Rekenkamer: beveiliging Defensienetwerk NAFIN in praktijk onvoldoende
De beveiliging van Defensienetwerk NAFIN, dat laatst met een grote storing te maken kreeg, is op papier goed geregeld, maar in de praktijk onvoldoende. Zo blijkt het in de praktijk mogelijk voor onbevoegden om fysiek toegang te krijgen tot beveiligde ruimtes en netwerkkasten. Dat oordeelt de Algemene Rekenkamer op basis van onderzoek dat losstaat van de recente storing (pdf).
Het Netherlands Armed Forces Integrated Network (NAFIN) is een glasvezelnetwerk van het ministerie van Defensie en KPN. Het maakt veilige communicatie tussen Defensieonderdelen mogelijk. Politie, de meldkamers van noodnummer 112 én alle ministeries en Eerste en Tweede Kamer maken ook gebruik van het netwerk om onderling te communiceren. Vanwege het belang van NAFIN besloot de Rekenkamer het netwerk te onderzoeken.
"Onze eerste conclusie is dat de minister van Defensie geen strategie voor of visie op de rol en de toekomst van het NAFIN heeft. Het NAFIN werd in die tijd met goede redenen opgericht met het idee geld te besparen. Maar de randvoorwaarden waaraan het netwerk te allen tijde moet voldoen zijn toen niet, en ook nu nog niet, uitgewerkt in beleid", aldus de Rekenkamer.
Een ander punt is de keuze van de minister van Defensie om het netwerk uit te breiden voor civiele partners, zoals ministeries. "Technisch gezien is hier goed over nagedacht. Maar we missen bij dit soort besluiten beleid en scenario’s die verder kijken dan de techniek. Hoe groot mag het NAFIN eigenlijk worden? En wie mag er wel of geen gebruik van maken? Op dit soort vragen heeft de minister van Defensie nog geen antwoord", laat de Rekenkamer verder weten.
Fysieke beveiliging onvoldoende
Vanwege het belang van NAFIN moet het volgens de Rekenkamer aan de 'hoogste beveiligingseisen' voldoen, maar een tweede conclusie is dat de fysieke beveiliging van het netwerk onvoldoende is. "We zien dat het NAFIN technisch gezien goed opgezet is", staat het in rapport vermeld. "In de praktijk zien we dat de detectiemiddelen niet volledig worden benut. Ook de fysieke toegang tot het netwerk op Defensie-locaties is onvoldoende beveiligd."
KPN
De derde conclusie is dat het ontbreekt aan militaire regie en controle vanuit Defensie over het netwerk. "KPN werd de juridisch eigenaar. Dat betekent dat het netwerk in feite niet volledig military owned is en Defensie afweek van deze eigen randvoorwaarde. Defensie is afhankelijk van KPN voor aanleg en aanpassingen in het netwerk en kan praktisch gezien niet meer overstappen op een andere provider." Om werk aan KPN uit te besteden moet Defensie staatsgeheime informatie met KPN delen, zoals informatie over waar de NAFIN-kabels liggen of waar de netwerkruimtes precies staan.De Rekenkamer concludeert dat Defensie te weinig overzicht en grip heeft op wie er aan de kabels van het NAFIN werken. Daarnaast is Defensie voor de beveiliging van het netwerk afhankelijk van hoe zijn gebruikers het netwerk behandelen en beveiligen. Defensie stelt aansluitvoorwaarden en beveiligingseisen voor het NAFIN op, maar controleert niet of zijn gebruikers zich hieraan houden.
Aanbevelingen
Naast het vaststellen van de tekortkomingen doet de Rekenkamer ook verschillende aanbevelingen. Het gaat dan om het ontwikkelen van een strategische visie op de rol van het netwerk in de Nederlandse samenleving voor nu en in de toekomst en het nemen van maatregelen om zowel de detectie van als respons op ongeoorloofde toegang tot het netwerk te verbeteren.Tevens moet worden overwogen om het werk aan minder partijen uit te besteden en beter toezicht te houden op de uitvoering van de beveiligingsmaatregelen en autorisaties voor de private partijen en hun onderaannemers die aan het NAFIN moeten werken, om zo te voorkomen dat staatsgeheime informatie over het NAFIN in de verkeerde handen terecht komt. Minister Brekelmans van Defensie laat weten de aanbevelingen te zullen overnemen.
