image

Rekenkamer: beveiliging Defensienetwerk NAFIN in praktijk onvoldoende

donderdag 7 november 2024, 11:20 door Redactie, 14 reacties

De beveiliging van Defensienetwerk NAFIN, dat laatst met een grote storing te maken kreeg, is op papier goed geregeld, maar in de praktijk onvoldoende. Zo blijkt het in de praktijk mogelijk voor onbevoegden om fysiek toegang te krijgen tot beveiligde ruimtes en netwerkkasten. Dat oordeelt de Algemene Rekenkamer op basis van onderzoek dat losstaat van de recente storing (pdf).

Het Netherlands Armed Forces Integrated Network (NAFIN) is een glasvezelnetwerk van het ministerie van Defensie en KPN. Het maakt veilige communicatie tussen Defensieonderdelen mogelijk. Politie, de meldkamers van noodnummer 112 én alle ministeries en Eerste en Tweede Kamer maken ook gebruik van het netwerk om onderling te communiceren. Vanwege het belang van NAFIN besloot de Rekenkamer het netwerk te onderzoeken.

"Onze eerste conclusie is dat de minister van Defensie geen strategie voor of visie op de rol en de toekomst van het NAFIN heeft. Het NAFIN werd in die tijd met goede redenen opgericht met het idee geld te besparen. Maar de randvoorwaarden waaraan het netwerk te allen tijde moet voldoen zijn toen niet, en ook nu nog niet, uitgewerkt in beleid", aldus de Rekenkamer.

Een ander punt is de keuze van de minister van Defensie om het netwerk uit te breiden voor civiele partners, zoals ministeries. "Technisch gezien is hier goed over nagedacht. Maar we missen bij dit soort besluiten beleid en scenario’s die verder kijken dan de techniek. Hoe groot mag het NAFIN eigenlijk worden? En wie mag er wel of geen gebruik van maken? Op dit soort vragen heeft de minister van Defensie nog geen antwoord", laat de Rekenkamer verder weten.

Fysieke beveiliging onvoldoende

Vanwege het belang van NAFIN moet het volgens de Rekenkamer aan de 'hoogste beveiligingseisen' voldoen, maar een tweede conclusie is dat de fysieke beveiliging van het netwerk onvoldoende is. "We zien dat het NAFIN technisch gezien goed opgezet is", staat het in rapport vermeld. "In de praktijk zien we dat de detectiemiddelen niet volledig worden benut. Ook de fysieke toegang tot het netwerk op Defensie-locaties is onvoldoende beveiligd."

KPN

De derde conclusie is dat het ontbreekt aan militaire regie en controle vanuit Defensie over het netwerk. "KPN werd de juridisch eigenaar. Dat betekent dat het netwerk in feite niet volledig military owned is en Defensie afweek van deze eigen randvoorwaarde. Defensie is afhankelijk van KPN voor aanleg en aanpassingen in het netwerk en kan praktisch gezien niet meer overstappen op een andere provider." Om werk aan KPN uit te besteden moet Defensie staatsgeheime informatie met KPN delen, zoals informatie over waar de NAFIN-kabels liggen of waar de netwerkruimtes precies staan.

De Rekenkamer concludeert dat Defensie te weinig overzicht en grip heeft op wie er aan de kabels van het NAFIN werken. Daarnaast is Defensie voor de beveiliging van het netwerk afhankelijk van hoe zijn gebruikers het netwerk behandelen en beveiligen. Defensie stelt aansluitvoorwaarden en beveiligingseisen voor het NAFIN op, maar controleert niet of zijn gebruikers zich hieraan houden.

Aanbevelingen

Naast het vaststellen van de tekortkomingen doet de Rekenkamer ook verschillende aanbevelingen. Het gaat dan om het ontwikkelen van een strategische visie op de rol van het netwerk in de Nederlandse samenleving voor nu en in de toekomst en het nemen van maatregelen om zowel de detectie van als respons op ongeoorloofde toegang tot het netwerk te verbeteren.

Tevens moet worden overwogen om het werk aan minder partijen uit te besteden en beter toezicht te houden op de uitvoering van de beveiligingsmaatregelen en autorisaties voor de private partijen en hun onderaannemers die aan het NAFIN moeten werken, om zo te voorkomen dat staatsgeheime informatie over het NAFIN in de verkeerde handen terecht komt. Minister Brekelmans van Defensie laat weten de aanbevelingen te zullen overnemen.

