Rekenkamer: beveiliging Defensienetwerk NAFIN in praktijk onvoldoende
De beveiliging van Defensienetwerk NAFIN, dat laatst met een grote storing te maken kreeg, is op papier goed geregeld, maar in de praktijk onvoldoende. Zo blijkt het in de praktijk mogelijk voor onbevoegden om fysiek toegang te krijgen tot beveiligde ruimtes en netwerkkasten. Dat oordeelt de Algemene Rekenkamer op basis van onderzoek dat losstaat van de recente storing (pdf).
Het Netherlands Armed Forces Integrated Network (NAFIN) is een glasvezelnetwerk van het ministerie van Defensie en KPN. Het maakt veilige communicatie tussen Defensieonderdelen mogelijk. Politie, de meldkamers van noodnummer 112 én alle ministeries en Eerste en Tweede Kamer maken ook gebruik van het netwerk om onderling te communiceren. Vanwege het belang van NAFIN besloot de Rekenkamer het netwerk te onderzoeken.
"Onze eerste conclusie is dat de minister van Defensie geen strategie voor of visie op de rol en de toekomst van het NAFIN heeft. Het NAFIN werd in die tijd met goede redenen opgericht met het idee geld te besparen. Maar de randvoorwaarden waaraan het netwerk te allen tijde moet voldoen zijn toen niet, en ook nu nog niet, uitgewerkt in beleid", aldus de Rekenkamer.
Een ander punt is de keuze van de minister van Defensie om het netwerk uit te breiden voor civiele partners, zoals ministeries. "Technisch gezien is hier goed over nagedacht. Maar we missen bij dit soort besluiten beleid en scenario’s die verder kijken dan de techniek. Hoe groot mag het NAFIN eigenlijk worden? En wie mag er wel of geen gebruik van maken? Op dit soort vragen heeft de minister van Defensie nog geen antwoord", laat de Rekenkamer verder weten.
Fysieke beveiliging onvoldoende
Vanwege het belang van NAFIN moet het volgens de Rekenkamer aan de 'hoogste beveiligingseisen' voldoen, maar een tweede conclusie is dat de fysieke beveiliging van het netwerk onvoldoende is. "We zien dat het NAFIN technisch gezien goed opgezet is", staat het in rapport vermeld. "In de praktijk zien we dat de detectiemiddelen niet volledig worden benut. Ook de fysieke toegang tot het netwerk op Defensie-locaties is onvoldoende beveiligd."
KPN
De derde conclusie is dat het ontbreekt aan militaire regie en controle vanuit Defensie over het netwerk. "KPN werd de juridisch eigenaar. Dat betekent dat het netwerk in feite niet volledig military owned is en Defensie afweek van deze eigen randvoorwaarde. Defensie is afhankelijk van KPN voor aanleg en aanpassingen in het netwerk en kan praktisch gezien niet meer overstappen op een andere provider." Om werk aan KPN uit te besteden moet Defensie staatsgeheime informatie met KPN delen, zoals informatie over waar de NAFIN-kabels liggen of waar de netwerkruimtes precies staan.De Rekenkamer concludeert dat Defensie te weinig overzicht en grip heeft op wie er aan de kabels van het NAFIN werken. Daarnaast is Defensie voor de beveiliging van het netwerk afhankelijk van hoe zijn gebruikers het netwerk behandelen en beveiligen. Defensie stelt aansluitvoorwaarden en beveiligingseisen voor het NAFIN op, maar controleert niet of zijn gebruikers zich hieraan houden.
Aanbevelingen
Naast het vaststellen van de tekortkomingen doet de Rekenkamer ook verschillende aanbevelingen. Het gaat dan om het ontwikkelen van een strategische visie op de rol van het netwerk in de Nederlandse samenleving voor nu en in de toekomst en het nemen van maatregelen om zowel de detectie van als respons op ongeoorloofde toegang tot het netwerk te verbeteren.Tevens moet worden overwogen om het werk aan minder partijen uit te besteden en beter toezicht te houden op de uitvoering van de beveiligingsmaatregelen en autorisaties voor de private partijen en hun onderaannemers die aan het NAFIN moeten werken, om zo te voorkomen dat staatsgeheime informatie over het NAFIN in de verkeerde handen terecht komt. Minister Brekelmans van Defensie laat weten de aanbevelingen te zullen overnemen.
