Beveiliging grensbewakings­systemen op Schiphol ondermaats

Defensie De systemen die de Koninklijke Marechaussee nodig heeft om de grenzen te bewaken op Schiphol zijn kwetsbaar voor aanvallen, ontdekte de Algemene Rekenkamer.
Paspoortcontrole door een marechaussee op Schiphol. Het systeem dat hiervoor gebruikt wordt is niet veilig genoeg, vindt de Rekenkamer.
Paspoortcontrole door een marechaussee op Schiphol. Het systeem dat hiervoor gebruikt wordt is niet veilig genoeg, vindt de Rekenkamer. Foto Robin Utrecht/ANP

De ict-systemen die de Koninklijke Marechaussee gebruikt voor de grensbewaking op Schiphol zijn niet goed genoeg ingericht en niet toekomstbestendig. Dat concludeert de Algemene Rekenkamer maandag na onderzoek. De systemen zijn „niet of nauwelijks” getest op beveiliging en twee systemen hebben niet de juiste goedkeuring gekregen. Als de systemen niet op orde gebracht worden, kunnen kwaadwillenden met een aanval de paspoortcontrole en daarmee de luchthaven nagenoeg lamleggen, gegevens stelen of gezochte personen de grens over helpen, waarschuwen de rekenmeesters.

Op Schiphol komen tachtig miljoen reizigers per jaar het land binnen, en voor de grenscontroles zijn de systemen onontbeerlijk. Grensbewaking zal in de komende jaren alleen maar verder gedigitaliseerd worden, waardoor de afhankelijkheid van de systemen voor de grensbewaking groter wordt. Toch voldoen de systemen niet aan het beveiligingsbeleid van het ministerie zelf, blijkt uit het onderzoek.

Er kunnen problemen ontstaan als iemand van buiten óf een medewerker van Defensie de systemen aanvalt of misbruikt, aldus de Rekenkamer. Het is bovendien niet mogelijk om alle eventuele aanvallen op te sporen, doordat de systemen niet zijn aangesloten op de Security Operations Centers van het Ministerie van Defensie en Schiphol. Dat de beveiliging niet op orde is en er ook geen gebruik gemaakt wordt van de kennis die binnen de krijgsmacht wel aanwezig is, noemt de Rekenkamer „onbegrijpelijk”.

Standaardwachtwoord

De systemen die de Algemene Rekenkamer heeft onderzocht, worden gebruikt voor drie vormen van grensbewaking. Het gaat om de controle van paspoorten aan de balie en ook via de selfservice-apparaten waarvoor de software beheerd wordt door het ministerie van Justitie en Veiligheid. Ook is gekeken naar de zogenoemde pre-assessment, waarbij mensen van buiten het Schengengebied gecontroleerd worden vóór ze in Nederland aankomen. Voor die laatste categorie zijn de systemen vooraf wel voldoende getest voordat ze in gebruik genomen werden, voor de paspoortcontroles niet. Geen van de systemen is voldoende getest op beveiligingsproblemen en in geen van de systemen is een cyberaanval goed en snel genoeg op te sporen, aldus de Rekenkamer.

Een van de mogelijke beveiligingsproblemen heeft de Rekenkamer extra goed onderzocht, omdat Defensie dat zelf nog nooit gedaan had. Gekeken werd of het systeem voor pre-assesment kwetsbaar was voor misbruik door een van zestigduizend medewerkers met toegang tot het netwerk. Er werden elf lekken gevonden. Het bleek onder meer mogelijk om een e-mail te sturen uit naam van een willekeurige Defensiemedewerker, onder wie de Commandant der Strijdkrachten, de hoogste militair van het land. Ook was een standaardwachtwoord makkelijk te achterhalen. Dat stond in een gebruikershandleiding die te vinden was via Google.

„De conclusies liegen er niet om”, laat Defensie in een reactie op het rapport weten aan NRC. Het ministerie zegt de aanbevelingen van de Algemene Rekenkamer waar mogelijk over te nemen, maar waarschuwt dat dat niet altijd zo snel kan als de Rekenkamer aanraadt, omdat „de opgave op het gebied van cybersecurity groot en het IT-landschap voor het grenstoezicht dynamisch [is]”. Sommige lekken zijn al gedicht, het is nu bijvoorbeeld niet meer mogelijk om een e-mail te versturen uit naam van de hoogste commandant. Van andere problemen was eerder ingeschat dat ze geen groot gevaar vormden. Om die reden is er bewust van het standaardbeleid afgeweken, aldus Defensie.