Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 16 juli 2021

De ARK beoordeelt het niveau van de cybersecurity van het grenstoezicht op Schiphol als onvoldoende en niet toekomstgericht2. De ARK heeft aanbevelingen gedaan om de beveiliging van de grenstoezichtsystemen op Schiphol te verbeteren. Hieronder informeer ik u mede namens de Staatssecretaris van Justitie en Veiligheid en de Minister van Defensie over de voortgang op de aanbevelingen.

Gezamenlijke aanbevelingen

Het ARK-rapport heeft individuele en gezamenlijke aanbevelingen gedaan aan het Ministerie van Justitie en Veiligheid en het Ministerie van Defensie. De voortgang op de eerste gezamenlijke aanbeveling: «het jaarlijks uitvoeren van beveiligingstesten op de grenstoezichtsystemen» wordt later in deze brief toegelicht. De tweede aanbeveling betreft het oefenen met alle relevante ketenpartijen van een crisis als gevolg van een cyberaanval op de drie IT-systemen van het grenstoezicht op Schiphol. In antwoord op de Kamervragen van 11 juni 2020 is toegezegd dat bekeken zal worden in hoeverre aansluiting bij bestaande oefeningen zoals de nationale cyberoefening ISIDOOR en gebruikmaking van documenten zoals het Nationaal Crisisplan Digitaal mogelijk is. De conclusie van deze verkenning is dat aansluiting bij ISIDOOR en het Nationaal Crisisplan Digitaal op zichzelf niet voldoende is voor het oefenen met het beheersen van een crisis als gevolg van een cyberaanval op de grenstoezichtsystemen op Schiphol. In aansluiting daarop is specifieke oefen-inzet in deze keten nodig. Derhalve is het Ministerie van Defensie zelf gestart met het ontwikkelen van een geschikte cybercrisisbeheersingsoefening. De verwachting is dat deze na zes maanden uitgevoerd kan worden met de ketenpartners. Deze crisisoefening wordt periodiek herhaald.

Individuele aanbevelingen aan het Ministerie van Justitie en Veiligheid

Het doorlopen van de goedkeuringsprocedure van het Defensiebeveiligingsbeleid voor het Self Service Passport Control (SSPC) systeem.

De vertraging van de implementatie van deze aanbeveling heeft verschillende oorzaken. Allereerst brengt de publiek-private samenwerking en diversiteit van uitvoeringsorganisaties de nodige uitdagingen en samenwerkingsvraagstukken met zich mee. Bij verschillende stakeholders is schaarse specialistische capaciteit beschikbaar voor de innovatieve grensprojecten. Daarnaast hebben technische en financiële vraagstukken bijgedragen aan de vertraging. Technische vraagstukken zijn onder andere het gevolg van de Covid-19 pandemie. Door de beperkte reizigersstromen waren er niet voldoende gegevens beschikbaar en konden technische testen niet volledig uitgevoerd worden. Financiële vraagstukken zijn onder andere het gevolg van toenemende cybercriminaliteit. Sinds de covid-19 pandemie is deze stijging zelfs exponentieel. Dit heeft ertoe geleid dat de investeringen die nodig zijn voor beveiligingsmaatregelen om cybercriminaliteit tegen te gaan zijn toegenomen.

Op dit moment worden risico’s beperkt door het beveiligde netwerk van Schiphol. Dit vormt een eerste beveiligingslaag voor het tegengaan en detecteren van mogelijke cyberaanvallen op het netwerk. In het kader van de goedkeuringsprocedure dient dit netwerk verder aangepast te worden.

Aansluiting van het SSPC systeem op het detectiesysteem van een Security Operation Control (SOC)

Ten tijde van het opstellen van een reactie op de bevindingen van de ARK waren er activiteiten gericht om het SSPC systeem aan te sluiten op het SOC van Schiphol. Door de heroverweging van de overdracht van het SSPC systeem aan Schiphol zijn deze werkzaamheden niet volledig doorgezet.

