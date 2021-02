Er zitten ernstige kwetsbaarheden in de cyberveiligheid van de containerscanners in de Rotterdamse haven. Dat vergroot het risico op spionage of manipulatie van data. Dat zeggen ingewijden en specialisten op het gebied van scan- en detectietechnologie tegen NRC.

De experts – uit veiligheidsoverwegingen blijven ze anoniem – constateren kwetsbaarheden in de toegang tot de grote scanners waarmee de douane containers op smokkelwaar controleert. Het datanetwerk is afgesloten, toch vindt soms onderhoud plaats met een mobiele dataverbinding naar het hoofdkantoor van de leveranciers.

Zo is het mogelijk op afstand lokaal opgeslagen scans te bekijken of software te installeren. Een ander punt van zorg is dat servers van verschillende fabrikanten in één ruimte staan. Dat geeft bedrijven fysiek toegang tot elkaars apparatuur.

Ruim de helft van de tien grote scansystemen die de douane in Rotterdam gebruikt is van de Chinese scannerfabrikant Nuctech. Afgelopen jaren heeft Nuctech veel aanbestedingen gewonnen, ten koste van met name Amerikaanse en Britse concurrenten.

Het gebruik van Chinese apparatuur op kritieke plekken in de infrastructuur roept vraagtekens op bij de AIVD. Er is angst voor economische spionage. Volgens de Nederlandse veiligheidsdiensten richt de cyberdreiging uit China en Rusland zich op hoogwaardige technologie en vitale processen.

De haven van Rotterdam is de grootste van Europa en de detectiemethodiek van de Nederlandse douane staat wereldwijd hoog aangeschreven. Ook uitgaande vracht naar de VS wordt hier gescand.

Er is ook betere controle nodig op inlogprocedures, zeggen de experts. In 2017 en in 2020 werden twee douanemedewerkers veroordeeld wegens sjoemelen met scans. De procedures zijn sindsdien aangescherpt maar worden in de praktijk niet altijd nageleefd. Een officiële reactie van de douane blijft uit; de dienst wil eerst Kamervragen over Nuctech beantwoorden.

Op de werkvloer maken mensen zich wel ongerust, zegt Eric Hogenbirk, bestuurslid van douanevakbond BDPN. „We vinden dat de beveiliging verbeterd moet worden, in belang van onze medewerkers.”

Controleren op explosieven

De experts die NRC sprak, vinden dat scanners van alle fabrikanten beter beschermd moeten worden tegen spionage of datamanipulatie. Volgens hen is de airport security op Schiphol een voorbeeld van hoe het zou moeten. Voor bagagescanners, die uitgaande passagiers op explosieven controleren, gelden zeer strenge eisen. Dat geldt ook voor de netwerkbeveiliging en onderhoud.

Alle software, inclusief updates, wordt op Schiphol van tevoren getest en gevalideerd. De risico’s zijn groot – een vliegtuigramp moet koste wat kost vermeden worden – dus is de investering in cybersecurity ook groot.

De VS, die Nuctech vorig jaar op een sanctielijst zetten, dringen er bij Europese landen op aan om Nuctech te weren, op vliegveld en in havens. Ook Europese politici vrezen dat het bedrijf banden heeft met de Chinese defensieindustrie. Nuctech ontkent dat en zegt geen data van klanten te gebruiken.

De lobby tegen Nuctech doet denken aan de campagne tegen de Chinese telecomgigant Huawei, die in veel Europese landen geweerd wordt bij de aanleg van 5G-netwerken. De detectiebranche is een nichemarkt vergeleken met de telecomsector. Maar de wereld waarin Nuctech opereert - grensbewaking – is net zoals mobiele netwerken van vitaal belang.