IT-systemen die de Nederlandse luchthaven Schiphol inzet voor onder meer grenscontroles zijn slecht beveiligd tegen cyberaanvallen. Zo gebruikt de luchthaven verouderde software met bekende kwetsbaarheden. Ook zijn onvoldoende preventieve maatregelen genomen en zijn rampenplannen niet op orde.
Dit meldt de Nederlandse Algemene Rekenkamer in een rapport. Het gaat om de IT-systemen die de Koninklijke Marechaussee op de Nederlandse luchthaven gebruikt. In het specifiek zijn een IT-systeem voor zelfbediening, een systeem bij de incheckbalie en een systeem voor pre-screening onderzocht.
Operationeel zonder goedkeuring
De software van twee IT-systemen is zonder de vereiste goedkeuring operationeel, concludeert de rekenkamer. Het gaat om het systeem voor de paspoortbalie en de selfservice. Beide systemen hebben de goedkeuringsprocedure van het ministerie van Defensie niet geheel doorlopen.
Het defensiebeveiligingsbeleid schrijft jaarlijkse beveiligingstesten voor. In de praktijk zijn er echter weinig tot geen beveiligingstesten uitgevoerd op de drie IT-systemen van het grenstoezicht. Op de systemen van pre-assessment en de paspoortbalie zijn deze testen zelfs nog nooit uitgevoerd. De beveiligingstest op het selfservicesysteem is wel uitgevoerd, maar was beperkter dan gepland. Ook zijn aanbevelingen na de test slechts gedeeltelijk opgevolgd. De Algemene Rekenkamer waarschuwt dat kwetsbaarheden in de systemen hierdoor blijven bestaan, wat misbruik door cybercriminelen mogelijk maakt.
‘Insider threats zijn reëel gevaar’
Ook concludeert de Rekenkamer dat autorisatieprotocollen binnen sommige ICT-systemen niet op orde zijn, wat van insider threats een reëel gevaar maakt. Zo was het systeem voor pre-screening toegankelijk met een standaardwachtwoord, dat via Google vindbaar was. Twee van de drie onderzochte systemen zijn daarnaast niet aangesloten op het Security Operations Center van Schiphol.
Ter voorbereiding op cyberaanvallen zijn rampenplannen opgesteld. Deze zijn echter niet specifiek, concludeert de Rekenkamer. Zo beschrijven de plannen geen concrete incidenten, waarbij bij een eventueel incident geïmproviseerd moet worden. Daarnaast worden scenario’s in de rampenplannen onvoldoende geoefend.
In samenwerking met Dutch IT-Channel.
