De cyberveiligheid van het grenstoezicht door de Koninklijke Marechaussee op Schiphol is onvoldoende en niet toekomstbestendig. Dat blijkt uit onderzoek van de Algemene Rekenkamer.
Beveiliging
Beveiligingstesten op de IT-systemen vinden niet of nauwelijks plaats, zegt de Rekenkamer. De software van twee IT-systemen is zonder de vereiste goedkeuring operationeel. En IT-systemen zijn niet aangesloten op de detectiecapaciteit van Defensie en Schiphol.
Paspoortbalie
In het defensiebeveiligingsbeleid staat beschreven aan welke beveiligingsmaatregelen alle IT-systemen van het grenstoezicht moeten voldoen. IT-systemen mogen pas in gebruik worden genomen als deze maatregelen zijn genomen. Maar van twee van de drie IT-systemen van het grenstoezicht is niet vastgesteld dat ze voldoende beveiligd zijn tegen cyberaanvallen. Het systeem voor de paspoortbalie en de selfservice hebben de goedkeuringsprocedure van het Ministerie van Defensie om dit vast te stellen niet geheel doorlopen.
Insider
De Algemene Rekenkamer heeft, omdat dit door het Ministerie van Defensie nog nooit gedaan was, voor dit onderzoek een beveiligingstest geïnitieerd op het IT-systeem van pre-assessment. “Uitgangspunt vormde de insider threat: een cyberaanval via een Defensie-medewerker die toegang heeft tot het netwerk van het ministerie, maar niet geautoriseerd is voor het systeem voor pre-assessment. Dit is een reëel risico; er hebben immers 60.000 defensiemedewerkers toegang tot het netwerk”, aldus de Rekenkamer.
Test
Bij die test werden elf kwetsbaarheden ontdekt. Zo werd een standaard wachtwoord gebruikt dat via Google te vinden was in de gebruikershandleiding. Ook bleek het mogelijk om bijvoorbeeld een e-mail uit naam van de Commandant der Strijdkrachten te versturen.
Opsporingslijst
Verder kwam uit de test dat verschillende kwetsbaarheden gecombineerd konden worden om het pre-assessment systeem zo te manipuleren dat het lijkt alsof een passagier niet op de opsporingslijst staat, terwijl dit wel het geval is. Defensie heeft de kwetsbaarheden volgens de Rekenkamer inmiddels opgelost.


Verschillend