Defensie had de grootschalige storing met het NAFIN-netwerk niet kunnen voorkomen, maar was ook onvoldoende op dergelijke storingen voorbereid, zo blijkt uit onderzoek van het COT Instituut voor Veiligheids- en Crisismanagement (COT) en adviesbureau Strict. Het Netherlands Armed Forces Integrated Network (NAFIN) is een glasvezelnetwerk van het ministerie van Defensie en KPN. Het maakt veilige communicatie tussen Defensieonderdelen mogelijk. Politie, de meldkamers van noodnummer 112 én alle ministeries en Eerste en Tweede Kamer maken ook gebruik van het netwerk om onderling te communiceren.

Een softwarefout in een standaard netwerkonderdeel van het Defensienetwerk NAFIN zorgde afgelopen augustus voor een grote storing waar allerlei overheidsinstanties en Eindhoven Airport mee te maken kregen. "De NAFIN-storing is veroorzaakt door een fout in de tijdsynchronisatie. Dit is een technisch mankement dat niet voorzien had kunnen worden. Deze storing heeft veel impact gehad. Daarom is het van belang dat snel wordt gehandeld om een dergelijke storing op te lossen wanneer die zich voordoet", schrijft staatssecretaris Tuinman in een brief aan de Tweede Kamer.

Defensie vroeg COT en Strict om een evaluatie naar de NAFIN-storing uit te voeren. De onderzoeksrapporten zijn niet openbaar gemaakt, alleen de conclusies en aanbevelingen. "COT en Strict concluderen dat ondanks de bestaande preventieve maatregelen die Defensie heeft genomen, deze storing niet had kunnen worden voorkomen", stelt Tuinman. "Dit incident benadrukt de complexiteit van onze it-omgeving en de uitdagingen die gepaard gaan met het waarborgen van robuuste en veerkrachtige systemen."

Onvoldoende voorbereid

De onderzoekers kwamen in totaal tot zes belangrijke conclusies, zo laat de staatssecretaris weten. De eerste is dat Defensie onvoldoende op een dergelijke verstoring was voorbereid. "Defensie moet werken aan betere voorbereidende maatregelen en plannen om de impact van storingen, incidenten of rampen te minimaliseren om de continuïteit te garanderen."

Verder heeft escalatie van de technische laag naar de bestuurlijke laag lang geduurd en is de storing door Defensie voornamelijk als interne aangelegenheid beschouwd, waardoor onvoldoende aandacht was voor brede maatschappelijke implicaties en partijen die op NAFIN zijn aangesloten. De onderzoekers merken op dat it-incidenten en cyberincidenten binnen Defensie als twee aparte storingen behandeld. Verder is de communicatie zowel binnen Defensie als naar externe partners niet goed verlopen en is het nog onvoldoende duidelijk wat de prioritering is voor het herstellen van systemen na grootschalige uitval van it.

Tuinman merkt op dat Defensie aanpassingen gaat doorvoeren. Het gaat dan om het bepalen van de prioritering van (uitgevallen) systemen tijdens een dergelijke storing, het niet meer in de beginfase van een dergelijke storing onderscheid maken tussen een it-incident en cybersecurity-incident en het opstellen van een duidelijk opschalingskader bij storingen, dat voor alle partijen aangesloten op NAFIN te volgen is. Ook zal er vaken met incidenten als de NAFIN-storing worden geoefend.

"NAFIN is van essentieel belang voor zowel Defensie als de Rijksoverheid, waarbij de veiligheid en beschikbaarheid van het netwerk een hoge prioriteit heeft. De storing en de evaluaties laten zien dat Defensie hierin nog kan verbeteren", concludeert Tuinman.