Grenscontrole Schiphol is slecht beveiligd tegen cyberaanvallen

Gepubliceerd op 20 april 2020 om 14:30
Grenscontrole Schiphol is slecht beveiligd tegen cyberaanvallen

De grens controle systemen van luchthaven Schiphol zijn volgens de Algemene Rekenkamer slecht beveiligd tegen digitale aanvallen. Er wordt gebruikgemaakt van verouderde en kwetsbare software, en er wordt weinig rekening gehouden met rampscenario's.

Veiligheid van de luchthaven niet op orde

De Algemene Rekenkamer schrijft in een rapport dat de veiligheid van de luchthaven niet op orde is. De Rekenkamer keek onder meer naar de ict-infrastructuur, maar ook naar preventieve maatregelen daaromheen en naar de rampenplannen die klaarliggen voor als de luchthaven met een incident te maken krijgt. De ict-systemen waar de Rekenkamer naar keek, werden onder andere gebruikt voor grenscontroles.

Wachtwoord via Google te vinden

Het gaat om drie systemen: dat bij de zelfbediening, het systeem bij de incheckbalie en het systeem voor een 'pre-screen'. De software die voor de pre-screen en de zelfbediening wordt gebruikt, is verouderd. Het ict-systeem dat bij inchecken bij de balie wordt gebruikt, valt onder de verantwoordelijkheid van het ministerie van Defensie, maar de Rekenkamer zegt dat dat systeem nooit door de goedkeuringsprocedure van het ministerie is gekomen. Autorisatieprotocollen binnen sommige ict-systemen zijn niet op orde. 'Insider threats' zijn daarom een gevaar, schrijft de Rekenkamer. Bijna iedere Defensie-medewerker kon met een standaardwachtwoord bijvoorbeeld bij het pre-assessment-ict-systeem, dat wordt gebruikt om reizigers in een vroeg stadium van hun reis te screenen. Dat wachtwoord was volgens het Rekenkamer rapport 'via Google te vinden'. De Rekenkamer zegt bovendien dat twee van de drie systemen die het bekeek, niet waren aangesloten op het Security Operations Center van Schiphol.

Partijen hebben soms tegengestelde belangen

Een van de obstakels is volgens de Rekenkamer dat er verschillende partijen met verschillende rollen bij de beveiliging zijn betrokken. Zo worden sommige systemen voor het inchecken beheerd door de ministeries van Veiligheid en Defensie, maar andere, zoals het zelfbedieningssysteem, door Schiphol zelf. "Die partijen hebben soms tegengestelde belangen", schrijft de Rekenkamer. Zo wil Schiphol vooral een snellere doorstroom van passagiers, wat soms ten koste gaat van de veiligheid.

Cyberaanvallen niet of te laat

Schiphol heeft weliswaar draaiboeken klaarliggen voor 'cyberaanvallen', maar die zijn erg algemeen opgesteld en worden in de praktijk niet getest. Zo worden er in de draaiboeken geen specifieke incidenten, zoals een ransomware-infectie, beschreven. "Hierdoor zien we een risico dat bij de reactie te zeer geïmproviseerd moet worden", schrijft de Rekenkamer. In de praktijk wordt ook te weinig geoefend met zulke scenario's. "Hierdoor bestaat het risico dat cyberaanvallen op deze it-systemen niet of te laat worden opgemerkt."

Bron: Rekenkamer, tweakers

Schrijver: Tijs Hofmans

Digitalisering Aan De Grens WR
PDF – 2,7 MB 592 downloads