Onderzoek: beveiliging cruciaal Defensienetwerk in praktijk onvoldoende

Het Netherlands Armed Forces Integrated Network (NAFIN) laat vitale onderdelen van de Rijksoverheid veilig en vertrouwelijk met elkaar communiceren en is technisch goed opgezet. De kans op uitval is relatief klein. Op papier is ook de beveiliging goed geregeld. Desondanks blijkt het in de praktijk mogelijk voor onbevoegden om fysiek toegang te krijgen tot beveiligde ruimtes en netwerkkasten.

Het NAFIN is een glasvezelnetwerk van het ministerie van Defensie en KPN. Het maakt veilige communicatie tussen onderdelen van Defensie mogelijk. Ook de politie, meldkamers van noodnummer 112 en alle ministeries en Eerste en Tweede Kamer maken gebruik van het netwerk om onderling te communiceren. Het is daarmee van groot belang voor de nationale veiligheid. Er zouden echter steeds meer sabotageacties plaatsvinden op kritieke Europese systemen. Daarom heeft de Algemene Rekenkamer onderzocht hoe de minister van Defensie het NAFIN beschermt.

Het NAFIN is technisch gezien goed opgezet. Er is voldoende capaciteit en de kans op uitval is klein. Er is autorisatiebeheer voor digitale toegang tot het netwerk en er zijn toegangsprocedures voor fysieke toegang tot de netwerkruimtes. Maar in de praktijk heeft de Algemene Rekenkamer tijdens het onderzoek een aantal beveiligingsproblemen gevonden.

De belangrijkste locaties mogen alleen met de juiste autorisatie worden betreden. Het was, zo blijkt uit de tests, toch mogelijk om zonder deze autorisatie toegang te krijgen tot de ruimtes. En ook tot de netwerkkasten die daar staan. Dit is een terugkerend probleem bij de beveiliging van Defensie-objecten. De middelen die Defensie heeft om cyberaanvallen op het NAFIN te detecteren, werden in de praktijk niet optimaal benut.

Onderaannemers

Defensie is afhankelijk van KPN voor aanleg en aanpassingen aan de kabels van het netwerk. Om werk aan KPN uit te besteden moet Defensie staatsgeheime informatie met KPN delen. Zoals informatie over waar de NAFIN-kabels liggen of waar de netwerkruimtes precies staan. KPN besteedt de werkzaamheden aan het NAFIN uit aan onderaannemers, die het ook weer uitbesteden aan onderaannemers. Het zicht op wie er aan het NAFIN werkt en welke beveiligingsmaatregelen met deze partijen zijn afgesproken verdwijnt op deze manier. Zo kon het gebeuren dat een onderaannemer twee jaar lang werkte zonder geldige autorisatie.

Defensie is daarnaast voor de beveiliging van het netwerk afhankelijk van hoe gebruikers het netwerk behandelen en beveiligen. De minister van Defensie stelt aansluitvoorwaarden en beveiligingseisen voor het NAFIN op, maar controleerde niet of gebruikers (bijvoorbeeld andere ministeries) zich hier aan houden.

Over SecurityDaily

Security Daily publiceert nieuws, opinie en achtergrond voor security managers en beveiligingsinstallateurs.

Bekijk alle berichten van SecurityDaily →