Security by design was een belangrijk onderdeel bij de ontwikkeling van de F35, die morgen voor het eerst onze landbodem betreedt. Nederland is partner bij de ontwikkeling van het toestel en mocht daarom ook eisen stellen en meekijken bij de ontwikkeling. Defensie voerde hierbij zelf pen-testen uit, samen met fabrikant Lockheed Martin.
Dit vertelt Henk Sonius, stafofficier bij de Koninklijke Luchtmacht, tijdens de gecombineerde ict-vakbeurzen Infosecurity.nl, Data & Cloud Expo in Jaarbeurs Utrecht.
Helm vol technologie
‘De F35 is eigenlijk een enorme computer waarbij verschillende systemen samenkomen. Niet alleen de interne communicatie en radiosystemen, maar ook de helm zit boordevol technologie. De Koninklijke Luchtmacht voert daarom voortdurend pen-testen uit om de cyberveiligheid hiervan te waarborgen. De Luchtmacht voert deze testen zelf uit, ook samen met de fabrikant. Voordeel hierbij is dat Nederland partner is bij de ontwikkeling van het toestel en dus eisen mocht stellen tijdens de ontwikkeling en mocht meekijken.’
Fred Streefland, Computable-expert en moderator van de sessie, vraagt Sonius naar de bijzonderheden van dit security-by-designtraject. ‘Het is een lang traject en we merken dat wat vroeger veilig was, nu niet meer veilig is. Het is een doorlopend proces, waarbij ook event-monitoring wordt meegenomen.’
Sonius licht toe dat vanzelfsprekend ook de F35 gehackt kan worden, want het toestel is zelf onderdeel van een netwerk en bevat miljoenen regels code. Kortom, ‘de F35 vliegt niet zonder computers.’ Als voorbeeld van een gehackt toestel noemt de militair de D-30 die Oekraïne inzette in het conflict met Rusland. Een Oekraïense militair had een app gebouwd, zodat deze toestellen nauwkeuriger konden schieten. Deze app werd echter gehackt door de Russische hackersgroep Fancy Bear, die nauwe banden heeft met de Russische overheid. Uiteindelijk resulteerde dit in de uitschakeling door de Russen van 90 procent van alle D-30 toestellen van de Oekraïners.
Cyberrangers
Sonius geeft ook aan dat er binnen Defensie cyberrangers-trainingen plaatsvinden. Deze trainingen, waarbij verschillende ‘hackscenario’s centraal staan, worden nu vooral gevolgd door netwerkbeheerders. De stafofficier geeft wel aan dat de netwerkbeheerders op dit moment (te)veel verschillende taken hebben, waaronder transmissie, netwerken en crypto. Verzuiling binnen defensie is volgens hem tot slot nodig om de cyberveiligheid nog beter te waarborgen.
