De betrokkenheid van meerdere onderaannemers bij het Nafin-communicatienetwerk van Defensie leidt tot veiligheidsrisico’s. Die conclusie trekt de Algemene Rekenkamer. Het glasvezelnetwerk dat essentiële communicatie tussen Defensie, politie en andere diensten mogelijk maakt, kampte eind augustus met een storing die het netwerk vijftien uur platlegde.
Hoewel het netwerk technisch degelijk is opgezet, blijkt de complexiteit van de keten een bron van risico’s te zijn. Defensie vertrouwt op KPN voor de aanleg en het onderhoud van Nafin en deelt met het telecombedrijf staatsgeheime informatie over bijvoorbeeld kabel- en netwerklocaties. Een deel van het werk laat KPN echter uitvoeren door onderaannemers, wat het voor Defensie moeilijk maakt om toezicht te houden. De Rekenkamer achterhaalde dat hierdoor een onderaannemer twee jaar lang onbevoegd toegang had.
Gebrek aan visie en risicoanalyse
Uit het onderzoek blijkt verder een gebrek aan visie voor de lange termijn en risicoanalyses vinden te weinig plaats. Dit vergroot het risico op beveiligingsproblemen en maakt het netwerk en Defensie kwetsbaar in tijden van geopolitieke spanningen.
Nafin staat voor Netherlands Armed Forces Integrated Network. De Rekenkamer onderzocht niet de storing op dit netwerk, die eind augustus meerdere dagen voor overlast zorgde. Deze werd veroorzaakt door een softwarefout in de tijdsynchronisatie en verstoorde het functioneren van hulpdiensten en het vliegverkeer op Eindhoven Airport. Het leidde tot veel ophef in Nederland. Later verklaarde staatssecretaris Gijs Tuinman geen bewijs te hebben dat de storing was veroorzaakt door kwaadwillenden.
Beveiliging op papier goed, in de praktijk onvoldoende gaat om het temmen van de papieren tijgers waarin de vervolgconclusies over onderaannemers opmerkelijk zijn. Bezuinigen op onze veiligheid met de visie van een boekhouder zorgt ervoor dat er lastige politiek-bestuurlijke vragen liggen over de afhankelijkheid van de semi-private ondernemingen die niet alleen voor onveiligheid zorgt maar ook voor een oneerlijke marktconcurrentie:
‘De randvoorwaarde dat het NAFIN netwerk ten alle tijden military owned and controlled moet zijn werd buiten de discussie in 2013 gehouden toen KPN gered moest worden van een buitenlandse overname’
Kortom het contractmanagement wankelt als KPN juridisch nog altijd de eigenaar is van het NAFIN netwerk en Defensie alleen maar de gebruiker. Dan maar liever de lucht in is dit hetzelfde als het gebruik van de cloud. Want de conclusie in het rapport over een gebrek aan urgentie bij de minister van Defensie in het beveiligen van strategische objecten liegt er niet om. Het bewustzijn dat de netwerkruimten de nieuwe kruitopslag zijn moet nog indalen bij ambtenaren die zijn blijven hangen in de euforie van jaren 90.
‘Bij de wacht kreeg het ongeautoriseerde testteam (team rood) de sleutel van de netwerkruimte mee. Bij een andere test op een NAFIN-locatie kreeg het testteam ook ongeautoriseerd de sleutels mee van de netwerkruimte.’
ik insinueer niet dat iemand de klok verdraaid heeft maar hetzelfde euvel werd ook geconstateerd in de jaren ervoor waardoor er een systemisch lek is. Tenslotte zijn het vooral Oost-Europese migranten die de kabels in de grond leggen door een gebrek aan indiaantjes omdat de cowboys te druk zijn met het dienen van de eigen belangen. En daarin is het ontlopen van verantwoordelijkheid gewoonte geworden want Hennis-Plasschaert 2.0 is meer met het imago van zichzelf bezig dan het benodigde beleid want het volgende baantje lonkt al.