Communicatiesystemen vitale infrastructuur niet veilig

Nederlandse onderzoekers van het het beveiligingsbedrijf Midnight Blue hebben kwetsbaarheden ontdekt in technologie die wereldwijd wordt gebruikt door onder meer hulpdiensten. Volgens de onderzoekers bestaat daardoor het risico dat kwaadwillenden kunnen meeluisteren met de communicatie van bijvoorbeeld de politie en defensie.

Vitale infrastructuur

Het systeem dat door het beveiligingsbedrijf onder de loep is genomen is TETRA, dat staat voor Terrestrial Trunked Radio, sinds 1995 de standaard voor mobiele radiocommunicatie. In Nederland wordt de technologie onder andere gebruikt voor C2000, het systeem waarmee de politie, brandweer, ambulancediensten en de Koninklijke Marechaussee communiceren. Ook andere organisaties in de vitale infrastructuur maken gebruik van TETRA, zoals enkele openbaarvervoerorganisaties en waterbedrijven.

Achterdeur staat open

De ethische hackers van Midnight Blue ontdekten in totaal vijf kwetsbaarheden in de beveiliging van TETRA, waaronder een 'achterdeur' om de beveiliging van een bepaald versleutelingsmechanisme te omzeilen. Dat mechanisme wordt onder meer gebruikt voor de aansturing van hoogspanningsnetwerken en spoorwegen in Luxemburg en Duitsland en voor de private beveiliging van Nederlandse havengebieden, zegt onderzoeker Jos Wetzels. Europese politiediensten maken er geen gebruik van.

Politie af te luisteren

Een andere aangetroffen probleem raakt die politiediensten wel. Die kwetsbaarheid maakt het kwaadwillenden mogelijk om communicatieverkeer te onderscheppen en op een later tijdstip te ontsleutelen. ‘Of, als je het platslaat: aanvallers kunnen hierdoor de politie afluisteren’, zegt Wetzels. Of dat ook echt gebeurd is, is onduidelijk. Volgens Wetzels is het moeilijk om een actieve aanval op het communicatieverkeer van de politie te onderscheiden van bijvoorbeeld een storing op de lijn.

Beveiligingsupdate beschikbaar

De onderzoekers van Midnight Blue hebben hun bevindingen in december 2021 voorgelegd aan het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid. Een woordvoerder van het ministerie zegt dat de kwetsbaarheid het mogelijk maakt om communicatie via portofoons en mobilofoons te onderscheppen, manipuleren, of verstoren.

Inmiddels is het C2000-netwerk beter beveiligd, zegt de woordvoerder. Ook is er een beveiligingsupdate beschikbaar voor de portofoons en mobilofoons. Omdat de TETRA-kwetsbaarheden ook andere landen raken, heeft de Nederlandse overheid contact met onder meer Duitsland, Denemarken, België en Engeland over te nemen maatregelen.