报告显示斯希普霍尔机场的网络安全不足

据报道，荷兰皇家军警由荷兰皇家军警开展的边境管制的网络安全不足，而不是未来的未来。

荷兰审计法院进行的研究（亚群岛rekenkamer），发现IT系统上的安全测试几乎不会发生，如果有的话。它还表示，如果没有所需的批准，两个IT系统的软件正在运营，而IT系统没有与国防部和斯希普霍伊本身的检测能力相关联。

史基浦不仅拥有近8000万乘客，不仅是荷兰最重要的机场，而且是欧洲最重要的门户。皇家军警检查乘客进入或离开机场的申根区。在这样做时，系统从世界各地处理乘客的个人数据。这包括有关国籍，旅游行程，旅行公司的信息，在某些情况下，犯罪数据。

乘客在护照台检查，并通过电子自助盖茨进行检查。来自申根区外的旅行者也在抵达前进行预评估。

随着边境管制，皇家军警致力于移民进入荷兰的安全和控制。它在边境控制中的重要性是巨大的 - 而且增长。数字化使它更快，更彻底，但同时创造了依赖性和新风险。

护照计数器，电子自助盖茨和评估前阶段都有自己的IT系统。国防部负责在飞行期间对抵达乘客进行检查的网络安全，以及在斯基希浦皇家军警的柜台上进行支票。同时，司法部和安全部负责机场自助护照控制的IT系统。

这三种系统的网络安全对于打击数字破坏，间谍和犯罪至关重要。如果由于数字攻击而无法使用的边境控制，皇家军警就可以几乎无法进行边境控制，如果有的话。这可能导致长队列，延迟或飞行取消。此外，外国安全服务可以使用Cyber​​ Espionage访问特定旅行者的数据。网络攻击也可以用于操纵想要的人可以更容易地越过边框的信息。

审计审查法院表明网络安全措施的运作不起作用。例如，防御安全策略描述了所有边界控制IT系统必须遵守的安全措施，并且只有在采取这些措施时才应使用IT系统。

然而，尚未发现三个边界控制IT系统中的两个被充分保护免受网络攻击。护照计数器系统和自助服务系统没有通过国防部的审批程序来确定这一点。

专家可以通过不断监控IT系统快速检测网络攻击。国防部和史基霍尔公司都以安全运营中心（SOC）的形式具有此类检测能力。

支持边界控制的IT系统本身并不是与这些SOC的检测能力连接。因此，根据审计报告法院，将无法检测到这些IT系统对这些IT系统的网络攻击的风险。

国防政策还规定年度安全测试，但在实践中，在边境控制的三个IT系统上进行了很少或没有安全测试。他们从未在评估前和护照服务台系统上进行过。

若干公共和私人缔约方涉及自助管理控制IT系统，该系统由司法部和安全部拥有。因此，联合安全试验艰苦，导致比例的较少的测试数量。

当批准系统的安全性时，所涉及的各方也依赖于彼此，因此未知的漏洞可以留在系统中并滥用网络攻击。

由于国防部以前从未如此这样做过，荷兰审计法院对预评估系统进行了安全测试。

该测试的起点是内幕威胁，其中攻击是通过访问该部网络的辩护员工进行的，但未授权进行预评估系统。这是一个真正的风险，有60,000名辩护人员可以访问网络。

这种安全测试揭示了11个漏洞，包括使用弱密码以及代表随机国防部员工发送电子邮件的能力。

此外，该测试表明，在单一网络攻击时可以组合不同的漏洞。通过高级攻击，未经授权的人可以以这样的方式操纵预评估系统，即似乎乘客不是在调查清单上，尽管如此。国防部现已解决了这些漏洞，因此这种攻击不再可能。

国防部有广泛的程序处理IT中断和危机情况。这些包括由网络攻击引起的中断的具体程序。

该组织甚至在数字危机情况下进行练习。但是，基于具体场景，缺乏准备，例如与勒索软件的攻击，并且从来没有成为边境控制的网络锻炼。因此，不确定该部对边境管制中的网络攻击的反应是否有效地实践，审计法院总结。

此外，本组织担心的是，用于预评估的IT系统没有与国防部的检测能力相关联。该部本身已将该系统确定为关键系统。

边境控制将在未来几年进一步数字化。对它的复杂性和依赖性正在增长。凭借这个未来，现在荷兰审计法院在其报告中保证了一个充分的网络安全水平。

国防部已经拥有必要的知识和专业知识。因此，调查人员在报告中提出的建议主要归结为实际做出已经可能的事情。根据审计法院，这尚未发生尚未发生。

审核法院报告，部长ANK Bijleveld（Defense）和Ferd Grapperhaus（正义和安全）表示，鉴于在阿姆斯特丹机场史基浦在阿姆斯特丹机场的边境管制中使用，进一步改进是可取的。

他们赞同报告中审计法院提出的建议。“与此同时，网络安全领域的任务是主要的，边界控制的IT景观是动态的。我们已经采取了措施，以回应许多建议，“对报告的回应表示。

例如，审计法院建议尽快采取必要的安全措施，并完成反击系统和自助服务系统的审批程序。

根据部长，目前正在对系统进行调整，正在采取额外的安全措施，以便更好地保证未来系统的可用性。

关于连接到检测能力，部长说明并非所有系统都可以同时连接到SOC，并采用逐步的方法。

“将优先考虑那些具有最高保卫优先权的IT系统。目前，优先考虑到其他关键系统，具有更高程度的紧迫感。桌面上系统和在预评估预评估期间的网络已连接到SoC。这已经减轻了一些风险，“部长在他们的回应中说。及时，将连接其他inpidual系统。

根据部长，由于有限的员工能力以及跟进所有调查结果所需的时间，开展年度安全测试的建议是不可行的。顺便提及，这不适用于自助服务系统。新的安全测试将尽快进行，并且从2021起，系统必须每年测试系统。此外，它还将审查所涉及的各方如何在斯希普霍尔的网络攻击导致危机中练习。