Digitalisering aan de grens

Cybersecurity van het grenstoezicht door de Koninklijke Marechaussee op Schiphol

De cyberveiligheid van het grenstoezicht door de Koninklijke Marechaussee op Schiphol is onvoldoende en niet toekomstbestendig. Beveiligingstesten op de IT-systemen vinden niet of nauwelijks plaats. De software van twee IT-systemen is zonder de vereiste goedkeuring operationeel. En IT-systemen zijn niet aangesloten op de detectiecapaciteit van Defensie en Schiphol.

De cyberveiligheid van het grenstoezicht door de Koninklijke Marechaussee op Schiphol is onvoldoende en niet toekomstbestendig. 
Beveiligingstesten op de IT-systemen vinden niet tot nauwelijks plaats. 
Twee IT-systemen zijn operationeel zonder dat ze aan alle vastgestelde beveiligingseisen voldoen. 
En de systemen zijn niet direct aangesloten op de detectiecapaciteit van een Security Operations Center.
Daardoor bestaat het risico dat digitale  spionage, criminaliteit of sabotage niet of te laat worden opgemerkt. 
Bij een mogelijke cyberaanval kunnen de IT-systemen van het grenstoezicht onbruikbaar worden. 
Daardoor zou de Koninklijke Marechaussee het grenstoezicht nauwelijks kunnen uitvoeren. 
Dit kan zorgen voor lange wachtrijen op Schiphol, vertraging en annulering van vluchten.
Met een geavanceerde cyberaanval was ook reizigersinformatie te manipuleren, bleek uit ons onderzoek. 
Daardoor zouden gezochte personen ongemerkt de grens kunnen passeren. 
Er zijn maatregelen genomen om deze kwetsbaarheid op te lossen.
Het grenstoezicht is van cruciaal belang en zal de komende jaren verder digitaliseren. 
Daarom is het zaak om nu een toereikend niveau van cybersecurity te waarborgen. 
De Algemene Rekenkamer vindt het onbegrijpelijk dat dit tot op heden nog niet is gedaan. 
Vooral omdat de kennis en kunde wél aanwezig is binnen het Ministerie van Defensie. 
Daarom komen de aanbevelingen van de Algemene Rekenkamer vooral neer op daadwerkelijk doen wat al mogelijk is.

Cyberveiligheid grenstoezicht op Schiphol onvoldoende

Onze conclusie is dat de cybersecurity van het grenstoezicht door de Koninklijke Marechaussee op Schiphol in de praktijk nog te wensen overlaat. Het Ministerie van JenV maakt voor de cybersecurity van het grenstoezicht gebruik van expertise en IT-infrastructuur van het Ministerie van Defensie en Schiphol N.V. Binnen het Ministerie van Defensie is de expertise aanwezig om een hoog niveau van cybersecurity te waarborgen. Maar de organisatie zet deze in de praktijk niet altijd in conform afspraken en eigen richtlijnen. In het licht van alle komende technologische ontwikkelingen beoordelen we het huidige niveau van cybersecurity op het grenstoezicht als onvoldoende en niet toekomstbestendig.

Aanbevelingen

Om de cybersecurity van het grenstoezicht door de KMar op Schiphol te vergroten, doen we aanbevelingen aan de verantwoordelijke bewindspersonen.

We bevelen de minister van Defensie aan:

  • Zorg dat voor het IT-systeem van de balie zo spoedig mogelijk de benodigde beveiligingsmaatregelen worden genomen zodat de goedkeuringsprocedure conform het Defensiebeveiligingsbeleid kan worden afgerond.
  • Sluit de twee IT-systemen van het grenstoezicht waar het Ministerie van Defensie voor verantwoordelijk is zo snel mogelijk aan op de detectiecapaciteit van het SOC van het Ministerie van Defensie en geef hierbij de hoogste prioriteit aan het als ‘kritiek’ benoemde systeem voor pre-assessment.

