De grenstoezichtsystemen van de Marechaussee op Schiphol zijn onvoldoende beveiligd en zouden bij een mogelijke aanval onbruikbaar kunnen worden. Daardoor kan de continuïteit van het grenstoezicht en de vertrouwelijkheid van de verwerkte gegevens in het geding komen, zo stelt de Algemene Rekenkamer in een vandaag verschenen onderzoeksrapport.

Het onderzoek van de Rekenkamer richtte zich op drie verschillende it-systemen die de Marechaussee gebruikt, namelijk voor controles op aankomende passagiers gedurende hun vlucht (pre-assessment), controles bij de paspoortbalie en het selfservicesysteem. De eerste twee systemen zijn eigendom van het ministerie van Defensie, het selfservicesysteem valt onder het ministerie van Justitie en Veiligheid.

Uit het onderzoek van de Rekenkamer blijkt dat het it-systeem van de paspoortbalie en het selfservicesysteem de vereiste goedkeuringsprocedure niet volledig hebben doorlopen. Het is daardoor onzeker of de systemen bij de balie en selfservice voldoende beschermd zijn tegen cyberaanvallen omdat niet is vastgesteld in hoeverre de benodigde beveiligingsmaatregelen zijn genomen, zo laat het onderzoeksrapport weten.

Verder laat het onderzoek zien dat de grenstoezichtsystemen waarvoor het ministerie van Defensie verantwoordelijk is, niet individueel zijn aangesloten op het SIOC (Security Intelligence Operations Centre), waarmee afwijkend gedrag is te detecteren. Ook het selfservicesysteem van het ministerie van Justitie en Veiligheid is niet op een Security Operations Center (SOC) aangesloten.

Beveiligingstesten

Defensie stelt in het eigen beleid dat eigen informatiesystemen jaarlijks op het naleven van beveiligingsnormen worden gecontroleerd. Bij twee van de drie grenstoezichtsystemen bleek de beveiliging nog nooit te zijn getest. Het selfservicesysteem van Justitie en Veiligheid was één keer getest, maar deze test was veel beperkter dan gepland. Hierdoor bestaat volgens de Rekenkamer het risico dat aanvallers misbruik maken van onopgemerkte kwetsbaarheden in de drie it-systemen.

Een test van de software van het selfservicesysteem die in 2018 door Defensie werd uitgevoerd leverde twaalf kwetsbaarheden op, waaronder het gebruik van eenvoudige wachtwoorden en niet bijgewerkte software. In 2019 vond er opnieuw een test plaats naar tien van de twaalf gevonden kwetsbaarheden. Van drie kwetsbaarheden waren de aanbevelingen opgevolgd, van de overige zeven niet.

De Rekenkamer besloot een onderdeel van Defensie het pre-assessmentsysteem te laten testen. Dit leverde elf kwetsbaarheden op, waaronder het gebruik van een eenvoudig te achterhalen standaardwachtwoord, de mogelijkheid om beheerrechten toe te kennen en daarmee controle over een server in het centrale beheerplatform van het ministerie van Defensie te krijgen, het versturen van e-mails uit naam van willekeurige Defensie-medewerkers en het gebruik van oude software die geen beveiligingsupdates meer ontvangt. Een van de gebruikte programma's wordt sinds 2016 niet meer ondersteund.

Door de kwetsbaarheden te combineren zou een aanvaller toegang tot het pre-assessmentsysteem kunnen krijgen en de werking ervan kunnen beïnvloeden. Zo zou het mogelijk zijn om passagiersgegevens in te zien of aan te geven dat passagiers niet op een opsporingslijst staan terwijl dit wel het geval is. Een deel van de gevonden problemen is inmiddels verholpen.

Afsluitend adviseert de Rekenkamer om alle systemen te laten testen, aan te sluiten op de security operations centers en ervoor te zorgen dat alle systemen de goedkeuringsprocedure hebben doorlopen. Minister Bijleveld van Defensie en minister Grapperhaus van Justitie en Veiligheid erkennen dat de beveiliging moet worden verbeterd. "Tegelijkertijd is de opgave op het gebied van cybersecurity groot en het it-landschap voor het grenstoezicht dynamisch. Op veel van de aanbevelingen zetten we reeds stappen. Of we aan alle aanbevelingen kunnen voldoen binnen de door u aanbevolen termijnen of frequentie kunnen we daarom niet op voorhand garanderen", aldus de bewindslieden.