Cruciaal Defensienetwerk NAFIN goed opgezet, maar beveiliging in de praktijk onvoldoende
Het Netherlands Armed Forces Integrated Network (NAFIN) laat vitale onderdelen van de rijksoverheid veilig en vertrouwelijk met elkaar communiceren en is technisch goed opgezet. Desondanks blijkt het in de praktijk mogelijk voor onbevoegden om fysiek toegang te krijgen tot beveiligde ruimtes en netwerkkasten. Hierdoor is Nederland in een zeer gespannen geopolitieke situatie militair gezien onvoldoende alert op sabotagerisico's door statelijke actoren.
Het NAFIN is een glasvezelnetwerk van het Ministerie van Defensie en KPN. Het maakt veilige communicatie tussen Defensieonderdelen mogelijk. Ook de politie, de meldkamers van noodnummer 112 én alle ministeries en Eerste en Tweede Kamer maken gebruik van het netwerk om onderling te communiceren. Het is daarmee van groot belang voor de nationale veiligheid. Er vinden de afgelopen jaren echter steeds meer sabotageacties plaats op kritieke Europese systemen. Daarom heeft de Algemene Rekenkamer onderzocht hoe de minister van Defensie het NAFIN beschermt.
Beveiliging op papier goed, in de praktijk onvoldoende
Het NAFIN is technisch gezien goed opgezet. Er is voldoende capaciteit en de kans op uitval is klein. Er is autorisatiebeheer voor digitale toegang tot het netwerk en er zijn toegangsprocedures voor fysieke toegang tot de netwerkruimtes. Maar in de praktijk heeft de Algemene Rekenkamer tijdens het onderzoek een aantal beveiligingsproblemen gevonden.
Defensie afhankelijk van derden voor aanleg en onderhoud
Defensie is afhankelijk van KPN voor aanleg en aanpassingen aan de kabels van het netwerk. Om werk aan KPN uit te besteden moet Defensie staatsgeheime informatie met KPN delen. Zoals informatie over waar de NAFIN-kabels liggen of waar de netwerkruimtes precies staan. KPN besteedt de werkzaamheden aan het NAFIN uit aan onderaannemers, die het ook weer uitbesteden aan onderaannemers. Het zicht op wie er aan het NAFIN werkt en welke beveiligingsmaatregelen met deze partijen zijn afgesproken verdwijnt op deze manier.
Geen uitgewerkte strategie voor gebruik en toekomst NAFIN
In het verleden zijn veel keuzes rond de inzet van NAFIN op financiële of technische basis gemaakt en niet op strategische. De minister van Defensie heeft verder niet uitgewerkt hoe groot het NAFIN eigenlijk mag worden, en wie er wel of geen gebruik van mogen maken. Het ministerie geeft aan dat overheidspartijen mogen worden aangesloten ‘zolang het Defensiebelang niet wordt geschaad’, maar dit is niet verder concreet gemaakt.
Lees het volledige artikel en het rapport op rekenkamer.nl
Meer informatie
Dossier: Nationale veiligheid bij inkoop en aanbesteden