Het Nether­lands Armed Forces Integrated Network (NAFIN) laat vitale onder­delen van de Rijks­over­heid veilig en vertrou­we­lijk met elkaar commu­ni­ceren en is technisch goed opgezet. Dat stelt de Algemene Reken­kamer in een rapport. De minister van Defensie heeft veel maatre­gelen genomen om de kwets­baar­heden van NAFIN zoveel mogelijk te beperken en de kans op uitval is relatief klein. Op papier is ook de bevei­li­ging goed geregeld. Deson­danks blijkt het in de praktijk mogelijk voor onbevoegden om fysiek toegang te krijgen tot bevei­ligde ruimtes en netwerk­kasten. Dit leidt tot de conclusie dat Neder­land in een zeer gespannen geopo­li­tieke situatie militair gezien onvol­doende alert is op sabotagerisico’s door state­lijke actoren.

• Door NAFIN kunnen Defensie, politie en andere onder­delen van de Rijks­over­heid veilig en vertrou­we­lijk met elkaar communiceren.
• NAFIN wordt technisch goed onder­steund en onderhouden.
• De kans op uitval is klein.
• De fysieke bevei­li­ging is in de praktijk onvoldoende.
• De minister is voor onder­houd en integri­teit van NAFIN deels afhan­ke­lijk van externe partijen (KPN, gebrui­kers, onderaannemers).
• Er is geen uitge­werkte strate­gi­sche visie op de toekomst van NAFIN.

Het NAFIN is een glasve­zel­net­werk van het Minis­terie van Defensie en KPN. Het maakt veilige commu­ni­catie tussen Defen­sie­on­der­delen mogelijk. Ook de politie, de meldka­mers van noodnummer 112 én alle minis­te­ries en Eerste en Tweede Kamer maken gebruik van het netwerk om onder­ling te commu­ni­ceren. Het is daarmee van groot belang voor de natio­nale veilig­heid. Er vinden de afgelopen jaren echter steeds meer sabota­ge­ac­ties plaats op kritieke Europese systemen. Daarom heeft de Algemene Reken­kamer onder­zocht hoe de minister van Defensie het NAFIN beschermt.

Beveiliging op papier goed, in de praktijk onvoldoende

Het NAFIN is technisch gezien goed opgezet. Er is voldoende capaci­teit en de kans op uitval is klein. Er is autori­sa­tie­be­heer voor digitale toegang tot het netwerk en er zijn toegangs­pro­ce­dures voor fysieke toegang tot de netwerk­ruimtes. Maar in de praktijk heeft de Algemene Reken­kamer tijdens het onder­zoek een aantal bevei­li­gings­pro­blemen gevonden.

• De belang­rijkste locaties mogen alleen met de juiste autori­satie worden betreden. Het was, zo blijkt uit onze tests, toch mogelijk om zonder deze autori­satie toegang te krijgen tot deze ruimtes. En ook tot de netwerk­kasten die daar staan. Dit is een terug­ke­rend probleem bij de bevei­li­ging van Defensie-objecten, zie hiervoor bijvoor­beeld de bevin­dingen in onze Verant­woor­dings­on­der­zoeken over Defensie uit 2022 en 2023.
• De middelen die Defensie heeft om cyber­aan­vallen op het NAFIN te detec­teren, werden in de praktijk niet optimaal benut.

Defensie afhankelijk van derden voor aanleg en onderhoud

Defensie is afhan­ke­lijk van KPN voor aanleg en aanpas­singen aan de kabels van het netwerk. Om werk aan KPN uit te besteden moet Defensie staats­ge­heime infor­matie met KPN delen. Zoals infor­matie over waar de NAFIN-kabels liggen of waar de netwerk­ruimtes precies staan. KPN besteedt de werkzaam­heden aan het NAFIN uit aan onder­aan­ne­mers, die het ook weer uitbe­steden aan onder­aan­ne­mers. Het zicht op wie er aan het NAFIN werkt en welke bevei­li­gings­maat­re­gelen met deze partijen zijn afgesproken verdwijnt op deze manier. Zo kon het gebeuren dat een onder­aan­nemer twee jaar lang werkte zonder geldige autorisatie. 

Defensie is daarnaast voor de bevei­li­ging van het netwerk afhan­ke­lijk van hoe gebrui­kers het netwerk behan­delen en bevei­ligen. De minister van Defensie stelt aansluit­voor­waarden en bevei­li­gings­eisen voor het NAFIN op, maar contro­leerde niet of gebrui­kers (bijvoor­beeld andere minis­te­ries) zich hier aan houden.

Geen uitgewerkte strategie voor gebruik en toekomst NAFIN

In het verleden zijn veel keuzes rond de inzet van NAFIN op finan­ciële of techni­sche basis gemaakt en niet op strate­gi­sche. Zo is het netwerk in 2001 bijna verkocht aan een commer­ciële partij. De minister van Defensie heeft verder niet uitge­werkt hoe groot het NAFIN eigen­lijk mag worden, en wie er wel of geen gebruik van mogen maken. Het minis­terie geeft aan dat overheids­par­tijen mogen worden aange­sloten ‘zolang het Defen­sie­be­lang niet wordt geschaad’, maar dit is niet verder concreet gemaakt. Er is geen heldere visie op eventuele groei van het netwerk in de toekomst. En er is al lang geen nieuwe risico­ana­lyse voor NAFIN gemaakt, terwijl de onrust in de wereld flink is toege­nomen. Daarnaast is het opval­lend dat het NAFIN niet de formele status van ‘vitale infra­struc­tuur’ heeft, terwijl een aantal voor ons land uiterst belang­rijke processen er van afhan­ke­lijk zijn. 

Grote verstoring op 28 augustus 2024

Tijdens het onder­zoek van de Algemene Reken­kamer heeft er een grote versto­ring plaats­ge­vonden op het NAFIN. Op 28 augustus 2024 waren er grote problemen bij onder meer de commu­ni­catie met en tussen hulpdien­sten in heel Neder­land. Ook was er geen vlieg­ver­keer mogelijk op Eindhoven Airport. De Algemene Reken­kamer heeft deze versto­ring niet onder­zocht. De staats­se­cre­taris van Defensie heeft aange­geven dat de oorzaak bleek te liggen in een foute softwa­re­code, maar dat een defini­tieve analyse pas aan het einde van het jaar wordt opgele­verd. Dit incident illustreert hoe groot de maatschap­pe­lijke gevolgen kunnen zijn als het NAFIN uitvalt.