberveiligheid niet op orde’

De Algemene Rekenkamer onderzoekt of de Rijksoverheid publiek geld zinnig, zuinig en zorgvuldig uitgeeft. Ook voert de instantie controles uit naar tientallen onderwerpen, variërend van subsidies voor elektrisch rijden tot de voorbereiding op de gevolgen van de Brexit. Controle op de werking van de digitale systemen op Schiphol behoort eveneens tot het takenpakket van de Algemene Rekenkamer. Dit onderzoek begon medio 2019 en de gepresenteerde resultaten hebben betrekking op deze periode. “Die conclusies veranderen niet vanwege de ernstige ontwikkelingen in 2020”, aldus de Rekenkamer, doelend op de bestrijding van het coronavirus.

De Rekenkamer haalt snoeihard uit naar de overheid. Volgens de controlerende instantie is de cyberveiligheid van het grenstoezicht door de KMar op Schiphol “onvoldoende en niet toekomstbestendig”. In haar rapport schrijft ze dat beveiligingstesten op de IT-systemen niet of nauwelijks plaatsvinden. De software van twee IT-systemen is zonder de vereiste goedkeuring operationeel. En IT-systemen zijn niet aangesloten op de detectiecapaciteit van Defensie en Schiphol.

Geen beveiligingstest of -oefeningen

Op papier heeft het ministerie van Defensie haar zaakjes goed voor elkaar. Ze heeft een goed geformuleerd cybersecuritybeleid. Daarin staat onder andere dat IT-systemen pas in gebruik genomen mogen worden nadat ze zijn goedgekeurd. Dat is niet het geval bij het systeem van de KMar-balie en het selfservicesysteem. Daardoor is niet vastgesteld dat deze systemen veilig zijn.

Het ministerie van Defensie en Schiphol beschikken over een detectiesysteem waarmee cyberaanvallen snel achterhaald kunnen worden: dat is het Security Operations Center (SOC). De IT-systemen die het grenstoezicht ondersteunen zijn zelf niet op de detectiecapaciteit van deze SOC’s aangesloten. Hierdoor bestaat het risico dat cyberaanvallen op deze IT-systemen niet of te laat worden opgemerkt.

Volgens het cybersecuritybeleid van het ministerie van Defensie moeten IT-systemen regelmatig getest en gecontroleerd worden. Volgens de Algemene Rekenkamer verloopt dit in praktijk moeizaam. Dit komt omdat naast het ministerie ook diverse derde partijen betrokken zijn. Tevens zijn de betrokken partijen van elkaar afhankelijk. Hierdoor is slechts een klein deel van de systemen getest. Procedures voor het afhandelen van IT-verstoringen en crisissituaties zijn eveneens vastgelegd. Er is echter geen voorbereiding aan de hand van concrete scenario’s, zoals een aanval met ransomeware. Ook is er geen cyberoefening gedaan voor het grenstoezicht. Hierdoor is onzeker of de reactie vanuit het Ministerie van Defensie op een cyberaanval in de praktijk van het grenstoezicht effectief is.

Aanbevelingen

Om de cybersecurity van het grenstoezicht op Schiphol te vergroten, doet de Algemene Rekenkamer diverse aanbevelingen. Het ministerie van Defensie moet in de ogen van de Rekenkamer op korte termijn werk maken van de goedkeuringsprocedure die in haar cybersecuritybeleid is geformuleerd voor de KMar-balie. De twee IT-systemen van het grenstoezicht waar het ministerie verantwoordelijk voor is moeten zo snel mogelijk aangesloten worden op de detectiecapaciteit van het SOC.

Ook het ministerie van Justitie en Veiligheid moet de goedkeuringsprocedure van Defensie doorlopen bij het selfservicesysteem. Dit systeem moet, net als de systemen van Defensie, bovendien aangesloten worden op de detectiecapaciteit van het SOC. Verder moeten de drie grenstoezichtsystemen onderworpen worden aan jaarlijkse beveiligingstesten en moet er meer en beter geoefend worden met real-life scenario’s.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen