Beveiliging IT-systemen Marechaussee Schiphol bevat cruciale fouten

De Defensie-organisatie faalt daarbij in het handhaven van het eigen veiligheidsbeleid. Volgens dit beleid moeten jaarlijkse beveiligingstesten uitwijzen of de IT-systemen van de Marechaussee voldoen aan de laatste maatstaven. In praktijk zijn weinig of geen tests uitgevoerd.

Op twee systemen - die van pre-assessment en de paspoortbalie - zijn ze zelfs nog nooit uitgevoerd. Het pre-assessmentsysteem voert een screening uit voordat passagiers aankomen van buiten het Schengengebied. Het systeem voor selfservice is wel getest maar minder grondig dan was gepland. Bovendien zijn de aanbevelingen die uit de test naar voren kwamen, slechts gedeeltelijk uitgevoerd.

Het kan nog erger

De systemen van de paspoortbalie en de selfservice hadden eigenlijk zelfs nooit in gebruik genomen mogen worden. Het defensieveiligheidsbeleid schrijft voor dat eerst een goedkeuringsprocedure van het ministerie van Defensie moet zijn doorlopen. Die goedkeuring is voor beide systemen niet uitgevoerd.

In een diepgaander onderzoek naar het pre-assessmentsysteem vond de Algemene Rekenkamer maar liefst 11 kwetsbaarheden die ongeautoriseerde medewerkers toegang gaven tot het systeem. Een van de meest in het oog springende flaters is het gebruik van een standaard wachtwoord dat via een Google-zoekopdracht makkelijk te vinden was in de handleiding van het systeem. Ook bleek het mogelijk e-mail te versturen vanuit de naam van de Commandant der Strijdkrachten, een prachtkans voor wie phishingmails wil versturen. Verder was het mogelijk voor indringers in het systeem mensen van de opsporingslijst te halen.

De gevaren van de slechte beveiliging van bijvoorbeeld het pre-assessmentsysteem zijn niet denkbeeldig. Maar liefst 60.000 defensiemedewerkers hebben toegang tot het netwerk, maar zijn niet geautoriseerd voor de grenscontrolesystemen. Met het standaard wachtwoord konden ze dus toch eenvoudig toegang krijgen.

Onbegrijpelijk dat kritiek systeem niet wordt gemonitord

Sabotage van de systemen van de Koninklijke Marechaussee kan tot enorme verstoringen leiden op de luchthaven en economische schade. Ook wijst de Algemene Rekenkamer op de mogelijkheden voor buitenlandse veiligheidsdiensten cyberspionage in te zetten om de gegevens van (specifieke) reizigers in te zien of te manipuleren. De systemen zijn niet aangesloten op de twee Security Operations Centers van het ministerie van Defensie en Schiphol. Bij een mogelijke cyberaanval is de kans daardoor groot dat deze lange tijd onopgemerkt blijft.

De Algemene Rekenkamer noemt het in haar rapport onbegrijpelijk dat niet is gebeurd wat eigenlijk al lang staat voorgeschreven en mogelijk is. Het ministerie heeft nota bene zelf het systeem voor pre-assessment aangerekend als 'kritiek systeem'.

Een aantal kwetsbaarheden is inmiddels opgelost zodat het eenvoudig manipuleren van het systeem niet meer mogelijk is. De veiligheid van IT-systemen is voor Defensie van groot belang, verklaart een woordvoerder van het ministerie van Defensie tegenover ANP. Vanwege personele schaarste in de IT-sector is dit geen geringe opgave, zegt de woordvoerder. De systemen waar het grootste risico zit en waar de meeste winst te behalen valt, krijgen daarom voorrang bij het testen.