Tijdens het onderzoek van de Algemene Rekenkamer deed zich een grote storing voor op het NAFIN. Eind augustus waren er grote problemen bij onder meer de communicatie met en tussen hulpdiensten in heel Nederland. Ook was er geen vliegverkeer mogelijk op Eindhoven Airport. De Algemene Rekenkamer heeft deze verstoring niet onderzocht.

Image

Reacties (14)
07-11-2024, 12:49 door Anoniem
Omdat er steeds meer sabotageacties plaatsvinden op Europese systemen, heeft de Algemene Rekenkamer onderzocht hoe het Nafin door het ministerie van Defensie beschermd wordt. Uit tests is gebleken dat het mogelijk was om zonder autorisatie toegang te krijgen tot netwerkruimtes en netwerkkasten. [...] Voor werkzaamheden aan het Nafin zet KPN onderaannemers in, die dat werk op hun beurt uitbesteden aan andere onderaannemers.

https://nos.nl/artikel/2543570-rekenkamer-beveiliging-defensienetwerk-niet-op-orde
07-11-2024, 13:16 door Anoniem
Een testteam wist toegang te krijgen tot een belangrijke netwerkruimte van het NAFIN, waar de kern van het netwerk draait. Het team had geen toestemming om de ruimte te bezoeken en dat bezoek was ook niet aangekondigd. Toch kon het naar binnen. Bij twee testen ging bij Defensie het alarm af, maar kon het team zijn werk voortzetten.

https://www.ad.nl/binnenland/beveiliging-glasvezelnetwerk-defensie-is-niet-op-orde-zegt-rekenkamer-grote-zorgen~a52d47f0/
07-11-2024, 13:21 door Anoniem
Dit rapport had uiteraard ook beveiligd moeten worden, kadootje voor de FSB.
07-11-2024, 13:43 door Anoniem
Door Anoniem: Omdat er steeds meer sabotageacties plaatsvinden op Europese systemen, heeft de Algemene Rekenkamer onderzocht hoe het Nafin door het ministerie van Defensie beschermd wordt. Uit tests is gebleken dat het mogelijk was om zonder autorisatie toegang te krijgen tot netwerkruimtes en netwerkkasten. [...] Voor werkzaamheden aan het Nafin zet KPN onderaannemers in, die dat werk op hun beurt uitbesteden aan andere onderaannemers.

https://nos.nl/artikel/2543570-rekenkamer-beveiliging-defensienetwerk-niet-op-orde
Dank voor die link. Om je citaat af te maken:
Voor werkzaamheden aan het Nafin zet KPN onderaannemers in, die dat werk op hun beurt uitbesteden aan andere onderaannemers. Daardoor vertroebelt het zicht op welke beveiligingsmaatregelen zijn afgesproken. Op deze manier kon het gebeuren dat een onderaannemer twee jaar lang zonder geldige autorisatie kon werken.
Ik had de associatie al eerder gemaakt, en misschien ook wel eens in een commentaar hier genoemd, maar dat weet ik niet zeker meer.

De associatie die ik heb is met het schandaal in de bouw jaren geleden, toen balkons van nieuwbouwhuizen afbraken, parkeergarages instortten en dat soort ellende. Dat is precies hetzelfde probleem: als de keten van uitbesteden te lang wordt dan lijkt alles op papier misschien wel goed geregeld te zijn, maar de eindverantwoordelijke blijkt simpelweg niet meer te overzien hoe het nou echt gaat.

Het probleem lijkt mij dat in contracten de verantwoordelijkheden worden geregeld en de aansprakelijkheid als er iets mis gaat, maar dat dat voorbij gaat aan wat er nodig is om het werk goed te organiseren. Dat vergt dat tijdens de uitvoering alle betrokkenen goed contact met elkaar onderhouden, en dat is iets volkomen anders. Het lijkt er met andere woorden op alsof juristen een te zwaar stempel op de organisatie van allerlei werk zijn gaan leggen, mensen die meer gericht zijn op het voorbereiden van de afwikkeling van wat er eventueel misgaat dan op het organiseren dat het om te beginnen niet misgaat.
07-11-2024, 13:55 door Anoniem
Overheid en IT.
Weer gelukt.
Glas, plas, was.
07-11-2024, 14:39 door Anoniem
Door Anoniem:Het is inderdaad dik onvoldoende en er moet meer in het Nederlandse leger gefinancieerd worden, niet alleen op cybersecurity.
Ik ben best bereid hiervoor meer belasting te betalen, ik hoop dat anderen er ook zo over denken.
Ook zou het handig zijn als Nederland investeerd in zijn eigen lanceerbare kernraketten, (minstens een stuk of 5) om als afschrikmiddel tegen oorlog te dienen, deze moeten worden gestationeerd op nucleaire duikboten.

