Defensie kan door personeelstekort beveiliging kritieke systemen niet jaarlijks testen, aldus Minister
Door een personeelstekort is het voor Defensie niet mogelijk om de beveiliging van kritieke systemen jaarlijks te testen, laat minister Bijleveld van Defensie weten. De minister heeft gereageerd op vragen van CDA en VVD over een rapport van de Algemene Rekenkamer.
De Rekenkamer publiceerde in april een rapport waarin staat dat de grenstoezichtsystemen van de Marechaussee op Schiphol onvoldoende zijn beveiligd en onbruikbaar zouden kunnen worden bij een mogelijke aanval. Hierdoor kan de vertrouwelijkheid van de verwerkte gegevens en de continuïteit van het grenstoezicht in het geding komen.
Genoeg kennis
Defensie beschikt volgens de Rekenkamer over de kennis en kunde om IT-beveiligingstesten uit te voeren. Er staat in het Defensiebeveiligingsbeleid dat deze testen elk jaar moeten plaatsvinden. Toch bleek dat bij twee van de drie grenstoezichtsystemen de beveiliging nog nooit is getest. Het selfservicesysteem van Justitie en Veiligheid is eenmalig getest, maar deze test was veel minder uitgebreid dan gepland.
Volgens de Rekenkamer bestaat hierdoor het risico dat aanvallers onopgemerkte kwetsbaarheden in de drie IT-systemen kunnen misbruiken. Daarnaast blijkt niet alleen de voorgeschreven jaarlijkse beveiligingstesten in de praktijk veel minder plaatsvinden, maar laat ook de opvolging van de aanbevelingen te wensen over, zo staat in het rapport.
Antwoord van de minister
Dam en Van Helvert, Kamerleden van de VVD vroegen de minister van Defensie waarom de beveiliging van grote systemen maar eens in de drie jaar worden getest en of een dergelijke periode wel wenselijk is. Hierop antwoordt minister Bijleveld dat Defensie momenteel over onvoldoende personeel beschikt om frequenter te testen.
“Wanneer het testen van alle kritieke systemen wordt veranderd naar eens per jaar, zou dit betekenen dat de huidige materiële en personele cybersecurityonderzoekscapaciteit bijna moet worden verdubbeld. Defensie concurreert namelijk met andere partijen op de arbeidsmarkt. Bij de werving van dit specialistisch personeel is dit niet haalbaar”, zegt Bijleveld.
Daarnaast voegt de minister toe dat reguliere beveiligingstesten niet het enige middel zijn om de weerbaarheid van IT-systemen te waarborgen. “Defensie treft op basis van inlichtingencapaciteit gerichte beveiligingsmaatregelen. Ook is het regelmatig doorvoeren van belangrijke softwareupdates (patchmanagementproces) belangrijk voor risicobeperking van kwetsbaarheden in systemen”, aldus Bijleveld.
De minister laat in een reactie op het onderzoeksrapport van de Algemene Rekenkamer weten dat voor de veertien kritieke systemen van Defensie (waar het grenstoezichtsysteem deel van uitmaakt) besloten dat zij elke drie jaar de goedkeuringsprocedure opnieuw moeten doorlopen. “De beperkte personele capaciteit, het grote aantal systemen en de tijd die benodigd is om te testen en alle bevindingen op te kunnen volgen, maken dat het verhogen van de testfrequentie niet haalbaar is op korte termijn”, reageerde de minister.
Bron: Security.nl