Het staatsgeheime NAFIN-glasvezelnetwerk van Defensie is slecht beveiligd, concludeert de Algemene Rekenkamer. Dat netwerk is onmisbaar voor ons land. Veel systemen van de politie, marchaussee en Defensie zijn via dit netwerk met elkaar verbonden.
Het belang van het Netherlands Armed Forces Integrated Network, kortweg NAFIN-netwerk, werd in augustus pijnlijk duidelijk. Toen werd dit netwerk getroffen door een storing. Daardoor lag het vliegverkeer op Eindhoven Airport urenlang plat. Ook het C2000-communicatienetwerk van de politie en andere hulpdiensten raakte verstoord.
In augustus ging het ‘slechts’ om een storing, maar de Algemene Rekenkamer waarschuwt dat het netwerk ook gevoelig is voor sabotage en spionage. Dat komt doordat Defensie de beveiliging van het netwerk niet op orde heeft.
Het NAFIN-netwerk is een 3.500 kilometer lang staatsgeheim glasvezelnetwerk. Het werd in 1996 gebouwd en verbindt 180 locaties van Defensie met elkaar. Ook alle ministeries, het parlement, politielocaties en meldkamers van 112 zijn met het netwerk verbonden.
Het communicatiesysteem is economisch van Defensie (die bepaalt en betaalt) en juridisch van KPN. Het netwerk wordt zwaarbeveiligd omdat het zo cruciaal is.
Defensie heeft beveiliging NAFIN-netwerk niet op orde
Maar die beveiliging is lek, concludeert de Algemene Rekenkamer. Een testteam wist zonder aankondiging en toestemming toegang te krijgen tot een locatie waar de kern van het NAFIN-netwerk draait. Bij twee testen ging bij Defensie het alarm af, maar er werd niet ingegrepen.
Op basis van de tests concludeert de Rekenkamer dat de fysieke beveiliging op papier goed is, maar in de praktijk niet op orde is. Zo wordt ook het alarmsysteem dat kabels onder de grond bewaakt, onvoldoende gemonitord door Defensie. De detectie op spionage en sabotage moet daarom beter, vindt de Rekenkamer.
Het onderhoud van het netwerk wordt door KPN uitbesteed aan onderaannemers. Ook daar schuilt een risico in. Een onderaannemer werkte volgens de Rekenkamer twee jaar lang zonder geldige autorisatie aan het netwerk.
Onvoldoende controle op werkzaamheden aan het netwerk
Op basis daarvan concludeert de Rekenkamer dat Defensie aannemers en leveranciers onvoldoende controleert. Het veiligheidsbewustzijn moet bij alle partijen omhoog, vindt de Rekenkamer. Ook moet gekeken worden of het werk aan minder partijen kan worden uitbesteed.
Verder mist er een visie op de toekomst voor het NAFIN. Het is bijvoorbeeld onduidelijk hoe groot het netwerk mag worden en wie er gebruik van mogen maken. De onderzoekers vinden het ook opvallend dat het netwerk niet als “vitaal” is aangemerkt gezien het belang ervan.
Defensie zegt de aanbevelingen over te nemen en al te werken aan verbetering van de beveiliging.
-nu.nl-