De cyberveiligheid van het grenstoezicht door de Koninklijke Marechaussee op Schiphol is “onvoldoende en niet toekomstbestendig”, concludeert de Algemene Rekenkamer in een maandag verschenen rapport.
IT-systemen voor het grenstoezicht op Schiphol worden ingezet om digitale sabotage, spionage en criminaliteit tegen te gaan. Er zijn eigen IT-systemen in gebruik voor drie vormen van grenstoezicht op Schiphol: controle aan de paspoortbalie, de elektronische poortjes en de screening van reizigers van buiten het Schengengebied.
Bij twee van de drie IT-systemen is volgens het controleorgaan niet vastgesteld dat ze voldoende beveiligd zijn tegen cyberaanvallen. Dat komt doordat het goedkeuringsproces van het ministerie van Defensie niet helemaal is afgerond.
Ook worden op de drie systemen nauwelijks beveiligingstesten uitgevoerd. “Op de systemen van pre-assessment (waarbij controles worden uitgevoerd voordat passagiers op Schiphol landen, red.) en de paspoortbalie zijn ze zelfs nog nooit uitgevoerd.”
Wachtwoord was te vinden via Google
De Algemene Rekenkamer heeft een beveiligingstest uitgevoerd op het systeem voor pre-assessment en vond elf kwetsbaarheden. Er werd een standaard wachtwoord gebruikt dat via Google in een handleiding te vinden was. Ook konden e-mails uit naam van de Commandant der Strijdkrachten worden verzonden.
Volgens het controleorgaan hadden kwaadwillenden via een geavanceerde aanval het systeem kunnen manipuleren. Zo kon een passagier van de opsporingslijst worden gehaald, terwijl diegene er wel op stond. Defensie heeft de kwetsbaarheden inmiddels opgelost.
Omdat de IT-systemen niet op de twee Security Operations Centers van het ministerie van Defensie en Schiphol zijn aangesloten, kunnen cyberaanvallen niet of pas laat worden herkend.
De Algemene Rekenkamer noemt het “onbegrijpelijk” dat het ministerie van Defensie niet de eigen kennis en kunde inzet om de cyberbeveiliging op peil te krijgen.