Zorgen over cyberveiligheid op Schiphol. ‘Onbegrijpelijk dat dit niet goed geregeld is’

De cyberveiligheid van het grenstoezicht door de Koninklijke Marechaussee op Schiphol is onvoldoende en niet toekomstbestendig. Dat blijkt uit onderzoek van de Algemene Rekenkamer, die het ‘onbegrijpelijk’ noemt dat het nog niet goed is geregeld. Nu kunnen er, bij een digitale aanval, grote consequenties zijn.

Beveiligingstesten op de IT-systemen vinden niet of nauwelijks plaats, ziet de Algemene Rekenkamer. De software van twee IT-systemen is bovendien zonder de vereiste goedkeuring operationeel. En IT-systemen zijn niet aangesloten op de detectiecapaciteit van Defensie en Schiphol. De cyberveiligheid van deze systemen is van cruciaal belang om digitale sabotage, spionage en criminaliteit tegen te gaan. 

Als de IT van het grenstoezicht door een digitale aanval onbruikbaar wordt, kan de marechaussee het grenstoezicht niet of nauwelijks uitvoeren. Lange wachtrijen, vertraging en annulering van vluchten zijn daarvan mogelijk het gevolg. Een ander risico is dat buitenlandse veiligheidsdiensten cyberspionage inzetten om de gegevens van bepaalde reizigers in te zien. Daarnaast kunnen cyberaanvallen worden ingezet om informatie te manipuleren, zodat gezochte personen makkelijker de grens kunnen passeren.

Interessant doelwit

Het grenstoezicht kan door het belang voor Schiphol en de grote hoeveelheden persoonsgegevens – als nationaliteit, reisroute en strafrechtelijke gegevens – een interessant doelwit zijn voor hackers. Schiphol is met bijna 80 miljoen passagiers per jaar niet alleen de belangrijkste luchthaven van Nederland, maar ook een belangrijke toegangspoort tot Europa.

Er zijn al verschillende incidenten geweest, schrijft de Rekenkamer, die illustreren dat aanvallers het op de gegevens gemunt hebben. Zo zijn bij cyberaanvallen op de Amerikaanse grenscontroleautoriteit en luchtvaartmaatschappijen persoonlijke gegevens van miljoenen passagiers buitgemaakt.

Hoewel er maatregelen zijn genomen om de kwetsbaarheden op te lossen, concluderen de onderzoekers dat er nog geen ‘toereikend niveau van cybersecurity’ is. ‘Onbegrijpelijk, omdat de kennis en kunde wél aanwezig zijn binnen het Ministerie van Defensie’, schrijven ze in het rapport.

Liegen er niet om

De conclusie van de Rekenkamer liegt er niet om, erkennen de verantwoordelijke ministeries (Defensie en Justitie en Veiligheid). Zij onderschrijven de aanbevelingen. Volgens een woordvoerder van Defensie zijn er al stappen gezet en zijn er verschillende maatregelen van kracht om de risico’s en gevolgen van een cyberaanval op de IT-systemen te beperken. Mochten deze systemen uitvallen, dan kan het grenstoezicht nog steeds handmatig plaatsvinden. ,,Daartoe zijn onze mensen opgeleid.”

De veiligheid van IT-systemen is voor Defensie van groot belang

Woordvoerder van Defensie

,,De veiligheid van IT-systemen is voor Defensie van groot belang”, zegt de woordvoerder. Bestaande en nieuwe systemen worden getest om kwetsbaarheden bloot te leggen en aan te pakken. Ook vanwege personele schaarste in de IT-sector is dit geen geringe opgave, tekent de woordvoerder aan. Bij het testen krijgen systemen waar het grootste risico zit en waar de meeste winst te behalen valt voorrang.

Het Schipholonderzoek is het tweede in een reeks van drie naar cybersecurity in vitale sectoren. Vorig jaar rapporteerde de Rekenkamer over cybersecurity en vitale waterwerken die worden beheerd door Rijkswaterstaat. Ook daar viel het nodige te verbeteren, was de conclusie.

Leave a Reply

Your email address will not be published. Required fields are marked *

*