Aansluiting van het SSPC systeem op een SOC is onderdeel van de goedkeuringsprocedure. Ook is een SOC aansluiting onderdeel van de besluitvorming van overdracht van het SSPC systeem aan Schiphol. De daadwerkelijke implementatietijd om het SSPC systeem op een SOC aan te sluiten is afhankelijk van fundamentele aanpassingen aan het SSPC systeem en de fysieke ICT infrastructuur.

Jaarlijkse beveiligingstesten van de software

Als onderdeel van de goedkeuringsprocedure van het SSPC systeem zijn vorig jaar door een onafhankelijke partij beveiligingstesten uitgevoerd op de doorontwikkelde softwareversie. Deze software is nog niet operationeel geïmplementeerd. Door middel van penetratietesten (systeembeveiligingstesten) zijn risico’s en kwetsbaarheden van de software inzichtelijk gemaakt. Hierna zijn gerichte verbeteringen doorgevoerd die de beveiliging versterken en kwetsbaarheden mitigeren. Middels een tweede penetratietest is vervolgens zeker gesteld dat de meest risicovolle bevindingen zijn opgelost. Momenteel vinden acceptatietesten van deze verbeterde softwareversie plaats. Na het succesvol afronden van deze testen, kan de nieuwe software geïmplementeerd worden op het SSPC systeem op Schiphol. De beveiligingstesten zullen periodiek herhaald worden en zijn onderdeel van de goedkeuringsprocedure van het Defensiebeveiligingsbeleid.

Overdracht van SSPC aan Schiphol

Momenteel vinden gesprekken plaats over de overdracht van het SSPC systeem van het Ministerie van Justitie en Veiligheid aan Schiphol. Naar verwachting worden afspraken over de gevolgen van de overdracht en het eigenaarschap afgerond in Q3 2021. Een overdracht verandert niets aan de bestaande wettelijke verantwoording inzake de uitvoering van het grenstoezicht. Het Ministerie van JenV is en blijft beleidsverantwoordelijk voor de uitvoering van het grenstoezicht door de grensautoriteiten. Het Ministerie van Defensie is en blijft verwerkingsverantwoordelijk van de data in de systemen van de Koninklijke Marechaussee. De overdracht vindt plaats binnen de functionele eisen, het beveiligingsbeleid en de Algemene Beveiligingseisen Defensieopdrachten (ABDO).

Individuele aanbevelingen aan het Ministerie van Defensie

Afronden goedkeuringsprocedure

Een van de aanbevelingen aan het Ministerie van Defensie was om te zorgen dat in het IT-systeem (Border Control System, BCS) van de grensbalie zo spoedig mogelijk de benodigde beveiligingsmaatregelen worden genomen zodat de goedkeuringsprocedure conform het Defensiebeveiligingsbeleid kan worden afgerond. De huidige planning is om dit in Q4-2021 afgerond te hebben. De andere aanbeveling is om de twee IT-systemen van het grenstoezicht zo snel mogelijk aan te sluiten op de detectiecapaciteit van het SOC van het Ministerie van Defensie en daarbij de hoogste prioriteit te geven aan het als «kritiek» benoemde systeem voor pre-assessment. Het Ministerie van Defensie is bezig met een standaardisatie traject om IT-systemen standaard gekoppeld te krijgen op het SOC. Het streven is om beide IT-systemen van het grenstoezicht, dus BCS en API3, zo snel mogelijk gekoppeld te krijgen op het SOC.

Vervolg

In deze brief ben ik ingegaan op de belangrijkste maatregelen waarmee ik, in samenwerking tussen publieke partners en de private partner Schiphol, opvolging zal geven aan de aanbevelingen van de ARK gericht op een veilig en toekomstbestendig grenstoezicht. Ik zal de implementatie van de verbetermaatregelen nauwlettend volgen en uw Kamer nader berichten over de verdere voortgang.

De Minister van Justitie en Veiligheid, F.B.J. Grapperhaus