Fysieke toegang NAFIN onvoldoende beveiligd

Het is mogelijk om ongeoorloofd fysieke toegang te krijgen tot beveiligde ruimtes en netwerkkasten die behoren tot het Netherlands Armed Forces Integrated Network (NAFIN), het glasvezelnetwerk van het ministerie van Defensie en KPN. Dat concludeert de Algemene Rekenkamer, dat NAFIN uitgebreid onderzocht. Een deel van het probleem zit in de afhankelijkheid van Defensie van externe partijen.

Vertrouwelijk communiceren

Sabotageacties op kritieke Europese systemen worden steeds gebruikelijker. Dat gegeven vormt de aanleiding voor het onderzoek van de Algemene Rekenkamer naar de beveiliging van het NAFIN. Formeel behoort het netwerk niet tot de ‘vitale infrastructuur’. Toch is het best kritisch: het stelt de onderdelen van Defensie, de politie en meldkamers van noodnummer 112, plus alle ministeries en Eerste en Tweede Kamer in staat om veilig en vertrouwelijk met elkaar te communiceren.

Dat gaat over het algemeen goed, blijkt uit het onderzoek. Het netwerk wordt technisch goed ondersteund en onderhouden. Er is maar een kleine kans dat het netwerk niet functioneert. Maar als het toch gebeurt, kan dat grote gevolgen hebben. Dat bleek op 28 augustus 2024, toen het vliegverkeer op Eindhoven Airport stillag en de hulpdiensten communicatieproblemen ervoeren, vanwege een fout in de software van het NAFIN. De Algemene Rekenkamer zat toen midden in het onderzoek naar het NAFIN, maar heeft deze specifieke verstoring niet onderzocht - de analyse van Defensie wordt aan het einde van het jaar verwacht.

Randvoorwaarden niet vervuld

Bij de aanleg in 1996 stelde het ministerie van Defensie twee randvoorwaarden. Het NAFIN zou nooit mogen uitvallen en het zou militairy owned en controlled moeten zijn; Defensie zou de regie moeten hebben over het netwerk. Aan beide randvoorwaarden wordt niet genoeg voldaan, ziet de Algemene Rekenkamer: in de praktijk is het NAFIN onvoldoende beveiligd, Defensie heeft maar beperkt de regie en het ontbreekt aan strategie.

Onvoldoende alert op sabotage

De belangrijkste locaties van het netwerk kom je niet zomaar binnen: op papier zijn de toegangsprocedures heel strikt. Toch blijkt uit de tests van de Algemene Rekenmaker dat het mogelijk is zonder de juiste autorisatie toegang te krijgen tot de ruimtes en de netwerkkasten in de ruimtes.

Defensie besteedt fysieke werkzaamheden, zoals aanleg en onderhoud van kabels van het netwerk, uit aan KPN. Dit bedrijf zet onderaannemers in, die op hun beurt ook weer onderaannemers aan het werk zetten. Zo wordt staatsgeheime informatie, zoals informatie over waar de kabels liggen of waar de netwerkruimtes zich bevinden, steeds verder verspreid. Eén onderaannemer werkte maar liefst twee jaar lang aan het netwerk zonder geldige autorisatie.

Dit gaat vaker mis bij Defensie, blijkt uit Verantwoordingsonderzoeken van de Algemene Rekenkamer over Defensie uit 2022 en 2023. ‘Het is zorgelijk dat we soortgelijke bevindingen bij de beveiliging van het NAFIN aantreffen,’ schrijven de onderzoekers. ‘Dit leidt ons tot de conclusie dat Nederland in een zeer gespannen geopolitieke situatie militair gezien onvoldoende alert is op sabotagerisico’s door statelijke actoren.’

Geen visie op groei

De Algemene Rekenkamer plaatst vraagtekens bij de keuze van Defensie om civiele partners, zoals andere ministeries, tot het netwerk toe te laten zonder dat er een strategische visie ligt. ‘Technisch gezien is hier goed over nagedacht. Maar we missen bij dit soort besluiten beleid en scenario’s die verder kijken dan de techniek. Hoe groot mag het NAFIN eigenlijk worden? En wie mag er wel of geen gebruik van maken?’

Met de groei van het netwerk neemt de kans op veiligheidsincidenten toen. Gebruikers van het netwerk moeten zich houden aan de aansluitvoorwaarden en beveiligingseisen voor het NAFIN, maar de minister van Defensie controleert niet of ze dat ook echt doen. Ook is er al lang geen nieuwe risicoanalyse voor NAFIN gemaakt. Daarnaast blijkt Defensie de middelen om cyberaanvallen op het NAFIN te detecteren niet optimaal te benutten.

Werken aan veiligheidsbewustzijn

In de aanbevelingen schrijft de Rekenkamer dat er maatregelen moeten worden getroffen om de detectie en de respons op ongeoorloofde toegang te verbeteren. Er is continue monitoring nodig is op mogelijke sabotage en spionage op de kabels. Het ministerie moet investeren in veiligheidsbewustzijn van iedereen die toegang tot het netwerk heeft en de beveiliging van NAFIN-netwerkruimtes moet voortaan periodiek fysiek en digitaal worden getest.