Beveiliging paspoortsystemen Schiphol schiet tekort

De paspoortcontrole op Schiphol is digitaal niet veilig genoeg. Daardoor kan Schiphol worden lamgelegd, gevoelige informatie van reizigers ontvreemd en de grenscontrole gemanipuleerd door cybercriminelen, terroristen of andere landen. 

Paspoortcontrole op Schiphol. De digitale systemen die de Marechaussee daarbij gebruikt, zijn niet veilig genoeg.Beeld ANP XTRA

Dat staat in een onderzoek van de Algemene Rekenkamer naar de veiligheid van de digitale systemen die door de Marechaussee op Schiphol worden gebruikt. De toezichthouder wil dat de problemen zo snel mogelijk worden opgelost. Het verantwoordelijke ministerie van Defensie wijst de kritiek grotendeels af.

De Rekenkamer verwijt het ministerie, dat met de Koninklijke Marechaussee verantwoordelijk is voor de grenscontrole op de luchthaven, zijn expertise op het gebied van cyberveiligheid op Schiphol onvoldoende toe te passen.

Nooit gecontroleerd

Zo zijn de computersystemen die de Marechaussee gebruikt aan de balies waar paspoorten worden gecontroleerd en die van de automatische paspoortpoortjes, waar passagiers hun grensdocumenten zelf scannen, nooit volgens de voorschriften gekeurd, terwijl het ministerie van Defensie dat wel voorschrijft.

Daardoor is onduidelijk of computers en software afdoende veilig zijn. Kwaadwillenden zouden de systemen kunnen platleggen, waardoor Schiphol – ook in goede tijden – grotendeels tot stilstand komt.

Ook is de privacy onvoldoende gewaarborgd. Omdat de Marechaussee veel privacygevoelige informatie verzamelt van de miljoenen reizigers (vorig jaar 71 miljoen) die Schiphol aandoen – naast naam en nationaliteit ook reisgedrag en veiligheidsinschatting – zijn die gegevens interessant voor cybercriminelen of buitenlandse veiligheidsdiensten. Andersom zouden terroristen persoonsgegevens kunnen manipuleren om zo de grenscontroles te omzeilen.

Gijzelsoftware

De paspoortsystemen blijken ook niet te zijn aangesloten op het veiligheidscentrum dat Schiphol en Defensie samen uitbaten. Daardoor kunnen hacks of cyberaanvallen niet snel genoeg worden ondervangen. Ook is onduidelijk of de grenssysteem een aanval met gijzelsoftware, zoals eerder een aantal ziekenhuizen en universiteiten overkwam, goed kan afslaan. Daar is nooit op geoefend.

Ook andere computersystemen die voor de grenscontrole worden gebruikt, blijken niet afdoende getest te zijn. Bij eigen onderzoek van het ministerie dat door de Rekenkamer wordt aangehaald, kwamen elf kwetsbaarheden, van zwakke wachtwoorden tot de kans op het verzenden van nepmails op naam van Defensiemedewerkers. Die kwetsbaarheden zijn inmiddels verholpen.

‘Risisco's laag en acceptabel’

Defensie zegt de aanbevelingen van de Rekenkamer te onderschrijven, maar wijst de kritiek deels af. Het ministerie schat de veiligheidsrisico’s met het baliesysteem op Schiphol juist ‘laag en acceptabel’ in. Volgens een woordvoerder van zijn al verschillende maatregelen genomen om de risico’s en gevolgen van een cyberaanval op de IT-systemen te beperken. Mochten deze uitvallen, dan kan de paspoortcontrole altijd handmatig plaatsvinden. Echter, toen dat vorig jaar door een storing gebeurde, kwamen voor de controles een uur lang enorme rijen te staan.

De conclusie dat systemen worden gebruikt die niet zijn goedgekeurd, wordt door het ministerie van de hand gewezen. Het computersysteem aan de paspoortbalies is volgens Defensie in 2016 goedgekeurd en sindsdien niet noemenswaardig veranderd. Sinds kort wordt het systeem wel flink aangepakt, maar om vertraging te voorkomen wil het ministerie de aanpassingen pas achteraf goedkeuren.

De aansluiting van paspoortsystemen op het veiligheidscentrum is volgens de reactie minder belangrijk dan dat van defensiesystemen ‘met hogere urgentie’. Het ministerie zal ze ‘op termijn’ alsnog aansluiten. Dat er niet jaarlijks wordt geoefend en getest komt door ‘beperkte personele capaciteit’.

De Rekenkamer deed eerder vergelijkbaar onderzoek naar Rijkswaterstaat. Daaruit rolde dat de digitale beveiliging van onder meer sluizen en dijken verbeterd moet worden. De onderzoeken volgen op een waarschuwing van terrorismewaakhond NCTV dat de kans op cyberaanvallen op overheidssystemen toeneemt.

Meer over

Wilt u belangrijke informatie delen met Het Parool?

Tip hier onze journalisten


Op alle verhalen van Het Parool rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@parool .nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden