Onderzoeksrapport geeft slechte punten aan IT-beveiliging Schiphol
De Nederlandse Algemene Rekenkamer onderzocht de beveiliging van enkele cruciale IT-systemen die de luchthaven van Schiphol draaiende houden. Meer bepaald ging het om de systemen die gebruikt worden voor paspoortcontrole aan de balie, de selfservice en het pre-assessment. En de resultaten waren onrustwekkend.
Uit de studie blijkt namelijk dat de drie systemen operatief zijn zonder alle veiligheidsmaatregelen opgelegd door het ministerie van Defensie op te volgen. Het systeem voor de paspoortcontrole en de selfservice werden zelfs in gebruik genomen vooraleer de vereiste toestemming daarvoor werd bekomen. Ook werd voor geen enkel van de drie systemen al eens een grondige beveiligingstest uitgevoerd. Het selfservicesysteem werd wel eens aan een beperkte test onderworpen, de andere twee systemen werden nog nooit op veiligheid getest. Aanbevelingen na testen werden onvoldoende opgevolgd.
Kwetsbaar voor aanvallen
Maar het gebrekkig testen van de apparaten was lang niet het enige probleem. De autorisatieprotocollen zijn ook niet op orde. De onderzoekers sloegen er in om het selfservicesysteem binnen te dringen met een standaardwachtwoord dat via Google vindbaar was. De systemen waren bovendien niet aangesloten op het Security Operations Center van Schiphol. Alsof dat alles nog niet voldoende was, waren de rampenplannen te vaag en beschreven ze geen concrete situaties.
De conclusie van de Algemene Rekenkamer is dan ook duidelijk: de IT-systemen die op Schiphol gebruikt worden, zijn te kwetsbaar voor cyberaanvallen, zowel van buitenaf als van binnenuit. Het rapport waarschuwt vooral voor die ‘insider threats’, een cyberaanval via een medewerker van Defensie die toegang heeft tot het systeem, maar niet geautoriseerd is voor grenscontroles.
De systemen die nu gebruikt worden zijn niet toekomstbestendig. De Algemene Rekenkamers verzoekt de luchthaven om alle problemen zo snel mogelijk op te lossen. Het onderzoek dateerde al wel van 2019. Net als vele luchthavens is het verkeer op Schiphol lamgelegd, maar dat mag geen excuus zijn om de kritieke problemen geen prioriteit te geven. Voor het uitbreken van de crisis passeerden jaarlijks 80 miljoen reizigers via Schiphol, wat het een zeer belangrijke luchthaven in het Europese luchtverkeer maakt.
De Nederlandse Algemene Rekenkamer onderzocht de beveiliging van enkele cruciale IT-systemen die de luchthaven van Schiphol draaiende houden. Meer bepaald ging het om de systemen die gebruikt worden voor paspoortcontrole aan de balie, de selfservice en het pre-assessment. En de resultaten waren onrustwekkend.
Uit de studie blijkt namelijk dat de drie systemen operatief zijn zonder alle veiligheidsmaatregelen opgelegd door het ministerie van Defensie op te volgen. Het systeem voor de paspoortcontrole en de selfservice werden zelfs in gebruik genomen vooraleer de vereiste toestemming daarvoor werd bekomen. Ook werd voor geen enkel van de drie systemen al eens een grondige beveiligingstest uitgevoerd. Het selfservicesysteem werd wel eens aan een beperkte test onderworpen, de andere twee systemen werden nog nooit op veiligheid getest. Aanbevelingen na testen werden onvoldoende opgevolgd.
Kwetsbaar voor aanvallen
Maar het gebrekkig testen van de apparaten was lang niet het enige probleem. De autorisatieprotocollen zijn ook niet op orde. De onderzoekers sloegen er in om het selfservicesysteem binnen te dringen met een standaardwachtwoord dat via Google vindbaar was. De systemen waren bovendien niet aangesloten op het Security Operations Center van Schiphol. Alsof dat alles nog niet voldoende was, waren de rampenplannen te vaag en beschreven ze geen concrete situaties.
De conclusie van de Algemene Rekenkamer is dan ook duidelijk: de IT-systemen die op Schiphol gebruikt worden, zijn te kwetsbaar voor cyberaanvallen, zowel van buitenaf als van binnenuit. Het rapport waarschuwt vooral voor die ‘insider threats’, een cyberaanval via een medewerker van Defensie die toegang heeft tot het systeem, maar niet geautoriseerd is voor grenscontroles.
De systemen die nu gebruikt worden zijn niet toekomstbestendig. De Algemene Rekenkamers verzoekt de luchthaven om alle problemen zo snel mogelijk op te lossen. Het onderzoek dateerde al wel van 2019. Net als vele luchthavens is het verkeer op Schiphol lamgelegd, maar dat mag geen excuus zijn om de kritieke problemen geen prioriteit te geven. Voor het uitbreken van de crisis passeerden jaarlijks 80 miljoen reizigers via Schiphol, wat het een zeer belangrijke luchthaven in het Europese luchtverkeer maakt.