Tijdens het onderzoek van de Algemene Rekenkamer deed zich een grote storing voor op het NAFIN. Eind augustus waren er grote problemen bij onder meer de communicatie met en tussen hulpdiensten in heel Nederland. Ook was er geen vliegverkeer mogelijk op Eindhoven Airport. De Algemene Rekenkamer heeft deze verstoring niet onderzocht.
https://nos.nl/artikel/2543570-rekenkamer-beveiliging-defensienetwerk-niet-op-orde
https://www.ad.nl/binnenland/beveiliging-glasvezelnetwerk-defensie-is-niet-op-orde-zegt-rekenkamer-grote-zorgen~a52d47f0/
https://nos.nl/artikel/2543570-rekenkamer-beveiliging-defensienetwerk-niet-op-orde
De associatie die ik heb is met het schandaal in de bouw jaren geleden, toen balkons van nieuwbouwhuizen afbraken, parkeergarages instortten en dat soort ellende. Dat is precies hetzelfde probleem: als de keten van uitbesteden te lang wordt dan lijkt alles op papier misschien wel goed geregeld te zijn, maar de eindverantwoordelijke blijkt simpelweg niet meer te overzien hoe het nou echt gaat.
Het probleem lijkt mij dat in contracten de verantwoordelijkheden worden geregeld en de aansprakelijkheid als er iets mis gaat, maar dat dat voorbij gaat aan wat er nodig is om het werk goed te organiseren. Dat vergt dat tijdens de uitvoering alle betrokkenen goed contact met elkaar onderhouden, en dat is iets volkomen anders. Het lijkt er met andere woorden op alsof juristen een te zwaar stempel op de organisatie van allerlei werk zijn gaan leggen, mensen die meer gericht zijn op het voorbereiden van de afwikkeling van wat er eventueel misgaat dan op het organiseren dat het om te beginnen niet misgaat.
Weer gelukt.
Glas, plas, was.
Ik ben best bereid hiervoor meer belasting te betalen, ik hoop dat anderen er ook zo over denken.
Ook zou het handig zijn als Nederland investeerd in zijn eigen lanceerbare kernraketten, (minstens een stuk of 5) om als afschrikmiddel tegen oorlog te dienen, deze moeten worden gestationeerd op nucleaire duikboten.
Het is een dure grap dus het vereist wat geld, om dat te krijgen kan Nederland zelf een pharmaceutische industrie starten (van de staat) en de goederen voor een betere prijs verkopen aan landen dan dat big pharma dat doet, want die vragen soms duizenden percentages winst.
Zo worden we de enige waardige optie en krijgen we als land een hoop geld, daarvan kunnen we dit soort dingen bekostigen.
Als dat eenmaal gedaan is kan Nederland achteraf meeprofiteren van de winsten en zo hun belastinggeld terugkrijgen.
We mieten Nederland weer op de kaart zetten, dat is al sinds de VOC-industrie niet meer gebeurd, we zijn zo achteruit gegaan...
Dan kunnen we eindelijk de staatschuld afbetalen en zijn we minder afhankelijk van Amerika.
Wat zaken doen met India kan ook geen kwaad, zij vragen veel minder geld voor olie en gas dan Rusland en Amerika dat doen.
Dan kan India zich beter ontwikkelen met dat geld en hebben wij er een machtige partner bij, hopelijk wordt India dan iets democratischer als ze het geld hebben om te moderniseren.
Ook moeten we wat doen aan die federale reserve, anders blijven we die inflatie houden... Misschien dat plan van JFK aanmoedigen, een soort executive order 11110, laten we met Nederland beginnen dit aan te schaffen, en het voorbeeld stellen voor andere landen.
