报告显示斯希普霍尔机场的网络安全不足

2022-06-21 17:46:07来源：

据报道，荷兰皇家军警由荷兰皇家军警开展的边境管制的网络安全不足，而不是未来的未来。

荷兰审计法院进行的研究（亚群岛rekenkamer），发现IT系统上的安全测试几乎不会发生，如果有的话。它还表示，如果没有所需的批准，两个IT系统的软件正在运营，而IT系统没有与国防部和斯希普霍伊本身的检测能力相关联。

史基浦不仅拥有近8000万乘客，不仅是荷兰最重要的机场，而且是欧洲最重要的门户。皇家军警检查乘客进入或离开机场的申根区。在这样做时，系统从世界各地处理乘客的个人数据。这包括有关国籍，旅游行程，旅行公司的信息，在某些情况下，犯罪数据。

乘客在护照台检查，并通过电子自助盖茨进行检查。来自申根区外的旅行者也在抵达前进行预评估。

随着边境管制，皇家军警致力于移民进入荷兰的安全和控制。它在边境控制中的重要性是巨大的 - 而且增长。数字化使它更快，更彻底，但同时创造了依赖性和新风险。

护照计数器，电子自助盖茨和评估前阶段都有自己的IT系统。国防部负责在飞行期间对抵达乘客进行检查的网络安全，以及在斯基希浦皇家军警的柜台上进行支票。同时，司法部和安全部负责机场自助护照控制的IT系统。

这三种系统的网络安全对于打击数字破坏，间谍和犯罪至关重要。如果由于数字攻击而无法使用的边境控制，皇家军警就可以几乎无法进行边境控制，如果有的话。这可能导致长队列，延迟或飞行取消。此外，外国安全服务可以使用Cyber Espionage访问特定旅行者的数据。网络攻击也可以用于操纵想要的人可以更容易地越过边框的信息。

审计审查法院表明网络安全措施的运作不起作用。例如，防御安全策略描述了所有边界控制IT系统必须遵守的安全措施，并且只有在采取这些措施时才应使用IT系统。

斯希普霍尔的护照处置，电子商务门和评估前阶段各自拥有自己的IT系统，网络安全对抗数字破坏，间谍和犯罪至关重要

然而，尚未发现三个边界控制IT系统中的两个被充分保护免受网络攻击。护照计数器系统和自助服务系统没有通过国防部的审批程序来确定这一点。

专家可以通过不断监控IT系统快速检测网络攻击。国防部和史基霍尔公司都以安全运营中心（SOC）的形式具有此类检测能力。

支持边界控制的IT系统本身并不是与这些SOC的检测能力连接。因此，根据审计报告法院，将无法检测到这些IT系统对这些IT系统的网络攻击的风险。

国防政策还规定年度安全测试，但在实践中，在边境控制的三个IT系统上进行了很少或没有安全测试。他们从未在评估前和护照服务台系统上进行过。

若干公共和私人缔约方涉及自助管理控制IT系统，该系统由司法部和安全部拥有。因此，联合安全试验艰苦，导致比例的较少的测试数量。

当批准系统的安全性时，所涉及的各方也依赖于彼此，因此未知的漏洞可以留在系统中并滥用网络攻击。

由于国防部以前从未如此这样做过，荷兰审计法院对预评估系统进行了安全测试。

该测试的起点是内幕威胁，其中攻击是通过访问该部网络的辩护员工进行的，但未授权进行预评估系统。这是一个真正的风险，有60,000名辩护人员可以访问网络。

这种安全测试揭示了11个漏洞，包括使用弱密码以及代表随机国防部员工发送电子邮件的能力。

此外，该测试表明，在单一网络攻击时可以组合不同的漏洞。通过高级攻击，未经授权的人可以以这样的方式操纵预评估系统，即似乎乘客不是在调查清单上，尽管如此。国防部现已解决了这些漏洞，因此这种攻击不再可能。