Markt en overheid
Interview

Wendbare krijgsmacht, lenige ICT

Utrecht, 17-9-2020 Portretfoto's van directieleden van JIVC

De krijgsmacht ontwikkelt zich naar een flexibele hightech organisatie. Open source is een manier om ook de ICT van de krijgsmacht wendbaar te maken. Vrijgeven van de broncodes van in eigen huis gebouwde software is echter niet in alle gevallen mogelijk. Interview met hoofd technologie Olivier Sessink van het JIVC, onderdeel van de Defensie Materieel Organisatie

Open source en Defensie gaan opvallend goed samen. Dat zou je niet direct verwachten van een organisatie met veel en soms ook gevoelige informatie. Bij een oplossing voor de beveiliging van het gegevensverkeer koos de krijgsmacht een aantal jaren terug voor OpenVPN. Versleuteling van informatie is belangrijk voor Defensie. Dat behoeft weinig toelichting. Buitenlandse mogendheden vormen een grote bedreiging voor de informatiestromen van onze krijgsmacht. Reden voor het Joint Informatievoorziening Commando (JIVC) om het liefst beveiligingssoftware te gebruiken die door het Nationaal Bureau Verbindingsbeveiliging (NBV) van de AIVD is geëvalueerd. De software is dan grondig nagekeken op zwakheden, denk aan stiekem ingebouwde achterdeurtjes. Dat laatste is niet ondenkbaar. Recent nog ontstond commotie over de door de beveiligingsdiensten en politie gebruikte cryptofoons van Zwitserse makelij, waarin de Amerikaanse afluisterdienst NSA opzettelijk zwaktes in de vercijfering had ingebouwd.

Bij een oplossing voor de beveiliging van het gegevensverkeer koos de krijgsmacht een aantal jaren terug voor OpenVPN. Versleuteling van informatie is belangrijk voor Defensie. Dat behoeft weinig toelichting. Buitenlandse mogendheden vormen een grote bedreiging voor de informatiestromen van onze krijgsmacht. Reden voor het Joint Informatievoorziening Commando (JIVC) om het liefst beveiligingssoftware te gebruiken die door het Nationaal Bureau Verbindingsbeveiliging (NBV) van de AIVD is geëvalueerd. De software is dan grondig nagekeken op zwakheden, denk aan stiekem ingebouwde achterdeurtjes. Dat laatste is niet ondenkbaar. Recent nog ontstond commotie over de door de beveiligingsdiensten en politie gebruikte cryptofoons van Zwitserse makelij, waarin de Amerikaanse afluisterdienst NSA opzettelijk zwaktes in de vercijfering had ingebouwd.

“Het lijstje van de NVB bevatte echter voornamelijk dure en weinig flexibele producten. Extra aansluitingen vergden meteen nieuwe licenties en er was bovendien weinig keus”, vertelt hoofd technologie Olivier Sessink van het JIVC. Dit ICT-bedrijf is onderdeel van de Defensie Materieel Organisatie en beheert de duizenden softwarepakketten en systemen, van netwerken, werkomgevingen en logistieke applicaties tot de luchtverkeersleidingssystemen. “Op internet kwamen we OpenVPN tegen dat door security-experts hoog werd aangeslagen. Dat product heeft een goede performance, geeft veel functionaliteiten en kan draaien op verschillende apparatuur. Je kunt openVPN flexibel inzetten en dat was precies wat we wilden om verbindingen te beveiligen. Het is ons uiteindelijk gelukt iedereen ervan te overtuigen dit open source product op de NVB-lijst te zetten.”

Weinig gedoe

Wendbaarheid is een van de pijlers van de IT-strategie van Defensie. En wendbaar ben je niet, weet Sessink, in een situatie waarin je vastzit aan het product van één leverancier die bepaalt welke mogelijkheden je hebt. “Open source is een manier die kan helpen de wendbaarheid te vergroten als je zo een vendor lock-in kunt voorkomen. Bij het vernieuwen van onze ICT kijken we dan ook voortaan nadrukkelijk naar waar we open source producten kunnen gebruiken.” JIVC heeft met een duizendtal softwarelicenties te maken. “Juist de open source licenties vergen weinig gedoe en geven ons veel rechten. Voor het managen van gesloten softwarelicenties hebben we een enorme organisatie op moeten tuigen. Zo hebben we leveranciers- en contractmanagers in dienst. We moeten het aantal gebruikers tellen en garanties afgeven. Er komen audits bij kijken en nog veel meer. Voor ons is ook dat een reden om op open source te sturen. Voor support kun je vaak kiezen uit meerdere leveranciers in plaats van dat je aan één partij gebonden bent, die als enige de software kan inzien en waarbij jij maar weinig melk in de pap te brokkelen hebt.”