Ook gesmoltenzoutreactoren kunnen Nederland onafhankelijk maken van energie, deze kerncentrales zijn immers een stuk veiliger.
Wel moeten we de corruptie in Nederland uitbannen, dus dat politici niet worden omgekocht met mooie banen en geld om dit soort plannen te stoppen.
De bio-industrie kan verbeterd worden door accijns te heffen op niet-diervriendelijk boeren waardoor diervriendelijke boeren bekostigd kunnen worden van dit geld, zo is er geen reden meer voor niet-diervriendelijke boeren over te stappen op het meer provitabele diervriendelijk boeren.
lijkt me onwenselijk en onveilig an sich.
Te lange communicatie- en aanvoerlijnen zijn altijd het recept geweest voor een faillissement of een verloren veldslag.
https://www.ad.nl/binnenland/beveiliging-glasvezelnetwerk-defensie-is-niet-op-orde-zegt-rekenkamer-grote-zorgen~a52d47f0/
Het was niet helemaal 'iedereen kan het' .
Neen. Wanneer privatiseerde KPN? Bij de aanleg van het netwerk in 1996 zat er iets op dat uiteindelijk onwenselijk was gebleken, maar senior officers uit '96 weten nog om wie en wat dat ging, en een vele ex-KPNers ook. Het gaat om Nafin en dat netwerk ligt in Nederland, niet in Moskou. Dat de huidige SVR dit weet, lijkt mij een inkoppertje, via de dezelfde sterke verhalen bij de jongere collega's onder genot van sterke drank. NL-KGB-veteranen moesten na '89 van hun positie schuiven in NL.
Weer gelukt.
Glas, plas, was.
Draait al sinds 1996, met slechts 1 verstoring... Lijkt mij niet heel slecht.
lijkt me onwenselijk en onveilig an sich.
Staat al genoeg over op het internet.
Bijvoorbeeld:
https://nl.wikipedia.org/wiki/Netherlands_Armed_Forces_Integrated_Network
https://magazines.defensie.nl/materieelgezien/2019/06/09_nafin
Je kan zelf natuurlijk ook even je zoekmachine aansteken.
https://www.bio-overheid.nl/media/13kduqsi/bio-versie-104zv_def.pdf
https://www.parool.nl/nederland/gevolgen-van-netwerkstoring-bij-defensie-veel-te-groot-zeggen-experts-zo-n-storing-gebeurt-niet-zomaar~bf38fd29/
https://www.parool.nl/nederland/gevolgen-van-netwerkstoring-bij-defensie-veel-te-groot-zeggen-experts-zo-n-storing-gebeurt-niet-zomaar~bf38fd29/
Daar is Ronald een beetje makkelijk in.
je kunt wel met een globale view voor "heel Nederland" roepen om te spreiden zodat slechts "sommige" belangrijke diensten uitvallen .
Maar stel dat Ronald op de netwerk architecten stoel van de paspoorten uitgifte zat.
Keuze 1
1) militair netwerk, alles redundant, heel erg beveiligd (in elk geval in theorie. En in de praktijk ook nog best behoorlijk).
2) offerte van "gewoon" KPN, Eurofiber, whatever voor een netwerk dienst. reguliere SLA en beveiliging.
En is hij dan degene die 'gewoon' op een burgernet gaat zitten voor die spreiding ?
Wetend natuurlijk , dat als het (alleen) bij hem misgaat _iedereen_ zegt - waarom zat je dan ook niet op dat super redundante nafin netwerk waar je op mocht , wat nooit downgaat. (waar tot afgelopen jaar) .
Lezend in het rapport - er was ook een storing(/performance) die uiteindelijk herleid werd tot de belastingdienst die enorm veel data pompte waardoor voice diensten storingen kregen.
Het is zo begrijpelijk dat als er dan een netwerk met heel hoge veiligheids en beschikbaarheids specs ligt, iedereen die erop mag daar ook voor kiest.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
