‘Defensie heeft te weinig inzicht in zwaktes ICT-infrastructuur’
Met zorgen van militairen over de regie op de ‘lappendeken’ die het ICT-netwerk van het ministerie van Defensie zou zijn, wordt weinig gedaan, schrijft Follow the Money. Ook het Adviescollege ICT-toetsing uitte herhaaldelijk kritiek op de afhankelijkheid van marktpartijen.
Weinig inzicht in zwaktes
Binnen het IT-bedrijf van Defensie, het Joint Informatievoorziening Commando (JIVC), leven al langer zorgen over de ICT-infrastructuur. Dat schrijft Follow the Money op basis van bronnen en correspondentie die in handen is van het onderzoeksjournalistiekcollectief. In februari uitten militairen hun zorgen over het gebrek aan inzicht in de zwaktes van de infrastructuur. Dat zou mede komen door de publiek-private samenwerkingen die het departement is aangegaan. Secretaris-generaal Maarten Schurink liet de militairen in februari weten ‘de zorgen inhoudelijk [te] delen’, en te werken aan een ‘herijking’, schrijft FTM.
Afhankelijk van Atos
Met het programma Grensverleggende IT (GrIT) wil het ministerie de verouderde IT verbeteren. Eind 2020 sloot Defensie hiervoor een contract af met een consortium van IBM, Atos en Unica. De infrastructuur die het consortium ontwikkelt – datacenters, werkplekken en servers – ligt ‘boven op de netwerklaag van NAFIN’, schrijft FTM. Het programma komt stroef tot stand en leidt tot zowel interne als externe kritiek.
In een bericht, in handen van FTM, waarschuwt het Commando Materieel en IT (COMMIT) de Commandant der Strijdkrachten, Onno Eichelsheim, dat Defensie wel heel afhankelijk is van Atos. In maart 2024 dreigde Atos nog om te vallen. Bij een faillissement zouden ook onderaannemers van Atos kunnen stoppen met hun werkzaamheden. Een faillissement van Atos zou onder meer gevolgen hebben voor de Defensiepas, waarmee militairen zich identificeren en toegang krijgen tot gebouwen en materieel. Bovendien kan er volgens de opstellers van het bericht in zo’n geval niet meer worden ingelogd bij Amerikaanse wapenleveranciers en is er geen versleutelde communicatie meer mogelijk met de Amerikaanse en Duitse krijgsmacht, waarmee Nederland nauw samenwerkt.
‘Ongefundeerd optimisme’
Het Adviescollege ICT-toetsing waarschuwde Defensie al vaker over de ‘complexiteit van de overeenkomsten’ met bedrijven een een gebrek aan regie over de uitvoering. Volgens het adviescollege is er sprake van ‘ongefundeerd optimisme’ bij Defensie, dat ‘de planning van het nieuwe grensoverschrijdende IT-systeem overlaat aan bedrijven.’ In maart 2024 schreef AcICT dat Defensie geen goed beeld heeft de onderlinge afhankelijkheden tussen de verschillende digitale bouwstenen. Daarop werd de opzet van het programma GrIT omgegooid.
Terugvallen op andere systemen
Uit een intern bericht uit april, in handen van FTM, blijkt dat er binnen Defensie inmiddels een ‘Taskforce plan B’ in het leven werd geroepen, met als taak om te onderzoeken welke andere leveranciers ict-systemen kunnen leveren om op terug te vallen als de systemen uitvallen.
NAFIN
Een gebrek aan overzicht over de ICT-infrastructuur is een risico als er zich een storing voordoet, zoals woensdag in het militaire glasvezelnetwerk NAFIN (Netherlands Armed Forces Integrated Network). Minister van Defensie Ruben Brekelmans (VVD) schreef donderdag aan de Tweede Kamer dat de storing kwam door een fout in de software. Het beheer van NAFIN is in handen van het JIVC, maar KPN is de juridisch eigenaar, want ook NAFIN is een publiek-private samenwerking.
Ook vandaag kampt Defensie nog met de nasleep van de grote netwerkstoring. Alle systemen moeten opnieuw worden opgestart. Bij de marchaussee geeft dat problemen, waardoor er geen noodpaspoorten kunnen worden uitgeven.
Lees ook:
“Er zijn terecht zorgen over de ICT-infrastructuur van het Ministerie van Defensie. De verontrustende versnippering van netwerken en een gebrek aan inzicht in de ICT-infrastructuur is niet alleen bij Defensie, maar bij meer bedrijven een groot risico voor de kritieke infrastructuur van ons land. Dit gebrek aan regie en inzicht kan ernstige gevolgen hebben voor de operationele capaciteit van onze krijgsmacht, de nationale veiligheid en de samenleving. Wat moet er nog gebeuren voordat het fundament waarop de samenleving draait eindelijk de aandacht krijgt die nodig is?
Het feit dat Defensie zo afhankelijk is geworden van partijen als Atos, dat zelfs op de rand van faillissement stond, toont aan hoe risicovol het is om, zonder voldoende eigen controle en inzicht in de IT-infrastructuur, cruciale IT-systemen uit te besteden aan private bedrijven. Deze afhankelijkheid maakt ons als land kwetsbaar. Bij falen van een marktpartij dreigen essentiële systemen, zoals de Defensiepas en de toegang tot communicatie met bondgenoten, te bezwijken.
Het ‘ongefundeerd optimisme’ dat Defensie lijkt te hebben over de uitvoering van complexe IT-projecten, leidt bovendien tot een situatie waarin de samenhang tussen digitale systemen en de risico’s die daarmee gepaard gaan onvoldoende in beeld zijn. Het is daarom essentieel dat de overheid zich niet langer blind staart op publiek-private samenwerkingen zonder als eerste de eigen regie te versterken. Een sterke interne ICT-capaciteit binnen Defensie, met een diepgaand begrip van de eigen infrastructuur, is essentieel om de risico’s in kaart te brengen, de broodnodige innovaties door te voeren en de controle te houden.
Alleen zo kan worden voorkomen dat Nederland wordt geconfronteerd met onnodige risico’s die de nationale veiligheid in gevaar brengen en kunnen we de continuïteit van onmisbare diensten voor onze nationale veiligheid waarborgen.”