We bevelen de minister van JenV aan:

  • Zorg dat het selfservicesysteem de goedkeuringsprocedure conform het Defensiebeveiligingsbeleid zo spoedig mogelijk doorloopt, waarbij Schiphol N.V. alle beveiligingseisen implementeert en blijft implementeren en het systeem goedkeuring verkrijgt van de beveiligingsautoriteit van het Ministerie van JenV.
  • Overdenk opnieuw of met de voorgenomen overdracht van het selfservicesysteem aan Schiphol N.V. de cybersecurity afdoende gewaarborgd is.
  • Zorg dat het selfservicesysteem zo snel mogelijk op de detectiecapaciteit van het SOC van Schiphol N.V. wordt aangesloten.

We bevelen de minister van Defensie en de minister van JenV gezamenlijk aan:

  • Onderwerp de drie grenstoezichtsystemen zo snel mogelijk, conform het Defensiebeveiligingsbeleid, aan jaarlijkse beveiligingstesten.
  • Laat het Ministerie van Defensie en het Ministerie van JenV in samenwerking met alle relevante ketenpartijen oefenen met het beheersen van crises als gevolg van een cyberaanval op de drie IT-systemen van het grenstoezicht op Schiphol.

Waarom doen we onderzoek naar de cyberveiligheid van het grenstoezicht door de Koninklijke Marechaussee op Schiphol?

Het grenstoezicht kan door het belang voor Schiphol en de grote hoeveelheden persoonsgegevens een interessant doelwit zijn voor hackers. Schiphol is met bijna 80 miljoen passagiers per jaar niet alleen de belangrijkste luchthaven van Nederland, maar ook een belangrijke toegangspoort tot Europa / de Europese Unie (EU) en de tweede hub van Europa.  Voor het grenstoezicht verwerkt de KMar persoonsgegevens van passagiers van over de hele wereld. Het betreft onder meer informatie over nationaliteit, reisroute, reisgezelschap en in sommige gevallen strafrechtelijke gegevens. Verschillende incidenten illustreren dat aanvallers het op deze gegevens gemunt hebben. Zo zijn bij cyberaanvallen op de Amerikaanse grenscontroleautoriteit en luchtvaartmaatschappijen persoonlijke gegevens van miljoenen passagiers buitgemaakt.

Welke methoden hanteerden wij in ons onderzoek?

In dit onderzoek stonden 6 onderzoeksvragen centraal:

  1. Hoe ziet de context van het grenstoezicht door de Koninklijke Marechaussee op Schiphol eruit, welke processen kent het grenstoezicht en welke IT is hieraan ondersteunend?
  2. Welke preventieve cybersecuritymaatregelen zijn er genomen rondom de IT van het grenstoezicht?
  3. Welke detectiemaatregelen zijn er, en zijn deze voldoende?
  4. Hoe werken deze detectiemaatregelen in de praktijk en bieden ze voldoende bescherming?
  5. Welke responsscenario’s zijn er voor cyberincidenten, en zijn ze voldoende?
  6. Hoe werken de responsscenario’s in de praktijk en is dat voldoende?

Als normenkader bij de beantwoording van onderzoeksvragen 2 tot en met 6 hanteerden we het cybersecurityraamwerk van het National Institute of Standards and Technology (NIST). Het NIST is onderdeel van het Amerikaanse Ministerie van Economische Zaken. Hun raamwerk voor cybersecurity wordt wereldwijd veel gebruikt en heeft relaties met beveiligingsstandaarden en -modellen als ISO 27001 en COBIT. Het NIST-raamwerk onderscheidt vijf hoofdfuncties, waaronder de voor ons onderzoek extra relevante functies ‘detectie’ en ‘respons’. De categorieën binnen de hoofdfuncties hebben we gebruikt als hulpmiddel om de diversiteit aan inspanningen op het gebied van cybersecurity bij het grenstoezicht inzichtelijk te maken. Ons uiteindelijke oordeel over de cybersecurity van het grenstoezicht is niet uitsluitend gebaseerd op het al dan niet voldoen aan de specifieke normen binnen het NIST-raamwerk. Het oordeel is kwalitatief, gevormd op basis van onze bevindingen in brede zin die we per categorie bij het grenstoezicht hebben gedaan.

Stand van zaken

De ministers van Defensie en Justitie en Veiligheid (JenV) hebben op 27 maart 2020 gereageerd op ons rapport. De reactie is integraal opgenomen in het rapport.