De Nederlandse Defensie blijkt onvoldoende voorbereid op het risico van sabotage, volgens een recent onderzoek van de Algemene Rekenkamer naar het communicatienetwerk van het ministerie van Defensie. Het rapport wijst op beveiligingsproblemen binnen het Netherlands Armed Forces Integrated Network (Nafin), dat defensieonderdelen en overheidsinstanties met elkaar verbindt.
Netwerkveiligheid in theorie goed, maar in praktijk kwetsbaar
Hoewel het netwerk technisch goed ontworpen is en de kans op uitval laag blijft, tonen tests aan dat onbevoegden toegang kunnen krijgen tot beveiligde ruimtes en netwerkkasten. Dit betekent dat de beveiliging in de praktijk tekortschiet, ondanks dat het systeem op papier goed beveiligd lijkt te zijn.
Belangrijke rol voor noodcommunicatie en overheidsdiensten
Het Nafin-netwerk is een cruciale verbinding voor verschillende overheidsdiensten, waaronder Defensie, noodnummers en ministeries. Zo maken meldkamers voor het alarmnummer 112 en overheidsinstanties zoals de Eerste en Tweede Kamer gebruik van Nafin voor communicatie.
Grote storing in augustus legt kwetsbaarheid bloot
Op 28 augustus zorgde een grote storing bij Nafin voor problemen, waaronder het stilleggen van vliegverkeer op Eindhoven Airport en verstoringen bij communicatie met hulpdiensten en ministeries. Hoewel deze storing niet in het onderzoek van de Rekenkamer is meegenomen, wijst deze gebeurtenis volgens de Rekenkamer op de noodzaak voor een hogere tolerantie voor kwetsbaarheden.
Gebrek aan toezicht en autorisatieproblemen
Uit het rapport blijkt dat Defensie niet altijd controle heeft over de toegangscontrole bij netwerkonderhoud. KPN, verantwoordelijk voor het beheer van Nafin, werkt met onderaannemers, wat leidt tot een gebrek aan overzicht over wie bevoegd is. In een geval werkte een onderaannemer twee jaar lang zonder geldige autorisatie aan het netwerk.
Behoefte aan optimalisatie en minder uitbesteding
De Rekenkamer raadt aan het netwerk als vitaal aan te merken en voortaan minder partijen bij het onderhoud te betrekken. Ook pleit men voor continu toezicht op sabotage- en spionagerisico’s. Er moet een directe controle zijn op het naleven van de veiligheidsvoorwaarden door de netwerkgebruikers.