Bord met het woord "Schiphol" erop

Schiphol meest “cyberveilige” vliegveld, volgens onderzoek

Laatst bijgewerkt: 6 juli 2020
Leestijd: 3 minuten, 1 seconde

Schiphol heeft de nummer 1 positie gehaald in een onderzoek waarbij de cybersecurity van de 100 meest populaire vliegvelden werd getest. Het onderzoek is uitgevoerd door een onderdeel van Zwitsers cybersecuritybedrijf High-Tech Bridge SA, ImmuniWeb.

Schiphol was samen met nummer 2, Helsinki-Vantaa Airport (Finland), en nummer 3, Dublin Airport (Ierland), het enige vliegveld waar geen beveiligingsrisico’s werden vastgesteld in het onderzoek. Dit waren dan ook de enige drie vliegvelden die van de onderzoekers een A+ ontvingen. De onderzoekers keken onder meer naar de veiligheid en geboden privacy van de website, subdomeinen, mobiele applicaties geassocieerd met het vliegveld en de veiligheid van de publieke cloud van het vliegveld. Hieronder zie je in een handige tabel (in het Engels) precies terug welke elementen en hoeveel er getest zijn.

Cybersecurity onderzoek vliegvelden geteste elementen

Kwetsbare sites en apps, dark web versies en onbeveiligde cloud

Het feit dat slechts drie vliegvelden een A+ ontvingen, betekent dat 97 procent veiligheidsproblemen vertoont. Volgens het onderzoek gebruikten al deze vliegvelden bijvoorbeeld verouderde en achterhaalde software voor hun websites. Bijna een kwart van de onderzochte vliegvelden (24 procent) heeft een website met bekende beveiligingslekken die niet gepatcht zijn. Iets meer dan de helft van de onderzochte hoofddomeinen (55 procent) en 40 procent van de subdomeinen is beveiligd met een Web Application Firewall.

Ook privacy is bij deze websites veelal een probleem. Zo voldoet 76 procent van de websites niet aan de privacyeisen geformuleerd in de Algemene Verordening Gegevensbescherming (AVG). Ook sprekend zijn de kwetsbaarheden die bij mobiele apps gevonden zijn. Volgens de onderzoekers hebben alle onderzochte applicaties minimaal 2 kwetsbaarheden. Gemiddeld bevat elke geteste app 15 privacy of veiligheidsgerelateerde issues.

Veel websites te vinden op het dark web

Uit het onderzoek blijkt dat maar liefst 66 procent van de geteste websites tevens op het dark web te vinden zijn. Gecombineerd met de ontdekking van minstens 72 serieuze datalekken tijdens het onderzoek, is dit zorgelijk te noemen. Immers, dit maakt het plausibel dat er pogingen zijn geweest door cybercriminelen om gegevens van reizigers te bemachtigen en eventueel te distribueren op het dark web. Tot slot heeft 3 procent van de vliegvelden een onbeschermde publieke cloud met gevoelige data.

CEO ImmuniWeb: ‘Resultaten zijn alarmerend’

De CEO van het onderzoeksbureau, llja Kolochenko, geeft aan de resultaten van het onderzoek alarmerend te vinden. Hij stelt dat door de gevonden kwetsbaarheden cybercriminelen cyberaanvallen kunnen uitvoeren op reizigers en vrachtverkeer. Ze kunnen, meent hij, zelfs vliegvelden direct aanvallen. Zo kunnen ze de belangrijke infrastructuur van deze vliegvelden aantasten.

Update (juli 2020): de Algemene Rekenkamer houdt er een andere mening op na dat ImmuniWeb. Volgens de onderzoekers wordt de kennis en expertise van de overheid op het gebied van cyberveiligheid te weinig ingezet op Schiphol. Het toezicht is daardoor “onvoldoende en niet toekomstbestendig”. Daardoor loopt de luchthaven op diverse vlakken onnodige veiligheidsrisico’s. In het rapport van de Algemene Rekenkamer staat dat beveiligingstesten op de IT-systemen van Schiphol niet of nauwelijks plaatsvinden. Dit komt omdat naast het ministerie van Defensie en Justitie en Veiligheid ook diverse derde partijen betrokken zijn. Partijen die bovendien van elkaar afhankelijk zijn.

Om de cybersecurity van het grenstoezicht op Schiphol te vergroten, moet het ministerie van Defensie op korte termijn werk maken van de goedkeuringsprocedure die in haar cybersecuritybeleid is geformuleerd voor de KMar-balie. De twee IT-systemen van het grenstoezicht waar het ministerie verantwoordelijk voor is moeten zo snel mogelijk aangesloten worden op de detectiecapaciteit van het Security Operations Center (SOC). Ook het ministerie van Justitie en Veiligheid moet de goedkeuringsprocedure van Defensie doorlopen bij het selfservicesysteem. Dit systeem moet, net als de systemen van Defensie, bovendien aangesloten worden op de detectiecapaciteit van het SOC. Verder moeten de drie grenstoezichtsystemen onderworpen worden aan jaarlijkse beveiligingstesten en moet er meer en beter geoefend worden met real-life scenario’s.

Tech-journalist
Nathan is een internationaal opgeleide journalist en hij heeft vooral interesse in de preventie van cybercrime, vooral waar het kwetsbare groepen betreft. Voor VPNgids.nl doet hij onderzoek op het gebied van cybersecurity, internetcensuur en online privacy.

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen