Het Netherlands Armed Forces Integrated Network (NAFIN) is een glasvezelnetwerk van het ministerie van Defensie en KPN dat veilige communicatie tussen Defensieonderdelen mogelijk maakt. Het staat los van het internet en van de reguliere, publieke glasvezelnetwerken waar Nederlanders gebruik van maken. Het netwerk ontstond in 1996 toen losse communicatieverbindingen van Defensie verouderden en te kostbaar werden.
Geld verdienen
In de loop der jaren gingen kostenbesparingen een grotere rol spelen. Door het netwerk ook open te stellen voor andere overheidsinstanties kon er zelfs geld worden verdiend met NAFIN. Inmiddels zijn alle ministeries en Hoge Colleges van Staat verbonden, net als vitale processen zoals de inzet van de politie en de meldkamers van noodnummer 112. Het is daarmee een belangrijk netwerk voor het behoud van onze nationale veiligheid dat niet alleen goed door de minister van Defensie beschermd dient te worden, maar ook door zijn andere gebruikers.
28 augustus 2024
Er heeft de afgelopen jaren een toenemend aantal sabotageacties plaatsgevonden op kritieke Europese infrastructuren. Dit was aanleiding voor de Algemene Rekenkamer om te onderzoeken hoe het ministerie van Defensie het NAFIN beschermt. Wat betekent als het netwerk uitvalt, weten we sinds 28 augustus 2024, toen door een storing bij het NAFIN de krijgsmachtonderdelen, Eindhoven Airport, de hulpdiensten, gemeenten, DigiD en de Kustwacht in de problemen kwamen.
Conclusie 1
De eerste conclusie van de Rekenkamer is dat de minister van Defensie geen strategie voor of visie op de rol en de toekomst van het NAFIN heeft. Het NAFIN werd in die tijd met goede redenen opgericht met het idee geld te besparen. Maar de randvoorwaarden waaraan het netwerk te allen tijde moet voldoen zijn toen niet, en ook nu nog niet, uitgewerkt in beleid. Geld lijkt vaak een belangrijke drijfveer voor Defensie te zijn bij strategische keuzes voor het NAFIN. Hierdoor werd het netwerk in 2001 bijna aan de markt verkocht. Tevens heeft de minister van Defensie ervoor gekozen om het netwerk fors uit te breiden voor civiele partners, zoals de ministeries. Technisch gezien is hier goed over nagedacht. Maar de Rekenkamer mist beleid en scenario’s die verder kijken dan de techniek.
Conclusie 2
Een tweede conclusie is dat de fysieke beveiliging van het NAFIN onvoldoende is. Het NAFIN is technisch gezien goed opgezet. Maar in de praktijk worden de detectiemiddelen niet volledig worden. Ook de fysieke toegang tot het netwerk op Defensie-locaties is onvoldoende beveiligd. Hoewel er op papier strikte toegangsprocedures zijn, kregen medewerkers van de Rekenkamer, die onbevoegd waren, de sleutels tot de netwerkruimtes mee. In twee gevallen ging er een alarm af bij het netwerk, maar werd er niet adequaat geïntervenieerd door medewerkers van Defensie. Vergelijkbare bevindingen bij de beveiliging van militaire objecten deed de Rekenkamer in het verantwoordingsonderzoek naar Defensie in 2022 en 2023. De urgentie bij de minister van Defensie om de tekortkomingen in de beveiliging van militaire objecten aan te pakken blijkt nog steeds te ontbreken, oordeelt de Rekenkamer.
Conclusie 3
De derde conclusie is dat het ontbreekt aan militaire regie en controle vanuit Defensie over het netwerk. Defensie is afhankelijk van KPN voor aanleg en aanpassingen in het netwerk en kan praktisch gezien niet meer overstappen op een andere provider. KPN huurt voor het werk aan de glasvezel onderaannemers in, die op hun beurt weer onderaannemers kunnen inschakelen. De Rekenkamer constateert dat de verplichte autorisatie bij een van de drie onderaannemers van KPN al sinds 2021 verlopen was en dat Defensie hier niet van op de hoogte was. Defensie heeft te weinig overzicht en grip op wie er aan de kabels van het NAFIN werken. Ook controleert Defensie niet of zijn gebruikers zich aan aansluitvoorwaarden en beveiligingseisen houden.
Geef een reactie