DEN HAAG - De cyberveiligheid van het grenstoezicht op Schiphol is “onvoldoende en niet toekomstbestendig”. Zeker twee van de drie IT-systemen die de Koninklijke Marechaussee gebruikt om te controleren wie Nederland binnenkomt zijn kwetsbaar en niet goed beschermd tegen cyberaanvallen, concludeert de Algemene Rekenkamer, die de uitgaven van publiek geld bestudeert.
De Koninklijke Marechaussee controleert reizigers op Schiphol via drie vormen van grenstoezicht: via de paspoortcontrole, via elektronische self-servicepoortjes en via een pre-assessment, een screening van passagiers buiten het Schengengebied. Deze drie vormen van grenstoezicht, waarmee 80 miljoen passagiers per jaar worden gecontroleerd, hebben hun eigen aparte IT-systemen.
Uit onderzoek van de Algemene Rekenkamer blijkt dat deze IT-systemen niet op orde zijn. Zo gebruiken twee IT-systemen software waar geen goedkeuring voor gegeven is. Daarnaast vinden beveiligingstesten op de IT-systemen niet of nauwelijks plaats. Bij het IT-systeem voor de pre-assessment is zo’n test zelfs nooit uitgevoerd.
Beveiligingstest
De Algemene Rekenkamer besloot in het onderzoek daarom zelf zo’n beveiligingstest uit te voeren op het IT-systeem van de pre-assessment. Daarin vond het controleorgaan elf kwetsbaarheden, waarvan vijf kritieke. Zo was een wachtwoord via Google te vinden, waarmee de onderzoekers het systeem in konden komen. Daardoor konden zij zichzelf rechten toekennen en mails versturen uit naam van de Commandant der Strijdkrachten.
Uit de test bleek ook dat een geavanceerde aanval het systeem zo zou kunnen manipuleren dat het leek alsof een passagier niet op een opsporingslijst stond terwijl dit wel zo was. Defensie heeft de kwetsbaarheden inmiddels opgelost.
Cyberveiligheid van cruciaal belang
Het is volgens de Algemene Rekenkamer “onbegrijpelijk” dat de cybersecurity op Schiphol niet voldoende wordt gewaarborgd. Volgens het controleorgaan is dat van cruciaal belang om digitale sabotage, spionage en criminaliteit tegen te gaan. “Als een IT-systeem door een digitale aanval onbruikbaar wordt, kan de Koninklijke Marechaussee het grenstoezicht niet of nauwelijks uitvoeren. Het mogelijke gevolg: lange wachtrijen, vertraging en annulering van vluchten.”
Ook is cyberveiligheid van belang om cyberaanvallen tegen te gaan die als doel hebben om informatie te manipuleren, bijvoorbeeld om gezochte personen ongemerkt de grens te laten passeren. Omdat de IT-systemen niet zijn aangesloten op de veiligheidsnetwerken van Defensie en Schiphol, is slechts een deel van de cyberaanvallen direct waar te nemen. “Zorgwekkend”, noemt de Algemene Rekenkamer die ontwikkeling.