Het is een dure grap dus het vereist wat geld, om dat te krijgen kan Nederland zelf een pharmaceutische industrie starten (van de staat) en de goederen voor een betere prijs verkopen aan landen dan dat big pharma dat doet, want die vragen soms duizenden percentages winst.
Zo worden we de enige waardige optie en krijgen we als land een hoop geld, daarvan kunnen we dit soort dingen bekostigen.
Als dat eenmaal gedaan is kan Nederland achteraf meeprofiteren van de winsten en zo hun belastinggeld terugkrijgen.
We mieten Nederland weer op de kaart zetten, dat is al sinds de VOC-industrie niet meer gebeurd, we zijn zo achteruit gegaan...
Goed idee! Dat is drie vliegen in één klap.
Dan kunnen we eindelijk de staatschuld afbetalen en zijn we minder afhankelijk van Amerika.
Wat zaken doen met India kan ook geen kwaad, zij vragen veel minder geld voor olie en gas dan Rusland en Amerika dat doen.
Dan kan India zich beter ontwikkelen met dat geld en hebben wij er een machtige partner bij, hopelijk wordt India dan iets democratischer als ze het geld hebben om te moderniseren.
Ook moeten we wat doen aan die federale reserve, anders blijven we die inflatie houden... Misschien dat plan van JFK aanmoedigen, een soort executive order 11110, laten we met Nederland beginnen dit aan te schaffen, en het voorbeeld stellen voor andere landen.
Ook gesmoltenzoutreactoren kunnen Nederland onafhankelijk maken van energie, deze kerncentrales zijn immers een stuk veiliger.
Wel moeten we de corruptie in Nederland uitbannen, dus dat politici niet worden omgekocht met mooie banen en geld om dit soort plannen te stoppen.
De bio-industrie kan verbeterd worden door accijns te heffen op niet-diervriendelijk boeren waardoor diervriendelijke boeren bekostigd kunnen worden van dit geld, zo is er geen reden meer voor niet-diervriendelijke boeren over te stappen op het meer provitabele diervriendelijk boeren.
07-11-2024, 16:08 door Anoniem
vreemd dat er zoveel informatie over een schijnbaar geheim netwerk op straat komt om een punt te maken.
lijkt me onwenselijk en onveilig an sich.
07-11-2024, 17:19 door Anoniem
Door Anoniem: Dat is precies hetzelfde probleem: als de keten van uitbesteden te lang wordt [...]

Te lange communicatie- en aanvoerlijnen zijn altijd het recept geweest voor een faillissement of een verloren veldslag.
07-11-2024, 17:41 door Anoniem
Door Anoniem: Een testteam wist toegang te krijgen tot een belangrijke netwerkruimte van het NAFIN, waar de kern van het netwerk draait. Het team had geen toestemming om de ruimte te bezoeken en dat bezoek was ook niet aangekondigd. Toch kon het naar binnen. Bij twee testen ging bij Defensie het alarm af, maar kon het team zijn werk voortzetten.

https://www.ad.nl/binnenland/beveiliging-glasvezelnetwerk-defensie-is-niet-op-orde-zegt-rekenkamer-grote-zorgen~a52d47f0/

Het was niet helemaal 'iedereen kan het' .

Het testteam heeft gepoogd toegang te krijgen tot een belangrijke netwerkruimte van het NAFIN, waar de kern van het netwerk draait. Het team had een Defensie-pas, maar was niet geautoriseerd om de hoog beveiligde NAFIN-ruimte te betreden.
07-11-2024, 18:44 door Anoniem
Door Anoniem: Dit rapport had uiteraard ook beveiligd moeten worden, kadootje voor de FSB.