Datadiode

Een recente open source toepassing bij Defensie is de bouw van een datadiode voor veilig éénrichtingsverkeer tussen twee systemen. Door de ontwikkeling van de diode open source te maken konden verschillende leveranciers aanhaken. Protocollen werden door meerdere gebruikers geschreven en gedeeld. De kosten vielen daardoor lager uit en daardoor werd de ontwikkelde diode betaalbaar voor een veelvoud aan bedrijven, (semi)overheden en particulieren. Bestaande datadiodes zijn erg duur (circa 50 duizend euro per netwerk), waardoor ze alleen voor de grote bedrijven zijn weggelegd. “Een enkel marineschip telt al zo’n 20 netwerken, dus alleen uitzonderlijke processen worden met dit soort diodes beveiligd”, licht Sessink toe. De prijs per datadiode zal naar verwachting op een paar honderd euro uitkomen.

Harde eis

Er zijn nog meer open source voorbeelden. Defensie heeft voor zijn risicomanagementmethode een visualisatietool in gebruik, die veel tijd bespaart. De basis voor deze tool werd gelegd door Rijkswaterstaat, dat het instrument aan aannemers voorschrijft bij de aanbesteding van bruggen en tunnels. Een harde eis van Rijkswaterstaat voor de bouwers van de tool was dat deze als open source verkrijgbaar is op internet. “In overleg met Rijkswaterstaat hebben we de visualisatietool overgenomen. Het grote voordeel is dat we er zelf een aanbesteding achteraan konden doen om er features voor Defensie aan toe te voegen, namelijk een automatische rapportagemodule, zodat je gegevens niet opnieuw hoeft in te voeren in een los rapport. Dat was niet mogelijk geweest als Rijkswaterstaat niet open source had aanbesteed”, zegt Sessink. De samenwerking was bovendien een oplossing om de voor ontwikkeling van de visualisatietechniek beperkt beschikbare budgetten van beide organisaties volop te kunnen benutten. “Rijkswaterstaat heeft de basis aanbesteed en wij erbovenop extra functionaliteiten. De partij die de tweede aanbesteding won, was in staat voort te borduren op de softwarecodes die de winnaar van de eerste aanbesteding had geschreven. Ook wij hebben geëist dat de uitbreidingen onder open source licentie beschikbaar zijn. Iedereen kan nu met de tool werken”, aldus Sessink.

Optimalisatieslag

Defensie bouwt ook zelf software als marktpartijen niet aan een specifieke vraag kunnen voldoen. “Niet alles is kant-en-klaar te koop en inzetbaar”, zegt Sessink. “Daar waar we een behoefte hebben, waar de markt nog niet op heeft ingespeeld, ontwikkelen we zelf een toepassing. We hebben bijvoorbeeld een integratielaag gebouwd voor de tientallen subsystemen op onze marineschepen, zodat we vanuit één systeem op de commandobrug alle systemen kunnen overzien en bedienen. Zo’n optimalisatieslag is nodig. We streven ernaar dat een schip met zo min mogelijk mensen volledig operationeel kan varen.” Ook voor de interne bedrijfsvoering heeft Defensie eigen software ontwikkeld. Zo kunnen medewerkers via één app verlof aanvragen en inboeken, een dienstauto reserveren of een dienstreis declareren. “Daarvoor hoeven ze niet naar de verschillende onderliggende systemen toe.”

Generieke componenten

Invulling geven aan de beleidslijn van staatssecretaris Knops (BZK/Digitale Overheid), die overheden oproept hun software te delen met de samenleving, biedt voor Defensie wisselende opties, aldus Sessink. “Aan de ene kant is zoiets relatief makkelijk. Als we nieuwe systemen gaan uitbesteden is het in feite een ‘no-brainer’. Je kunt dan gewoonweg eisen dat het gebouwde softwareresultaat onder een open source licentie wordt gepubliceerd. Ingewikkelder wordt het bij de software die we zelf maken. De integratiesoftware die we voor op onze schepen hebben ontwikkeld, zullen we omwille van veiligheid nooit gaan delen met de buitenwereld. Je wilt niet dat de Russen of de Chinezen deze software in kunnen zien. Zo kun je de hele werking van een Nederlands marineschip volgen. Maar de samenleving heeft ook niets aan deze software. Een visserijschip heeft geen interesse in de dreigingen van onderzeeboten. De app voor onze interne bedrijfsvoering, die verschillende systemen kan ontsluiten, is weer wel deels interessant om vrij te geven. Daar zitten veel generieke componenten in waar bedrijven verder op kunnen ontwikkelen. Maar het is dus zeker niet zo dat we onze software in alle gevallen open kunnen maken.”

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren