Kwetsbaarheid van aan elkaar geknoopte centrale netwerken
Op 28 augustus 2024 manifesteerde een grote digitale storing zich rond 09.00u in de ochtend. Op het vliegveld Eindhoven, dat naast een militair ook een burgervliegveld is, konden door een computerstoring toen geen vliegtuigen vertrekken. Als snel kwam aan het licht dat het probleem gelegen was in een groot militair netwerk. Het betreft NAFIN. Dat staat voor Netherlands Armed Forces Integrated Network. Dat netwerk is een, kritiek, zwaar beveiligd netwerk dat eigenlijk nooit offline zou mogen gaan. Het gevolg van de problemen met dat netwerk was dat in de loop van ochtend meerdere computersystemen landelijk gingen uitvallen. Achter elkaar kwamen er berichten dat achtereenvolgens systemen van de Kustwacht en de Koninklijke Marechaussee, Basisregistratie Personen, DigiD, het landelijk alarmeringssysteem C2000?P2000 geheel of gedeeltelijk uitvielen. Het maakte zeer pijnlijk duidelijk dat door het aan elkaar knopen van landelijk opererende netwerken een cascade van problemen kan ontstaan met grote gevolgen.
Oorzaak
Al om 10.20 u meldt het Nationaal CyberSecurity Centrum(NCSC) dat er geen sprake zou zijn van een hackaanval maar van een storing in een datacentrum. Dat lijkt duidelijk, maar is het helemaal niet. Het kan ondanks deze opmerking toch gaan om cybersecurity-probleem dat zich daar manifesteert. Het is een voorbeeld van een poging het probleem in een vroeg stadium al te “downplayen”. In NRC staat op 28 augustus een artikel hoe het NAFIN-netwerk in elkaar zit en hoe redundant dat wel zou zijn volgens een overheidsfunctionaris.
Met redundantie wordt bedoeld dat als een onderdeel van het netwerk uitvalt altijd via een andere weg binnen het netwerk de data toch goed moeten aankomen. Als er al een storing in een datacenter zou zijn, zou het netwerk ook redundant moeten blijken te zijn. Anders schort er iets aan het ontwerp.
Meerdere gebruikers NAFIN
Uit berichtgeving van RTLNieuws en NRC blijkt dat het NAFIN netwerk niet exclusief in gebruik is voor onze vaderlandse defensie, maar dat ook meerder overheidsdiensten met centrale databases daar gebruik van maken. Het naar defensie genoemde netwerk heeft dus geen exclusieve gebruikers uit die branche.
Het is beslist geen “dedicated network”. Dat maakt het hele netwerk ook veel kwetsbaarder. Maar ja, men zal gedacht hebben dat als dat netwerk er toch ligt (en er geen oorlog is) dat andere overheidsdiensten voor hetzelfde geld gebruik kunnen maken van dat netwerk. Mijns inziens is dat soort gebruik de nagel aan de doodskist van een als superveilig over het voetlicht gebracht netwerk.
Vaagtaal
De behoefte van een overheidsinstantie als het NCSC die zich met de cybersecurity bezighouden is groot om uitspraken te doen tijdens de periode van uitval van diensten. Men kwam echter met een bericht dat nietszeggend is door de gebruikte “vaagtaal”. Om 12.02u zette het NCSC het volgende bericht op X(Twitter):
“Ten aanzien van de landelijke storing werken wij aan het situationeel beeld en duiding. Dit en eventuele beveiligingsadviezen worden via alternatieve kanalen gestuurd aan onze partners en doelgroepen.”
Dit totaal nietszeggende bericht geeft alleen maar aan dat ze de situatie trachten te doorgronden en met deze en gene daarover in contact staan.
Implicaties voor de zorg
In de zorg zien we al lang dat de overheid en aan haar gelieerde en door haar gestuurde private partijen een voorliefde hebben voor gecentraliseerde diensten met grote centrale databases. Die men bij voorkeur aan elkaar knoopt. Zo bestaat voor de uitwisseling van zorgdata het Landelijk SchakelPunt(LSP) met een centrale computer. Men is druk bezig die aan alle andere systemen te koppelen met een centralistische structuur en centrale database. Zo probeert de private Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ) op dit moment een online toestemmingsvoorziening Mitz met een drietal centrale onderdelen te koppelen aan het LSP. Ook met koppelingen aan andere netwerken is men bezig. Zulks terwijl decentrale systemen voor uitwisseling van zorgdata en het verlenen van toestemming zeer wel mogelijk zijn en bewezen werken.
Koppeling van grootschalige systemen brengt het risico met zich mee van grootschalige uitval van functionaliteit.
Kwetsbaarheid
Wat de NAFIN-storing laat zien is dat koppelingen van allerlei grote centrale databases met gebruik van één en hetzelfde netwerk een nu bewezen “single point of failure” opleveren.
Het ministerie van VWS zou hier lessen uit moeten trekken en in moeten gaan zetten op decentrale structuren bij zorgcommunicatie. We zien nu: gaat het mis dan gaat het ook grandioos mis.
W.J. Jongejan, 29 augustus 2024
Afbeelding van Michal via Pixabay, bewerkt door WJ. Jongejan