Tijdens het onderzoek van de Algemene Rekenkamer deed zich een grote storing voor op het NAFIN. Eind augustus waren er grote problemen bij onder meer de communicatie met en tussen hulpdiensten in heel Nederland. Ook was er geen vliegverkeer mogelijk op Eindhoven Airport. De Algemene Rekenkamer heeft deze verstoring niet onderzocht.
https://nos.nl/artikel/2543570-rekenkamer-beveiliging-defensienetwerk-niet-op-orde
https://www.ad.nl/binnenland/beveiliging-glasvezelnetwerk-defensie-is-niet-op-orde-zegt-rekenkamer-grote-zorgen~a52d47f0/
https://nos.nl/artikel/2543570-rekenkamer-beveiliging-defensienetwerk-niet-op-orde
De associatie die ik heb is met het schandaal in de bouw jaren geleden, toen balkons van nieuwbouwhuizen afbraken, parkeergarages instortten en dat soort ellende. Dat is precies hetzelfde probleem: als de keten van uitbesteden te lang wordt dan lijkt alles op papier misschien wel goed geregeld te zijn, maar de eindverantwoordelijke blijkt simpelweg niet meer te overzien hoe het nou echt gaat.
Het probleem lijkt mij dat in contracten de verantwoordelijkheden worden geregeld en de aansprakelijkheid als er iets mis gaat, maar dat dat voorbij gaat aan wat er nodig is om het werk goed te organiseren. Dat vergt dat tijdens de uitvoering alle betrokkenen goed contact met elkaar onderhouden, en dat is iets volkomen anders. Het lijkt er met andere woorden op alsof juristen een te zwaar stempel op de organisatie van allerlei werk zijn gaan leggen, mensen die meer gericht zijn op het voorbereiden van de afwikkeling van wat er eventueel misgaat dan op het organiseren dat het om te beginnen niet misgaat.
Weer gelukt.
Glas, plas, was.
Ik ben best bereid hiervoor meer belasting te betalen, ik hoop dat anderen er ook zo over denken.
Ook zou het handig zijn als Nederland investeerd in zijn eigen lanceerbare kernraketten, (minstens een stuk of 5) om als afschrikmiddel tegen oorlog te dienen, deze moeten worden gestationeerd op nucleaire duikboten.
Het is een dure grap dus het vereist wat geld, om dat te krijgen kan Nederland zelf een pharmaceutische industrie starten (van de staat) en de goederen voor een betere prijs verkopen aan landen dan dat big pharma dat doet, want die vragen soms duizenden percentages winst.
Zo worden we de enige waardige optie en krijgen we als land een hoop geld, daarvan kunnen we dit soort dingen bekostigen.
Als dat eenmaal gedaan is kan Nederland achteraf meeprofiteren van de winsten en zo hun belastinggeld terugkrijgen.
We mieten Nederland weer op de kaart zetten, dat is al sinds de VOC-industrie niet meer gebeurd, we zijn zo achteruit gegaan...
Dan kunnen we eindelijk de staatschuld afbetalen en zijn we minder afhankelijk van Amerika.
Wat zaken doen met India kan ook geen kwaad, zij vragen veel minder geld voor olie en gas dan Rusland en Amerika dat doen.
Dan kan India zich beter ontwikkelen met dat geld en hebben wij er een machtige partner bij, hopelijk wordt India dan iets democratischer als ze het geld hebben om te moderniseren.
Ook moeten we wat doen aan die federale reserve, anders blijven we die inflatie houden... Misschien dat plan van JFK aanmoedigen, een soort executive order 11110, laten we met Nederland beginnen dit aan te schaffen, en het voorbeeld stellen voor andere landen.
Ook gesmoltenzoutreactoren kunnen Nederland onafhankelijk maken van energie, deze kerncentrales zijn immers een stuk veiliger.
Wel moeten we de corruptie in Nederland uitbannen, dus dat politici niet worden omgekocht met mooie banen en geld om dit soort plannen te stoppen.
De bio-industrie kan verbeterd worden door accijns te heffen op niet-diervriendelijk boeren waardoor diervriendelijke boeren bekostigd kunnen worden van dit geld, zo is er geen reden meer voor niet-diervriendelijke boeren over te stappen op het meer provitabele diervriendelijk boeren.
lijkt me onwenselijk en onveilig an sich.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
