Algemene Rekenkamer: glasvezelnetwerk Defensie niet voldoende beveiligd

De beveiliging van het glasvezelnetwerk van de Nederlandse Defensie, het Netherlands Armed Forces Integrated Network, is op papier goed geregeld. Toch blijkt het in de praktijk onvoldoende, stelt de Algemene Rekenkamer.

Nafin is een communicatienetwerk waarmee Defensie, politie en andere onderdelen van de Rijksoverheid vertrouwelijk met elkaar kunnen communiceren. Het netwerk is volgens de Algemene Rekenkamer technisch goed opgezet en wordt goed onderhouden. Zo is er voldoende capaciteit en is de kans op uitval klein. Ook is er autorisatiebeheer voor digitale toegang tot het netwerk en zijn er procedures voor fysieke toegang tot de netwerkruimtes.

In de praktijk blijkt de beveiliging echter minder goed geregeld. Zo blijkt uit tests dat de netwerkruimtes en de netwerkkasten die daar staan ook zonder autorisatie toegankelijk zijn. Een terugkerend probleem bij Defensie-objecten, stelt de Rekenkamer, verwijzend naar bevindingen uit 2022 en 2023. De Rekenkamer ziet op dit gebied een risico in de uitbesteding van de werkzaamheden aan het netwerk. Die werkzaamheden worden uitbesteed aan KPN, dat het uitbesteedt aan onderaannemers, die het ook weer uitbesteden aan onderaannemers. "Het zicht op wie er aan het Nafin werkt en welke beveiligingsmaatregelen met deze partijen zijn afgesproken, verdwijnt op deze manier. Zo kon het gebeuren dat een onderaannemer twee jaar lang werkte zonder geldige autorisatie."

Verder worden de middelen die Defensie heeft om cyberaanvallen op het Nafin te detecteren in de praktijk niet optimaal benut. "De minister van Defensie stelt aansluitvoorwaarden en beveiligingseisen voor het Nafin op, maar controleerde niet of gebruikers (bijvoorbeeld andere ministeries) zich hieraan houden", aldus de Rekenkamer.

De Algemene Rekenkamer adviseert om het Nafin vitaal te verklaren. Daardoor wordt bij een crisis direct opgeschaald naar de hoogste bestuurslagen. Verder moeten er maatregelen genomen worden om de detectie en de respons op ongeoorloofde toegang tot het netwerk te verbeteren en moet overwogen worden om het werk aan minder partijen uit te besteden.

Netwerkstoring bij Defensie

Tweakers schreef eerder een uitleg over het netwerk van Defensie, waarin op 28 augustus een grote storing plaatsvond als gevolg van een softwarefout. Daardoor ontstonden problemen bij de communicatie tussen onder meer hulpdiensten, DigiD en ministeries. Ook was er geen vliegverkeer mogelijk op Eindhoven Airport.

De Algemene Rekenkamer benadrukt dat die storing niet meegenomen is in het onderzoek. Wel illustreert het incident 'hoe groot de maatschappelijke gevolgen kunnen zijn als het Nafin uitvalt', zegt de Rekenkamer. Een definitieve analyse van de storing volgt aan het einde van dit jaar.

Door Eveline Meijer

Nieuwsredacteur

Feedback • 07-11-2024 13:36 33

07-11-2024 • 13:36

33

Lees meer

Zo werken Nederlandse overheidsdiensten samen over het Defensie-netwerk
Zo werken Nederlandse overheidsdiensten samen over het Defensie-netwerk Review van 28 augustus 2024
Defensie bestempelt glasvezelnetwerk Nafin niet als vitale infrastructuur
Defensie bestempelt glasvezelnetwerk Nafin niet als vitale infrastructuur Nieuws van 22 september 2025
Nederlandse ministeries hebben beperkt zicht op eigen clouddiensten
Nederlandse ministeries hebben beperkt zicht op eigen clouddiensten Nieuws van 15 januari 2025
KPN verhoogt zelf databundels van sommige klanten voor 1,25 euro extra per maand
KPN verhoogt zelf databundels van sommige klanten voor 1,25 euro extra per maand Nieuws van 5 december 2024
Politie blijft afhankelijk van verouderd tapsysteem ondanks grote investeringen
Politie blijft afhankelijk van verouderd tapsysteem ondanks grote investeringen Nieuws van 26 november 2024
Kabinet investeert 52,6 miljoen euro in tegengaan van cybercrime
Kabinet investeert 52,6 miljoen euro in tegengaan van cybercrime Nieuws van 15 november 2024
NCTV: Nederland loopt nog steeds groter risico op digitale ontwrichting
NCTV: Nederland loopt nog steeds groter risico op digitale ontwrichting Nieuws van 28 oktober 2024
Nederlandse marechaussee kan bijna overal weer noodpaspoorten uitgeven - update
Nederlandse marechaussee kan bijna overal weer noodpaspoorten uitgeven - update Nieuws van 30 augustus 2024
Minister: storing bij Nederlandse Defensie werd veroorzaakt door softwarefout
Minister: storing bij Nederlandse Defensie werd veroorzaakt door softwarefout Nieuws van 29 augustus 2024
Netwerkstoring bij Defensie leidt tot problemen bij Nederlandse overheden
Netwerkstoring bij Defensie leidt tot problemen bij Nederlandse overheden Nieuws van 28 augustus 2024
Meer producten en artikelen
Beveiliging en antivirus Algemene Rekenkamer Beveiliging Nafin Nederland Netwerktechnologie Security

Reacties (33)

-Moderatie-faq
33
33
23
0
0
2
Wijzig sortering

Sorteer op:

Weergave:
nst6ldr 7 november 2024 13:58
Het lijkt wel alsof 30+ jaar bezuinigen op een organisatie ervoor kan zorgen dat deze niet goed meer z'n taak kan verrichten. :/
icecreamfarmer @nst6ldr7 november 2024 14:25
En het fenomeen dat zaken 5x uitbesteed worden zodat niemand meer ene idee heeft wie verantwoordelijk is.
nst6ldr @icecreamfarmer7 november 2024 14:39
Ook dat is een gevolg van bezuinigen, want je weet altijd* hoe duur een project is en de markt kan het veel beter** dan eigen specialisten.


* lees: nooit
** lees: de powerpoint van de accountmanager was mooi
icecreamfarmer @nst6ldr7 november 2024 16:03
Herkenbaar. Het kost mij altijd meer werk om het werk van externe consultants bij te sturen dan wanneer ik het zelf gedaan had. Echter de RvB wil een leuk logo op het briefpapier hebben staan.
Frame164 @icecreamfarmer7 november 2024 17:13
En wat doe je dan? Braaf meehobbelen of aankaarten bij jouw manager en dan samen naar de volgende laag enz.?
icecreamfarmer @Frame1647 november 2024 19:58
Dat laatste schiet niet op.
Wij zeggen de consultants wat ze moeten adviseren/schrijven.
Zij krijgen 20k, de RvB en RvT zijn gerustgesteld en wij kunnen door.
kodak
@nst6ldr7 november 2024 17:42
Het uitbesteden gaat niet perse om bezuinigen. Natuurlijk valt er te stellen dat heel veel redenen bezuinigen als doel kunnen hebben, maar ik lees niet dat als het duurder is of blijkt men het terug draait. Wat dan komt omdat men andere belangen nog hoger stelt. Zoals wettelijke verplichtingen tot uitbesteden, belangen om (andere) bedrijven mee te laten profiteren, verantwoordelijkheid geheel of gedeeltelijk proberen af te schuiven, enz.
emeralda @nst6ldr7 november 2024 18:58
Vaste mensen ontslaan en altijd dure Zzpers in huren!
mr.Millenarian @nst6ldr7 november 2024 15:28
Het is algemeen bekend dat uitbesteden niet goedkoper is. Het is in dit geval ook geen bezuiniging maar het moedwillig uit handen geven van onze veiligheid. Het idee dat de markt het beter zou kunnen is allang achterhaalt (zie de zorg). Nu worden er particuliere bedrijven ( misschien zelfs met buitenlandse eigenaren) beter van en hoeven er ook geen verantwoordelijkheid voor af te leggen als het fout gaat.
Frame164 @mr.Millenarian7 november 2024 17:15
Te simpel gesteld dat uitbesteden niet goedkoper is. Dat hangt helemaal van de werkzaamheden af. Bij een incidentele klus is het goedkoper om uit te besteden aan een bedrijf dat die zaken veel vaker doet. Dagelijkse activiteiten zou je in-house kunnen doen al zijn daar net zo goed business cases voor te maken dat uitbesteden goedkoper is.
lezzmeister @Frame1648 november 2024 01:10
Maar is dat hier wel de prioriteit? Puur kosten? Van wat ik hier lees is beveiliging de prioriteit.

Als aanbesteden uitdraait op niemand weet wie verantwoordelijk is (verantwoordelijk houden hoort bij beveiliging lijkt me) en lui zonder bevoegdheid werken 2 jaar aan een defensie netwerk, dan is de beveiliging ten onder gegaan met uitbesteden.
smartsys @nst6ldr8 november 2024 14:51
Heel mooi verwoord.

Van de tijd dat defensie eigen terreinen had met eigen gebouwen en eigen mensen is het door de politiek afgebroken. Defensie was een kostenpost waar makkelijk minder geld naartoe kon. Er is toch immers geen leger nodig in deze mooie wereld. Er zijn toch helemaal geen kwaadwillende regimes meer op deze aardbol. Jaren lang de beste struisvogel van de klas spelen en nu verbaasd kijken.

Alles wat al jaren geconstateerd wordt is steevast terug te herleiden naar keuzes uit Den Haag. Eigenlijk altijd keuzes waarbij minder geld beschikbaar was voor dezelfde taak.
Vervolgens nu verbaasd gaan kijken in de 2e kamer en kritische vragen stellen over hoe het ooit zover heeft kunnen komen. Nou de stichting open deur weet het antwoord.
barbarbar 7 november 2024 13:59
Van de mensen op de werkvloer bij defensie hoor ik eigenlijk dezelfde punten terugkomen. De medewerkers zelf zijn er eigenlijk ook niet blij mee. Waar ze "vroeger" zo'n netwerk helemaal zelf in de hand hadden, zelf de werkzaamheden verrichten en er voor opgeleid werden, wordt nu alles uitbesteed.

Samen met staat van onderhoud (lees: verwaarloosd) van vele panden/objecten op defensie terreinen, is het niet gek dat je overal zomaar bij kunt als je één keer langs de poorten bent. Van sociale controle op het terrein is eigenlijk geen sprake, waar dat vroeger ook anders was. Als er nu een onbekende rondloopt, stelt niemand vragen.

Bron: ikzelf ben één van die onder- onder- onderaannemers.

[Reactie gewijzigd door barbarbar op 7 november 2024 13:59]

yevgeny @barbarbar7 november 2024 14:30
Mensen zoals jij houden het draaiende, als jij met pensioen gaat is er dan iemand met dezelfde kennis en inzicht om je werk over te nemen ?
bzuidgeest @yevgeny7 november 2024 14:40
Het is geen rocketscience :) Als hij met pensioen gaat neemt een van de vele onderaannemers zijn stukje over.
emeralda @barbarbar7 november 2024 19:01
Je weet bij een extern bedrijf ook niet wie daar allemaal rondlopen of wie er de rekeningen betaalt. Ja natuurlijk spionnen kunnen ook Defensie infiltreren maar dat is toch iets ingewikkelder.
RobLemmens 7 november 2024 13:39
Beetje raar dat de belastingdienst blijkbaar teveel data kan sturen en daarmee het militaire netwerk plat gooit...

"Pas na drie dagen vindt Defensie de bron. Het blijkt dat de Belastingdienst zoveel data over het NAFIN-netwerk verstuurde, dat die het dataverkeer van de luchtverkeersleiding wegdrukte"

RTL

het strookt niet echt met de uitspraken dat het een "technisch goed opgezet netwerk" is als 1 gebruiker het plat kan gooien met een flinke datastroom

[Reactie gewijzigd door RobLemmens op 7 november 2024 13:42]

HKS-Skyline @RobLemmens7 november 2024 13:43
Idd, je zou toch denken dat iets als QoS niet zo ingewikkeld meer is tegenwoordig. Als het mogelijk is om het complete netwerk te verzadigen met normale activiteit, dan is de capaciteit simpelweg niet op orde, maar ook de balancing niet.
Xander2 @RobLemmens7 november 2024 13:49
Beetje raar dat de belastingdienst blijkbaar teveel data kan sturen en daarmee het militaire netwerk plat gooit...
Eigenlijk verbaast het me niet, het is nu wel duidelijk dat de belastingdienst een totaal losgeslagen dienst is dat zich aan geen enkele wet of afspraak houdt...
bzzzt @Xander28 november 2024 08:52
Eigenlijk verbaast het me niet, het is nu wel duidelijk dat de belastingdienst een totaal losgeslagen dienst is dat zich aan geen enkele wet of afspraak houdt...
Afspraken heb je niet zoveel aan als ze niet afgedwongen worden. Iemand heeft nagelaten een harde eis neer te leggen dat netwerkverkeer begrensd moest zijn (of dat werd "lastig" gevonden of er was geen personeel voor), in de praktijk werkte het altijd tot verkeer groeide en/of een software bug voor meer traffic zorgde. Je zou natuurlijk ook kunnen stellen dat een netwerk resistent zou moeten zijn voor dit soort onintentionele 'aanvallen' en de belastingdienst uplink verbroken had moeten worden.
sircampalot @Xander27 november 2024 13:55
QoS op netwerk/switch niveau valt niet zoveel aan te willen, dat wordt door de hardware afgedwongen.
Gallo_Claudio @sircampalot7 november 2024 14:44
Je overschat QoS. Als het een MPLS netwerk zou zijn dan heb je niks te willen en kapt je data af als je teveel verbruikt. QoS is in theorie mooi maar in de praktijk iets minder vloeiend...
RobTweaks @sircampalot7 november 2024 14:10
Kijk, nu breken ze ook al natuurkundige wetten! :+ /s
Goldwing1973 @RobTweaks7 november 2024 14:38
De belastingdienst heeft gewoon een hele nieuwe betekenis aan DDOS gegeven, Distributed Denial of Subsidies
TRS-3 7 november 2024 15:43
De naïviteit bij dit soort dingen is groot. Het gemak waarmee de overheid zich afhankelijk maakt van "de markt", ook met clouddiensten, blijft verbazen. Op papier is alles goed geregeld, tot het er echt op aankomt.
Frame164 @TRS-37 november 2024 17:21
1 van de oorzaken is m.i. de Balkenende norm. Overheidsprojecten horen bij de grootste die worden uitgevoerd. Iets "simpels" als een snelweg renoveren is al gauw duurder dan een gemiddeld project (ongeacht op welk gebied) in Nederland. De leveranciers zetten daar hun beste project- en contractmanagers op. De overheid kan slechts mensen inzetten die maximaal de Balkenende normal verdienen. En dat terwijl je als overheid eigenlijk de beste mensen wilt hebben in deze situatie. Toch weer iets met apen en pinda's. Voor grote programma's zou je als overheid de mogelijkheid moeten hebben om de beste mensen aan te nemen om dit soort programma's te leiden, en dat tegen een marktconforme beloningen.
TRS-3 @Frame16414 november 2024 00:40
Met excuus voor de enorm late reactie: het is in mijn ogen vooral een "mindset": wil je als land of zelfs als EU je eigen broek op kunnen houden? We leven nu al zo lang in een stabiele vrede dat men vergeten lijkt dat andere landen, ook als het nu goede buren of handelspartners zijn, andere belangen hebben. Denk aan een Trump die straks misschien Microsoft dwingt om z'n diensten te blokkeren als de EU de privacy en moderatie-wetten waar Elon Musk last van heeft niet intrekt. We zijn veel te afhankelijk geworden, en dat gaat goed zo lang er geen enkele kink in de kabel (pun intended) komt. Dat vertrouwen op een papieren werkelijkheid (zoals het uitbesteden van mail en agenda aan Google, want contract dus GDPR geen probleem) is iets dat niet echt van de hoogte van het salaris afhangt. Hun kop rolt niet als het contract niet nageleefd blijkt te worden.
Robinblitz 7 november 2024 13:39
Ergens toch wel bijzonder dat je nooit verrast word door dit soort berichten...
edwin2021 7 november 2024 14:01
Tja, en dat dient dan als voorbeeld functie voor o.a. de zorg die zich zou moeten conformeren aan een nen7510 🙄
desalniettemin 7 november 2024 15:06
Zo snel mogelijk op orde brengen dan, die veiligheid!
Frame164 @desalniettemin7 november 2024 17:21
Hoe?
desalniettemin @Frame1648 november 2024 08:38
Ik zou het niet weten. Ik ben geen beveiligings expert.
Johnny D 7 november 2024 16:58
Dat iemand weet dat het er is geeft de veiligheid al aan

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq