Nederland is militair gezien onvoldoende alert op sabotagerisico's. Dat concludeert de Algemene Rekenkamer op basis van onderzoek naar een communicatienetwerk van Defensie.

Dat netwerk is technisch goed opgezet en de kans op uitval is relatief klein. En ook de beveiliging lijkt op papier goed op orde, maar in de praktijk weten onbevoegden binnen te dringen in beveiligde ruimtes en netwerkkasten, meldt de Rekenkamer.

Dat communicatienetwerk, voluit Netherlands Armed Forces Integrated Network (Nafin), is een glasvezelnetwerk van het ministerie van Defensie en KPN. Hiermee communiceren verschillende Defensieonderdelen met elkaar, en ook de meldkamers van noodnummer 112 en alle ministeries en Eerste en Tweede Kamer maken gebruik van het netwerk om onderling te communiceren.

Grote storing in augustus De Rekenkamer noemt ook de grote storing bij het Nafin van 28 augustus dit jaar. Toen was er geen vliegverkeer mogelijk op Eindhoven Airport en waren er onder meer problemen bij de communicatie met en tussen hulpdiensten, DigiD, een aantal gemeentelijke diensten, de ministeries en de GGD. Het ministerie van Defensie zei dat de oorzaak lag in een foute softwarecode. Een definitieve analyse volgt aan het eind van dit jaar. Die storing is niet meegenomen in het onderzoek, maar de Rekenkamer benadrukt wel dat de gevolgen ervan "een lage tolerantie voor kwetsbaarheden" lieten zien.

Omdat er steeds meer sabotageacties plaatsvinden op Europese systemen, heeft de Algemene Rekenkamer onderzocht hoe het Nafin door het ministerie van Defensie beschermd wordt. Uit tests is gebleken dat het mogelijk was om zonder autorisatie toegang te krijgen tot netwerkruimtes en netwerkkasten. "Dit is een terugkerend probleem bij de beveiliging van Defensie-objecten", meldt de Rekenkamer, hierbij verwijzend naar eerdere bevindingen uit 2022 en 2023.

Voor werkzaamheden aan het Nafin zet KPN onderaannemers in, die dat werk op hun beurt uitbesteden aan andere onderaannemers. Daardoor vertroebelt het zicht op welke beveiligingsmaatregelen zijn afgesproken. Op deze manier kon het gebeuren dat een onderaannemer twee jaar lang zonder geldige autorisatie kon werken.

Een andere conclusie is dat de middelen die Defensie heeft om cyberaanvallen op het netwerk te detecteren niet optimaal benut worden. Defensie is voor de beveiliging afhankelijk van hoe de verschillende gebruikers het netwerk behandelen en beveiligen. De minister van Defensie heeft volgens de Rekenkamer niet gecontroleerd of de gebruikers zich houden aan de opgestelde aansluitvoorwaarden en beveiligingseisen.

De onderzoekers bevelen onder meer aan om het Nafin "vitaal" te verklaren, wat nu nog niet het geval is. Bij een crisis rond een "vitaal" proces of systeem wordt direct opgeschaald naar de hoogste bestuurslagen. Verder moet er doorlopend worden gemonitord op mogelijke sabotage en spionage op Nafin-kabels.

Ook vraagt de Rekenkamer aan het ministerie van Defensie te overwegen of het mogelijk is om het (onderhouds)werk aan minder partijen uit te besteden.