Een onderaannemer van KPN heeft twee jaar lang zonder geldige autorisatie kunnen werken aan NAFIN, het beveiligde glasvezelnetwerk van het ministerie van Defensie. Dat is een schokkende conclusie uit het onderzoek van de Algemene Rekenkamer naar de beveiliging van dit hoogst kritieke netwerk.
NAFIN (het Netherlands Armed Forces Integrated Network) is in gebruik voor onderlinge communicatie tussen legeronderdelen, de politie, 112-meldkamers, alle ministeries én de Eerste en Tweede Kamer. De Algemene Rekenkamer onderzocht de staat van het netwerk vanwege de toename van het aantal digitale of fysieke sabotagepogingen door statelijke actoren (ofwel landen die ons ongunstig gezind zijn). Daaruit bleek onder meer dat onbevoegden te makkelijk fysieke toegang kunnen krijgen tot beveiligde ruimtes en netwerkkasten.
De beveiliging en het onderhoud zijn op papier goed geregeld, stelt de Rekenkamer. Zo is het NAFIN technisch gezien goed opgezet. Er is voldoende capaciteit en de kans op uitval is klein. Digitale toegang tot het netwerk verloopt via autorisatiebeheer voor digitale toegang en er zijn toegangsprocedures voor fysieke toegang tot de netwerkruimtes.
Derde partijen vormen zwakke schakel
In de praktijk blijkt het tóch mogelijk om zonder de juiste autorisatie toegang te krijgen tot dergelijke ruimtes. Dat komt deels door afhankelijkheid van derde partijen. Zo is telecomprovider KPN verantwoordelijk voor de aanleg van de kabels die deel uitmaken van dit netwerk en eventuele aanpassingen daaraan.
Om dat mogelijk te maken, moet Defensie staatsgeheime informatie delen met het bedrijf. Denk aan de locaties van kabels of netwerkruimtes. KPN besteedt veel werkzaamheden echter uit aan onderaannemers, die het óók weer uitbesteden aan onderaannemers. Op deze manier verdwijnt bij Defensie uit zicht wie aan NAFIN werkt en welke afspraken er met deze partijen zijn gemaakt.
‘Terugkerend probleem’
Dat leidde er dus toe dat een onderaannemer twee jaar zonder toestemming bij gevoelige locaties kon komen. De Algemene Rekenkamer noemt dergelijke ongeoorloofde toegang een ’terugkerend probleem’ bij de beveiliging van Defensie-objecten en verwijst naar eerder onderzoek uit 2022 en 2023 waarin het vergelijkbare conclusies trok over andere onderdelen.
Een andere zwakke plek betreft toezicht op het naleven van beveiligingseisen en aansluitvoorwaarden. Defensie controleert niet of andere gebruikers (zoals andere ministeries) zich aan die eisen houden. Ook benut het ministerie de middelen niet optimaal om cyberaanvallen op het NAFIN te detecteren. Verder is er geen uitgewerkte strategische visie op de toekomst van NAFIN, wat de veiligheid op de lange termijn in gevaar brengt.
Niet strategisch over nagedacht
Zo brengt de Rekenkamer in herinnering dat het netwerk in 2001 bijna werd verkocht aan een commerciële partij. Zo zijn er wel meer beslissingen omtrent het netwerk gebaseerd op financiële of technische belangen, en niet zozeer strategische. Er zijn geen plannen of eisen gesteld aan de maximale grootte van het netwerk, ook is niet gespecificeerd wie er wel of geen gebruik van mag maken.
De enige voorwaarde die daarvoor geldt, is dat ‘het Defensiebelang niet wordt geschaad’. Dat wordt echter nergens concreet gemaakt. Een recente risico-analyse ontbreekt ook, terwijl de geopolitieke situatie daar volgens de Rekenkamer wel aanleiding toe geeft. Verder valt het NAFIN officieel niet onder ‘vitale infrastructuur’, terwijl er juist veel uiterst belangrijke processen van afhankelijk zijn.
Storing in augustus van dit jaar
Op 28 augustus van dit jaar vond een grote verstoring plaats van het NAFIN, waardoor onder andere geen vliegverkeer mogelijk was op Eindhoven Airport. Ook waren hulpdiensten onbereikbaar. Deze verstoring valt buiten de scope van dit onderzoek van de Algemene Rekenkamer. Hiervoor loopt een afzonderlijk onderzoek dat aan het einde van dit jaar wordt opgeleverd.
Wel stipt de Rekenkamer aan dat dit incident duidelijk maakt hoe belangrijk is dat het NAFIN goed functioneert en welke maatschappelijke gevolgen uitval kan hebben.
Lees ook: Timing-fout in software leidde tot storing Defensie, gemeenten en Eindhoven Airport