Beveiliging

Cyberveiligheid grenstoezicht Schiphol deugt niet, oordeelt Rekenkamer

Paspoortcontrole op Schiphol door de marechaussee. Beeld ANP XTRA

De Koninklijke Marechaussee heeft de beveiliging van de IT-systemen voor het grenstoezicht waarmee ze werkt op Schiphol, niet op orde. Dat concludeert de Algemene Rekenkamer.

De cyberveiligheid van het grenstoezicht door de Koninklijke Marechaussee (KMar) op Schiphol is onvoldoende en niet toekomstbestendig, oordeelt de Algemene Rekenkamer in een rapport dat maandag is aangeboden aan de Tweede Kamer. De betrokken ministeries, van defensie en justitie en veiligheid, stellen in een reactie niet alle aanbevelingen snel te kunnen opvolgen.

Volgens de Algemene Rekenkamer, de financiële waakhond van het kabinet, vinden beveiligingstesten op de IT-systemen van de Koninklijke Marechaussee niet of nauwelijks plaats. Verder blijkt de software van twee IT-systemen in de praktijk al te worden gebruikt zonder dat daarvoor de vereiste goedkeuring is verleend.

Ook blijken de IT-systemen niet aangesloten op de beveiligingscentra van Defensie en de luchthaven Schiphol, de Security Operations Centres (SOC). Daardoor kan het zijn dat eventuele cyberaanvallen niet of te laat worden opgemerkt. Dit geldt onder meer voor het zogeheten selfservicesysteem, waarmee passagiers bij poortjes hun eigen paspoort kunnen scannen. Die koppeling met een SOC moet zo snel mogelijk worden gemaakt; de Rekenkamer noemt het “onbegrijpelijk” dat dit niet al eerder op orde is gebracht.

Indentiteitsonderzoek passagiers al tijdens hun vlucht

Een van de drie onderzochte systemen is het zogeheten pre-assessmentsysteem. Hiermee kan de marechaussee al tijdens hun vlucht identiteitsonderzoek doen naar passagiers. Dit systeem wordt in het rapport als ‘kritiek’ aangemerkt, wegens ernstige gebreken in de beveiliging. Om te testen in hoeverre het pre-assessmentsysteem is beveiligd tegen cyberaanvallen, liet de Algemene Rekenkamer afgelopen november een proefhack uitvoeren. Daaruit bleek dat er elf kwetsbaarheden in het systeem zitten.

De ingehuurde hacker slaagde er op vrij eenvoudige wijze in om het systeem binnen te komen. Daardoor zou hij onder meer passagiersgegevens kunnen inzien en die ook kunnen veranderen. Een gevolg daarvan zou kunnen zijn dat verdachte personen die de grens niet over mogen, niet worden gedetecteerd tijdens een controle. Nadat dit is geconstateerd, heeft het ministerie van defensie direct maatregelen getroffen om deze kwetsbaarheid op te heffen, meldt de Rekenkamer.

De Rekenkamer schetst de ernstige gevolgen die een cyberaanval op de computersystemen van de marechaussee op Schiphol kunnen hebben. Bij uitval zouden de paspoortcontroles weer met de hand moeten worden gedaan, wat kan leiden tot lange wachtrijen, vertragingen en annulering van vluchten. Een ander risico is dat buitenlandse veiligheidsdiensten cyberspionage inzetten om de gegevens van bepaalde reizigers in te zien of te manipuleren.

Testen kan niet vaker, zeggen ministers in reactie

In een reactie op het rapport geven de ministers van defensie en justitie en veiligheid aan dat zij niet alle aanbevelingen uit het rapport direct en volledig kunnen opvolgen. Zo kunnen volgens de bewindslieden de veertien kritieke defensiesystemen niet vaker dan elke drie jaar een beveiligingstest ondergaan. Het grote aantal systemen, en een gebrek aan personeel en tijd om de systemen aan te passen als de testen verbeteringen noodzakelijk maken, ‘maken een verhoging van deze frequentie op korte termijn niet haalbaar’, aldus de ministers.

Dat zelfs de veertien kritieke defensiesystemen niet vaker dan eens per drie jaar aan beveiligingstests kunnen worden onderworpen ‘baart ons grote zorgen’, schrijft de Algemene Rekenkamer in een reactie hierop. ‘Dit is tevens in afwijking van het Defensie-beveiligingsbeleid, dat jaarlijkse testen voorschrijft. Gedurende een jaar kunnen nieuwe kwetsbaarheden, dreigingen en aanvalscenario’s ontstaan’, waarschuwt de Rekenkamer, die stelt scherp in de gaten te zullen houden hoe de ministeries de aanbevelingen opvolgen.

Lees ook:

Topdrukte meivakantie vergt veel van Schiphol én de reizigers

In 2017 leidde de topdrukte tot vertragingen, ellenlange rijen en mensen die hun vliegtuig misten. Schiphol beloofde beterschap en heeft in 2018 allerlei maatregelen getroffen om te voorkomen dat het een chaos wordt. 

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden