De beveiliging van Defensienetwerk NAFIN, dat laatst met een grote storing te maken kreeg, is op papier goed geregeld, maar in de praktijk onvoldoende. Zo blijkt het in de praktijk mogelijk voor onbevoegden om fysiek toegang te krijgen tot beveiligde ruimtes en netwerkkasten. Dat oordeelt de Algemene Rekenkamer op basis van onderzoek dat losstaat van de recente storing (pdf).

Het Netherlands Armed Forces Integrated Network (NAFIN) is een glasvezelnetwerk van het ministerie van Defensie en KPN. Het maakt veilige communicatie tussen Defensieonderdelen mogelijk. Politie, de meldkamers van noodnummer 112 én alle ministeries en Eerste en Tweede Kamer maken ook gebruik van het netwerk om onderling te communiceren. Vanwege het belang van NAFIN besloot de Rekenkamer het netwerk te onderzoeken.

"Onze eerste conclusie is dat de minister van Defensie geen strategie voor of visie op de rol en de toekomst van het NAFIN heeft. Het NAFIN werd in die tijd met goede redenen opgericht met het idee geld te besparen. Maar de randvoorwaarden waaraan het netwerk te allen tijde moet voldoen zijn toen niet, en ook nu nog niet, uitgewerkt in beleid", aldus de Rekenkamer.

Een ander punt is de keuze van de minister van Defensie om het netwerk uit te breiden voor civiele partners, zoals ministeries. "Technisch gezien is hier goed over nagedacht. Maar we missen bij dit soort besluiten beleid en scenario’s die verder kijken dan de techniek. Hoe groot mag het NAFIN eigenlijk worden? En wie mag er wel of geen gebruik van maken? Op dit soort vragen heeft de minister van Defensie nog geen antwoord", laat de Rekenkamer verder weten.

Fysieke beveiliging onvoldoende

Vanwege het belang van NAFIN moet het volgens de Rekenkamer aan de 'hoogste beveiligingseisen' voldoen, maar een tweede conclusie is dat de fysieke beveiliging van het netwerk onvoldoende is. "We zien dat het NAFIN technisch gezien goed opgezet is", staat het in rapport vermeld. "In de praktijk zien we dat de detectiemiddelen niet volledig worden benut. Ook de fysieke toegang tot het netwerk op Defensie-locaties is onvoldoende beveiligd."

KPN

De derde conclusie is dat het ontbreekt aan militaire regie en controle vanuit Defensie over het netwerk. "KPN werd de juridisch eigenaar. Dat betekent dat het netwerk in feite niet volledig military owned is en Defensie afweek van deze eigen randvoorwaarde. Defensie is afhankelijk van KPN voor aanleg en aanpassingen in het netwerk en kan praktisch gezien niet meer overstappen op een andere provider." Om werk aan KPN uit te besteden moet Defensie staatsgeheime informatie met KPN delen, zoals informatie over waar de NAFIN-kabels liggen of waar de netwerkruimtes precies staan.

De Rekenkamer concludeert dat Defensie te weinig overzicht en grip heeft op wie er aan de kabels van het NAFIN werken. Daarnaast is Defensie voor de beveiliging van het netwerk afhankelijk van hoe zijn gebruikers het netwerk behandelen en beveiligen. Defensie stelt aansluitvoorwaarden en beveiligingseisen voor het NAFIN op, maar controleert niet of zijn gebruikers zich hieraan houden.

Aanbevelingen

Naast het vaststellen van de tekortkomingen doet de Rekenkamer ook verschillende aanbevelingen. Het gaat dan om het ontwikkelen van een strategische visie op de rol van het netwerk in de Nederlandse samenleving voor nu en in de toekomst en het nemen van maatregelen om zowel de detectie van als respons op ongeoorloofde toegang tot het netwerk te verbeteren.

Tevens moet worden overwogen om het werk aan minder partijen uit te besteden en beter toezicht te houden op de uitvoering van de beveiligingsmaatregelen en autorisaties voor de private partijen en hun onderaannemers die aan het NAFIN moeten werken, om zo te voorkomen dat staatsgeheime informatie over het NAFIN in de verkeerde handen terecht komt. Minister Brekelmans van Defensie laat weten de aanbevelingen te zullen overnemen.

Tijdens het onderzoek van de Algemene Rekenkamer deed zich een grote storing voor op het NAFIN. Eind augustus waren er grote problemen bij onder meer de communicatie met en tussen hulpdiensten in heel Nederland. Ook was er geen vliegverkeer mogelijk op Eindhoven Airport. De Algemene Rekenkamer heeft deze verstoring niet onderzocht.