De cyberveiligheid van het grenstoezicht door de Koninklijke Marechaussee op Schiphol is onvoldoende en niet toekomstbestendig. Beveiligingstesten op de IT-systemen vinden niet of nauwelijks plaats. De software van twee IT-systemen is zonder de vereiste goedkeuring operationeel. En IT-systemen zijn niet aangesloten op de detectiecapaciteit van Defensie en Schiphol.
Onze conclusie is dat de cybersecurity van het grenstoezicht door de Koninklijke Marechaussee op Schiphol in de praktijk nog te wensen overlaat. Het Ministerie van JenV maakt voor de cybersecurity van het grenstoezicht gebruik van expertise en IT-infrastructuur van het Ministerie van Defensie en Schiphol N.V. Binnen het Ministerie van Defensie is de expertise aanwezig om een hoog niveau van cybersecurity te waarborgen. Maar de organisatie zet deze in de praktijk niet altijd in conform afspraken en eigen richtlijnen. In het licht van alle komende technologische ontwikkelingen beoordelen we het huidige niveau van cybersecurity op het grenstoezicht als onvoldoende en niet toekomstbestendig.
Om de cybersecurity van het grenstoezicht door de KMar op Schiphol te vergroten, doen we aanbevelingen aan de verantwoordelijke bewindspersonen.
We bevelen de minister van Defensie aan:
Zorg dat voor het IT-systeem van de balie zo spoedig mogelijk de benodigde beveiligingsmaatregelen worden genomen zodat de goedkeuringsprocedure conform het Defensiebeveiligingsbeleid kan worden afgerond.
Sluit de twee IT-systemen van het grenstoezicht waar het Ministerie van Defensie voor verantwoordelijk is zo snel mogelijk aan op de detectiecapaciteit van het SOC van het Ministerie van Defensie en geef hierbij de hoogste prioriteit aan het als ‘kritiek’ benoemde systeem voor pre-assessment.
We bevelen de minister van JenV aan:
Zorg dat het selfservicesysteem de goedkeuringsprocedure conform het Defensiebeveiligingsbeleid zo spoedig mogelijk doorloopt, waarbij Schiphol N.V. alle beveiligingseisen implementeert en blijft implementeren en het systeem goedkeuring verkrijgt van de beveiligingsautoriteit van het Ministerie van JenV.
Overdenk opnieuw of met de voorgenomen overdracht van het selfservicesysteem aan Schiphol N.V. de cybersecurity afdoende gewaarborgd is.
Zorg dat het selfservicesysteem zo snel mogelijk op de detectiecapaciteit van het SOC van Schiphol N.V. wordt aangesloten.
We bevelen de minister van Defensie en de minister van JenV gezamenlijk aan:
Onderwerp de drie grenstoezichtsystemen zo snel mogelijk, conform het Defensiebeveiligingsbeleid, aan jaarlijkse beveiligingstesten.
Laat het Ministerie van Defensie en het Ministerie van JenV in samenwerking met alle relevante ketenpartijen oefenen met het beheersen van crises als gevolg van een cyberaanval op de drie IT-systemen van het grenstoezicht op Schiphol.
Het grenstoezicht kan door het belang voor Schiphol en de grote hoeveelheden persoonsgegevens een interessant doelwit zijn voor hackers. Schiphol is met bijna 80 miljoen passagiers per jaar niet alleen de belangrijkste luchthaven van Nederland, maar ook een belangrijke toegangspoort tot Europa / de Europese Unie (EU) en de tweede hub van Europa. Voor het grenstoezicht verwerkt de KMar persoonsgegevens van passagiers van over de hele wereld. Het betreft onder meer informatie over nationaliteit, reisroute, reisgezelschap en in sommige gevallen strafrechtelijke gegevens. Verschillende incidenten illustreren dat aanvallers het op deze gegevens gemunt hebben. Zo zijn bij cyberaanvallen op de Amerikaanse grenscontroleautoriteit en luchtvaartmaatschappijen persoonlijke gegevens van miljoenen passagiers buitgemaakt.
In dit onderzoek stonden 6 onderzoeksvragen centraal:
Hoe ziet de context van het grenstoezicht door de Koninklijke Marechaussee op Schiphol eruit, welke processen kent het grenstoezicht en welke IT is hieraan ondersteunend?
Welke preventieve cybersecuritymaatregelen zijn er genomen rondom de IT van het grenstoezicht?
Welke detectiemaatregelen zijn er, en zijn deze voldoende?
Hoe werken deze detectiemaatregelen in de praktijk en bieden ze voldoende bescherming?
Welke responsscenario’s zijn er voor cyberincidenten, en zijn ze voldoende?
Hoe werken de responsscenario’s in de praktijk en is dat voldoende?
Als normenkader bij de beantwoording van onderzoeksvragen 2 tot en met 6 hanteerden we het cybersecurityraamwerk van het National Institute of Standards and Technology (NIST). Het NIST is onderdeel van het Amerikaanse Ministerie van Economische Zaken. Hun raamwerk voor cybersecurity wordt wereldwijd veel gebruikt en heeft relaties met beveiligingsstandaarden en -modellen als ISO 27001 en COBIT. Het NIST-raamwerk onderscheidt vijf hoofdfuncties, waaronder de voor ons onderzoek extra relevante functies ‘detectie’ en ‘respons’. De categorieën binnen de hoofdfuncties hebben we gebruikt als hulpmiddel om de diversiteit aan inspanningen op het gebied van cybersecurity bij het grenstoezicht inzichtelijk te maken. Ons uiteindelijke oordeel over de cybersecurity van het grenstoezicht is niet uitsluitend gebaseerd op het al dan niet voldoen aan de specifieke normen binnen het NIST-raamwerk. Het oordeel is kwalitatief, gevormd op basis van onze bevindingen in brede zin die we per categorie bij het grenstoezicht hebben gedaan.
Download hier het rapport: Digitalisering aan de grens
Klik hier voor de bijlage: Cyberveiligheid grenstoezicht op Schiphol onvoldoende
Klik hier voor de bijlage: Reactie minister van Defensie en minister van JenV op het rapport Digitalisering aan de grens
bron: Algemene Rekenkamer
