De grens controle systemen van luchthaven Schiphol zijn volgens de Algemene Rekenkamer slecht beveiligd tegen digitale aanvallen. Er wordt gebruikgemaakt van verouderde en kwetsbare software, en er wordt weinig rekening gehouden met rampscenario's.
Veiligheid van de luchthaven niet op orde
De Algemene Rekenkamer schrijft in een rapport dat de veiligheid van de luchthaven niet op orde is. De Rekenkamer keek onder meer naar de ict-infrastructuur, maar ook naar preventieve maatregelen daaromheen en naar de rampenplannen die klaarliggen voor als de luchthaven met een incident te maken krijgt. De ict-systemen waar de Rekenkamer naar keek, werden onder andere gebruikt voor grenscontroles.
Wachtwoord via Google te vinden
Het gaat om drie systemen: dat bij de zelfbediening, het systeem bij de incheckbalie en het systeem voor een 'pre-screen'. De software die voor de pre-screen en de zelfbediening wordt gebruikt, is verouderd. Het ict-systeem dat bij inchecken bij de balie wordt gebruikt, valt onder de verantwoordelijkheid van het ministerie van Defensie, maar de Rekenkamer zegt dat dat systeem nooit door de goedkeuringsprocedure van het ministerie is gekomen. Autorisatieprotocollen binnen sommige ict-systemen zijn niet op orde. 'Insider threats' zijn daarom een gevaar, schrijft de Rekenkamer. Bijna iedere Defensie-medewerker kon met een standaardwachtwoord bijvoorbeeld bij het pre-assessment-ict-systeem, dat wordt gebruikt om reizigers in een vroeg stadium van hun reis te screenen. Dat wachtwoord was volgens het Rekenkamer rapport 'via Google te vinden'. De Rekenkamer zegt bovendien dat twee van de drie systemen die het bekeek, niet waren aangesloten op het Security Operations Center van Schiphol.
Partijen hebben soms tegengestelde belangen
Een van de obstakels is volgens de Rekenkamer dat er verschillende partijen met verschillende rollen bij de beveiliging zijn betrokken. Zo worden sommige systemen voor het inchecken beheerd door de ministeries van Veiligheid en Defensie, maar andere, zoals het zelfbedieningssysteem, door Schiphol zelf. "Die partijen hebben soms tegengestelde belangen", schrijft de Rekenkamer. Zo wil Schiphol vooral een snellere doorstroom van passagiers, wat soms ten koste gaat van de veiligheid.
Cyberaanvallen niet of te laat
Schiphol heeft weliswaar draaiboeken klaarliggen voor 'cyberaanvallen', maar die zijn erg algemeen opgesteld en worden in de praktijk niet getest. Zo worden er in de draaiboeken geen specifieke incidenten, zoals een ransomware-infectie, beschreven. "Hierdoor zien we een risico dat bij de reactie te zeer geïmproviseerd moet worden", schrijft de Rekenkamer. In de praktijk wordt ook te weinig geoefend met zulke scenario's. "Hierdoor bestaat het risico dat cyberaanvallen op deze it-systemen niet of te laat worden opgemerkt."
Bron: Rekenkamer, tweakers
Schrijver: Tijs Hofmans