nieuwsbeveiliging Schiphol

Grenstoezicht Schiphol ‘onvoldoende’ beveiligd; wachtwoord stond op Google

Het grenstoezicht op Schiphol is onvoldoende beveiligd tegen digitale aanvallen en daardoor kwetsbaar voor sabotage, spionage en criminaliteit. Dat concludeert de Algemene Rekenkamer, dat besteding van publiek geld onderzoekt, in een rapport dat maandag verschijnt.

Het ‘huidige niveau’ van digitale veiligheid bij het grenstoezicht op Schiphol is ‘onvoldoende en niet toekomstbestendig’, volgens de Algemene Rekenkamer. Beeld ANP
Het ‘huidige niveau’ van digitale veiligheid bij het grenstoezicht op Schiphol is ‘onvoldoende en niet toekomstbestendig’, volgens de Algemene Rekenkamer.Beeld ANP

De IT-systemen waarmee de 80 miljoen passagiers per jaar worden gecontroleerd, zijn nauwelijks getest. Bij twee van de drie systemen draait software waarvoor geen goedkeuring is. Ook zijn de systemen niet aangesloten op de Security Operations Centers (SOC) van het ministerie van Defensie en Schiphol, waardoor een digitale aanval niet meteen kan worden opgemerkt.

De miljoenen passagiers die normaal via Schiphol reizen – tijdens de coronacrisis is dat aantal met 95 procent gedaald – worden op verschillende manieren gecontroleerd. Sommige controles vinden al plaats voordat passagiers op Schiphol landen, de pre-assessment. Een essentieel systeem omdat bijvoorbeeld personen die op een opsporingslijst staan of als spion staan geregistreerd er meteen kunnen worden uitgepikt bij de grenscontrole.

Luchtvaartmaatschappijen geven de passagierslijst na opstijgen door aan dit systeem van de Koninklijke Marechaussee. Mede dankzij pre-assessment werd de militaire veiligheidsdienst in 2018 gewaarschuwd dat twee bekende Russische hackers op Schiphol zouden landen. Zij kwamen in het gezelschap van twee Russische inlichtingenofficieren en probeerden later de Organisatie voor het Verbod op Chemische Wapens (OPCW) in Den Haag te hacken.

Kwetsbaarheden

Uit een beveiligingstest kwamen verschillende kwetsbaarheden naar voren waarvan er vijf als ‘hoog’ zijn aangemerkt. Het bleek bijvoorbeeld mogelijk om via een standaardwachtwoord, te vinden via Google, in het systeem te komen. Hierna was het mogelijk om beheerdersrechten toe te kennen en e-mails te versturen namens willekeurige Defensiemedewerkers.

Een deel van de software was verouderd. Een aanvaller had de status van iemand op de opsporingslijst kunnen veranderen, het systeem kunnen platleggen of passagiersgegevens kunnen stelen.

Ook de andere twee systemen op de luchthaven zelf – de controles bij de balie en de zelfbedieningscontroles – bleken kwetsbaar. De beveiliging van beide systemen was bijvoorbeeld niet goedgekeurd en er waren geen jaarlijkse testen. Ook bleken ze niet aangesloten op de detectiesystemen van Defensie en Schiphol.

Nauwelijks oefeningen

Er zijn hiernaast nauwelijks oefeningen gedaan met scenario’s als een aanval op het grenstoezicht of de gijzeling van een systeem. De Rekenkamer: ‘Hierdoor bestaat het risico dat cyberaanvallen op deze IT-systemen niet of te laat worden opgemerkt.’ De organisatie noemt het ‘huidige niveau’ van digitale veiligheid bij het grenstoezicht op Schiphol dan ook ‘onvoldoende en niet toekomstbestendig’.

Dat het veiligheidsbesef nog niet altijd goed is doordrongen, bleek in 2019 toen Schiphol een ‘innovatiedag’ organiseerde. Na afloop van die dag kregen alle Schipholmedewerkers een cadeautje mee. Een keytracker om aan een sleutelbos te hangen zodat het altijd mogelijk is om sleutels weer terug te vinden.

Maar de keytracker bleek van Chinese makelij en gekoppeld aan een website met dubieuze beveiliging. Experts binnen Schiphol kregen al snel argwaan: met de keytracker zou het mogelijk zijn om de medewerkers van Schiphol permanent te volgen. Hierop werden in de dagen na de innovatiedag grote bakken neergezet en kregen de medewerkers te horen dat ze hun cadeautje weer moesten inleveren.

Hoe de coronacrisis Schiphol in een parkeerplaats veranderde
In een maand tijd is Schiphol gereduceerd tot een parkeerterrein. Negen van de tien vluchten zijn geschrapt, tienduizenden werknemers zitten thuis. Hoe ligt de lege luchthaven erbij? ‘In 31 jaar heb ik ze nog nooit vliegtuigen op de landingsbaan zien stallen.’

Intern netwerk honderden bedrijven en ministerie lag maandenlang wagenwijd open
Het interne netwerk van honderden bedrijven in Nederland, waaronder het ministerie van Justitie en Veiligheid en Luchtverkeersleiding Nederland, lag maandenlang wagenwijd open voor kwaadwillenden.

Meer over