Cybersecurity Krijgsmachtnetwerk NAFIN

Voor Nederlandse burgers, voor bedrijven en voor de dienstverlening van de overheid is digitale communicatie onmisbaar. Data kunnen worden verzonden door kabels die in de grond liggen. Deze kabels zijn op sommige plekken kwetsbaar voor sabotage, zoals uit recente incidenten in Europa en uit dreigingsanalyses blijkt. 

Het Ministerie van Defensie maakt gebruik van een eigen communicatienetwerk: Het Netherlands Armed Forces Integrated Network (NAFIN). Deze kabel is het product van een publiek-private samenwerking tussen Defensie en onder meer KPN. Dit ‘gesloten’ glasvezelnetwerk is zo’n 3.300 kilometer lang en is noodzakelijk voor vitale overheidstaken. Het verbindt niet alleen zo’n 180 defensielocaties met elkaar, maar ook 70 locaties die niet van Defensie zijn. Dit zijn onder meer de ministeries en hun datacenters, politielocaties, het centrale deel van het C2000-netwerk waarmee de hulpdiensten communiceren, maar ook enkele NAVO-hoofdkwartieren en de koppeling met de militaire netwerken van België en Duitsland.

De werking van dit netwerk is cruciaal voor het werk van Defensie en de dienstverlening van de overheid aan burgers en bedrijven. Uitval of sabotage van het netwerk zou kunnen betekenen dat de defensietaken niet meer goed uitgevoerd kunnen worden, maar ook dat toeslagen niet berekend kunnen worden of de hulpverlening in het geding komt. Naast sabotage is er de dreiging van spionage. Gevoelige informatie wordt, door het afgesloten karakter, via dit netwerk tussen overheidsinstanties gedeeld in plaats van via het publieke internet. In de Telecommunicatiewet is het NAFIN dan ook speciaal aangeduid als netwerk dat geheel gebruikt wordt voor vitale overheidstaken.

De Algemene Rekenkamer onderzoekt hoe de minister van Defensie ervoor zorgt dat het NAFIN weerbaar is tegen zowel fysieke als digitale cyberaanvallen. We kijken allereerst naar mogelijke kwetsbaarheden in de publiek-private samenwerking, zoals hoe verantwoordelijkheden verdeeld zijn en of autorisaties op orde zijn. Daarnaast onderzoeken we hoe cyberaanvallen worden gedetecteerd en welke responsscenario’s er klaar liggen. We doen aanvullend hierop op een aantal plekken in het netwerk fysieke en digitale praktijktesten om te onderzoeken waar directe kwetsbaarheden liggen. De onderzoeksvragen zijn:

1. Wat zijn de doelen van het krijgsmachtnetwerk NAFIN en wie maken er gebruik van?
2. Functioneert de publiek-private samenwerking voor cybersecurity van het krijgsmachtnetwerk NAFIN voldoende? 
   a. Is er een duidelijke verantwoordelijkheidsverdeling tussen de minister van Defensie en de private partijen?
   b. Zijn de private partijen geautoriseerd om aan het netwerk te werken en is het toezicht hierop voldoende?
   c. Welke afspraken zijn gemaakt met aansluitende publieke partijen over cyberveiligheid en is het toezicht hierop voldoende?
3. Zijn de detectiemaatregelen van het krijgsmachtnetwerk NAFIN voldoende doeltreffend (opzet en bestaan)?
4. Zijn er heldere responsscenario’s bij incidenten op het krijgsmachtnetwerk NAFIN en zijn deze responsmaatregelen voldoende? 
5. Zijn de detectie- en responsmaatregelen bij mogelijke digitale en fysieke aanvallen op het krijgsmachtnetwerk NAFIN voldoende in de praktijk (werking)?