Neen. Wanneer privatiseerde KPN? Bij de aanleg van het netwerk in 1996 zat er iets op dat uiteindelijk onwenselijk was gebleken, maar senior officers uit '96 weten nog om wie en wat dat ging, en een vele ex-KPNers ook. Het gaat om Nafin en dat netwerk ligt in Nederland, niet in Moskou. Dat de huidige SVR dit weet, lijkt mij een inkoppertje, via de dezelfde sterke verhalen bij de jongere collega's onder genot van sterke drank. NL-KGB-veteranen moesten na '89 van hun positie schuiven in NL.
07-11-2024, 19:50 door Anoniem
Door Anoniem: Overheid en IT.
Weer gelukt.
Glas, plas, was.

Draait al sinds 1996, met slechts 1 verstoring... Lijkt mij niet heel slecht.

Door Anoniem: vreemd dat er zoveel informatie over een schijnbaar geheim netwerk op straat komt om een punt te maken.
lijkt me onwenselijk en onveilig an sich.

Staat al genoeg over op het internet.
Bijvoorbeeld:
https://nl.wikipedia.org/wiki/Netherlands_Armed_Forces_Integrated_Network
https://magazines.defensie.nl/materieelgezien/2019/06/09_nafin

Je kan zelf natuurlijk ook even je zoekmachine aansteken.
08-11-2024, 07:51 door Anoniem
Het is ooit ontwikkeld toen er nog geen baseline informatiebeveiliging overheid bestond. Misschien handig om deze eens te toetsen:
https://www.bio-overheid.nl/media/13kduqsi/bio-versie-104zv_def.pdf
08-11-2024, 09:57 door Anoniem
Hoewel alle kabels van Nafin dubbel zijn uitgevoerd, crashte het netwerk. Ronald Prins, medeoprichter van Fox-IT, noemt het opvallend dat zo veel niet-militaire diensten van Nafin gebruikmaken. “Toen het netwerk werd aangelegd, wilden alle instanties die zichzelf belangrijk vonden zich ervoor aanmelden, zelfs voor de uitgifte van paspoorten. Maar waarom zou je al je geld op één paard zetten? Een beetje spreiding kan geen kwaad.”

https://www.parool.nl/nederland/gevolgen-van-netwerkstoring-bij-defensie-veel-te-groot-zeggen-experts-zo-n-storing-gebeurt-niet-zomaar~bf38fd29/
08-11-2024, 15:40 door Anoniem
Door Anoniem: Hoewel alle kabels van Nafin dubbel zijn uitgevoerd, crashte het netwerk. Ronald Prins, medeoprichter van Fox-IT, noemt het opvallend dat zo veel niet-militaire diensten van Nafin gebruikmaken. “Toen het netwerk werd aangelegd, wilden alle instanties die zichzelf belangrijk vonden zich ervoor aanmelden, zelfs voor de uitgifte van paspoorten. Maar waarom zou je al je geld op één paard zetten? Een beetje spreiding kan geen kwaad.”

https://www.parool.nl/nederland/gevolgen-van-netwerkstoring-bij-defensie-veel-te-groot-zeggen-experts-zo-n-storing-gebeurt-niet-zomaar~bf38fd29/

Daar is Ronald een beetje makkelijk in.

je kunt wel met een globale view voor "heel Nederland" roepen om te spreiden zodat slechts "sommige" belangrijke diensten uitvallen .

Maar stel dat Ronald op de netwerk architecten stoel van de paspoorten uitgifte zat.

Keuze 1

1) militair netwerk, alles redundant, heel erg beveiligd (in elk geval in theorie. En in de praktijk ook nog best behoorlijk).
2) offerte van "gewoon" KPN, Eurofiber, whatever voor een netwerk dienst. reguliere SLA en beveiliging.

En is hij dan degene die 'gewoon' op een burgernet gaat zitten voor die spreiding ?

Wetend natuurlijk , dat als het (alleen) bij hem misgaat _iedereen_ zegt - waarom zat je dan ook niet op dat super redundante nafin netwerk waar je op mocht , wat nooit downgaat. (waar tot afgelopen jaar) .

Lezend in het rapport - er was ook een storing(/performance) die uiteindelijk herleid werd tot de belastingdienst die enorm veel data pompte waardoor voice diensten storingen kregen.

Het is zo begrijpelijk dat als er dan een netwerk met heel hoge veiligheids en beschikbaarheids specs ligt, iedereen die erop mag daar ook voor kiest.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.