Beveiliging defensienetwerk NAFIN onvoldoende
Het Netherlands Armed Forces Integrated Network (NAFIN) is bedoeld om vitale onderdelen van de Rijksoverheid veilig en vertrouwelijk met elkaar te kunnen laten communiceren. Maar hoewel het technisch goed is opgezet en de beveiliging op papier goed is geregeld, blijkt het in de praktijk mogelijk voor onbevoegden om fysiek toegang te krijgen tot beveiligde ruimtes en netwerkkasten. Dat concludeert de Algemene Rekenkamer.
Het NAFIN is een glasvezelnetwerk van het Ministerie van Defensie en KPN. Het maakt veilige communicatie tussen Defensieonderdelen mogelijk. Ook de politie, de meldkamers van noodnummer 112 én alle ministeries en Eerste en Tweede Kamer maken gebruik van het netwerk om onderling te communiceren. Het is daarmee van groot belang voor de nationale veiligheid. Er vinden de afgelopen jaren echter steeds meer sabotageacties plaats op kritieke Europese systemen. Daarom heeft de Algemene Rekenkamer onderzocht hoe de minister van Defensie het NAFIN beschermt. Het onderzoek leidt volgens de Algemene Rekenkamer tot de conclusie dat Nederland, in een zeer gespannen geopolitieke situatie, militair gezien onvoldoende alert is op sabotagerisico’s door statelijke actoren.
Beveiliging in de praktijk onvoldoende
Het NAFIN is technisch gezien goed opgezet. Er is voldoende capaciteit en de kans op uitval is klein. Er is autorisatiebeheer voor digitale toegang tot het netwerk en er zijn toegangsprocedures voor fysieke toegang tot de netwerkruimtes. Maar in de praktijk heeft de Algemene Rekenkamer tijdens het onderzoek een aantal beveiligingsproblemen gevonden. De belangrijkste locaties mogen weliswaar alleen met de juiste autorisatie worden betreden. Maar het was, zo blijkt uit tests, toch mogelijk om zonder deze autorisatie toegang te krijgen tot deze ruimtes. En ook tot de netwerkkasten die daar staan. Dit is een terugkerend probleem bij de beveiliging van Defensie-objecten. Ook worden de middelen die Defensie heeft om cyberaanvallen op het NAFIN te detecteren, in de praktijk niet optimaal benut. Verder is Defensie afhankelijk van KPN voor aanleg en aanpassingen aan de kabels van het netwerk. Om werk aan KPN uit te besteden moet Defensie staatsgeheime informatie met KPN delen, zoals informatie over waar de NAFIN-kabels liggen of waar de netwerkruimtes precies staan. KPN besteedt de werkzaamheden aan het NAFIN uit aan onderaannemers, die het ook weer uitbesteden aan onderaannemers. Het zicht op wie er aan het NAFIN werkt en welke beveiligingsmaatregelen met deze partijen zijn afgesproken verdwijnt op deze manier. Zo kon het gebeuren dat een onderaannemer twee jaar lang werkte zonder geldige autorisatie. Defensie is daarnaast voor de beveiliging van het netwerk afhankelijk van hoe gebruikers het netwerk behandelen en beveiligen. De minister van Defensie stelt aansluitvoorwaarden en beveiligingseisen voor het NAFIN op, maar controleerde niet of gebruikers (bijvoorbeeld andere ministeries) zich hier aan houden.
Geen uitgewerkte strategie
In het verleden zijn veel keuzes rond de inzet van NAFIN op financiële of technische basis gemaakt en niet op strategische. Zo is het netwerk in 2001 bijna verkocht aan een commerciële partij. De minister van Defensie heeft verder niet uitgewerkt hoe groot het NAFIN eigenlijk mag worden en wie er wel of geen gebruik van mogen maken. Het ministerie geeft aan dat overheidspartijen mogen worden aangesloten ‘zolang het Defensiebelang niet wordt geschaad’, maar dit is niet verder concreet gemaakt. Er is geen heldere visie op eventuele groei van het netwerk in de toekomst. En er is al lang geen nieuwe risicoanalyse voor NAFIN gemaakt, terwijl de onrust in de wereld flink is toegenomen. Daarnaast is het opvallend dat het NAFIN niet de formele status van ‘vitale infrastructuur’ heeft, terwijl een aantal voor ons land uiterst belangrijke processen er van afhankelijk zijn.
Nog tijdens het onderzoek van de Algemene Rekenkamer vond een grote verstoring plaats op het NAFIN. Op 28 augustus 2024 waren er grote problemen bij onder meer de communicatie met en tussen hulpdiensten in heel Nederland. Ook was er geen vliegverkeer mogelijk op Eindhoven Airport. De Algemene Rekenkamer heeft deze verstoring niet onderzocht. De staatssecretaris van Defensie heeft aangegeven dat de oorzaak bleek te liggen in een foute softwarecode, maar dat een definitieve analyse pas aan het einde van het jaar wordt opgeleverd. Dit incident illustreert hoe groot de maatschappelijke gevolgen kunnen zijn als het NAFIN uitvalt.