Reizigers op Eindhoven Airport, waar het vliegverkeer is platgelegd vanwege de storing. © Rob Engelaar/ANP
Afgelopen woensdag viel het zwaar beveiligde defensienetwerk urenlang uit. Medewerkers konden niet inloggen en het vliegveld Eindhoven lag plat. De oorzaak lag bij Defensie zelf. Externe adviezen en interne meldingen over problemen met IT-systemen en infrastructuur worden nauwelijks opgepakt, zo blijkt uit documenten waarover Follow the Money beschikt.
Eerder deze week kampte Defensie met een grote storing van haar zwaar beveiligde glasvezelnetwerk. Het NAFIN (Netherlands Armed Forces Integrated Network) verbindt 180 defensielocaties. Het netwerk is een publiek-private samenwerking waarbij KPN juridisch eigenaar is; het beheer valt onder de verantwoordelijkheid van het IT-bedrijf van Defensie, het Joint Informatievoorziening Commando (JIVC). Het NAFIN is ontworpen om niet afhankelijk te hoeven zijn van het ‘gewone’ – niet altijd veilige – internet.
Minister van Defensie Ruben Brekelmans (VVD) meldde de Tweede Kamer later die dag dat de storing door een fout in de software is ontstaan.
Diverse militairen trokken al eerder aan de bel, zowel bij de ambtelijke leiding als bij de politieke leiding
Bronnen melden Follow the Money dat er al enige tijd onrust heerst binnen het IT-bedrijf van Defensie, JIVC. Zo deelden militairen al in februari intern hun zorgen over het gebrekkige inzicht in de zwaktes van hun eigen ict-infrastructuur, en over de lappendeken die is ontstaan door de samenwerking met allerlei externe, private partijen.
Uit correspondentie die in handen van Follow the Money is, blijkt dat verschillende militairen daarover eerder aan de bel hebben getrokken, zowel bij de ambtelijke leiding (secretaris-generaal Maarten Schurink) als bij de politieke (voormalig staatssecretaris Christophe van der Maat, VVD).
Wankelende A-partner
Een belangrijke partij in de publiek-private samenwerking van Defensie is het Franse Atos. Samen met IBM werkt het als zogeheten A-partner aan een nieuwe ‘veilige IT- infrastructuur voor Defensie’. Deze infrastructuur – datacenters, werkplekken en servers – ligt volgens Defensie ‘boven op de netwerklaag van NAFIN’. Het contract met Atos (in totaal ter waarde van 471 miljoen euro) betreft ook de Defensiepas. Die pas dient als identificatiemiddel en beschermt de toegang tot gebouwen, voertuigen, terreinen en computersystemen.
In maart van dit jaar bleek dat Atos op omvallen stond. De Financial Times meldde dat de Franse overheid een deel van het bedrijf wil opkopen, om te voorkomen dat aandelen in buitenlandse handen vallen. In Frankrijk beheert Atos immers supercomputers die gebruikt worden voor ’s lands nucleaire programma, en beheert het beveiligde communicatietechnologie.
Op basis van hun contract zijn leveranciers verplicht Defensie al in een vroeg stadium te melden dat hun eigenaarsschap mogelijk verandert. Maar Atos waarschuwde Defensie niet. Waarom moesten zij dat in de krant lezen, wilden de militairen weten? Ook zagen ze de naam op de facturen veranderen, en vroegen zich af of Atos een doorstart had gemaakt.
Hoe afhankelijk Defensie van de diensten van Atos is, blijkt uit de korte inventarisatie van het COMMIT
Atos laat een deel van zijn werkzaamheden door onderaannemers uitvoeren. Het risico bestaat dat zij hun werkzaamheden zullen stoppen zodra Atos vanwege een faillissement ‘niet meer kan voldoen aan de betalingsverplichtingen’. Die waarschuwing gaf het Commando Materieel en IT (COMMIT) eerder dit jaar in een bericht aan de Commandant der Strijdkrachten, Onno Eichelsheim.
Hoe afhankelijk Defensie van de diensten van Atos is, blijkt uit de korte inventarisatie in dat bericht van het Commando Materieel en IT. Wanneer de Defensiepas niet goed werkt, kan de Koninklijke Marechaussee bijvoorbeeld processen-verbaal niet digitaal ondertekenen en handtekeningen niet controleren. Ook de dienst Telestick (nodig voor flexibel werk) werkt dan niet meer.
Maar er zijn ook grotere risico’s: volgens de opstellers van het bericht kan er dan niet meer worden ingelogd bij Amerikaanse wapenleveranciers (zoals die van de F35, de Chinook, de Apache en de Patriot-raketten). Versleutelde communicatie met de Amerikaanse en Duitse krijgsmacht is dan evenmin mogelijk. Dat raakt – vanwege de nauwe samenwerking – rechtstreeks aan het werk van de luchtmacht en de landmacht.
‘Herijking’ dringend nodig
Er bestaat kortom onduidelijkheid binnen het departement over wie wat voor Defensie doet, en er zijn grote zorgen over de afhankelijkheid van private partijen. De secretaris-generaal liet de militairen in februari weten ‘de zorgen inhoudelijk [te] delen’, en te werken aan een ‘herijking’.
De legertop heeft geen goed beeld van de onderlinge afhankelijkheden tussen de verschillende digitale bouwstenen
Het Adviescollege ICT-toetsing vraagt daar al jaren om. In 2020 waarschuwde de waakhond het ministerie voor de ‘complexiteit van de overeenkomsten’ met bedrijven en het gebrek aan regie over de uitvoering. In 2021 verzocht het Adviescollege Defensie ‘expliciet aandacht te geven aan de consequenties van opdrachtverstrekking’. In september 2023 volgde opnieuw de waarschuwing dat Defensie ‘de planning van het nieuwe grensoverschrijdende IT-systeem overlaat aan bedrijven,’ in plaats van zelf het voortouw te nemen. Het Adviescollege wees nadrukkelijk op het ‘ongefundeerd optimisme’ bij Defensie.
In alle gevallen beloofde de dienstdoende staatssecretaris beterschap, maar steeds moest het Adviescollege zijn waarschuwing herhalen. De meest recente waarschuwing is van afgelopen maart: de legertop heeft geen goed beeld van de onderlinge afhankelijkheden tussen de verschillende digitale bouwstenen. De staatssecretaris beloofde beterschap. Opnieuw.
Kink in de kabel
Geen goed zicht hebben op de aannemers en onderaannemers levert serieuze risico’s op. De complexiteit van het systeem maakt het bovendien lastig voor Defensie om – zoals afgelopen woensdag – bij een storing de kink in de kabel snel te identificeren.
‘In de nasleep van dit incident zul je merken dat er onduidelijkheden naar boven komen,’ zegt cyberexpert Bert Hubert tegen Follow the Money. ‘Van wie is het netwerk? Wie beheert wat precies? Wie is er verantwoordelijk voor een storing? Voor reserveonderdelen? Dat soort ruis is echt een groot risico.’
Zo was tot vanmorgen onduidelijk welke private partijen precies deel uitmaken van het NAFIN-netwerk, waar de storing plaatsvond. Eerdere berichten noemden het Franse Atos en Amerikaanse IBM, later werd bekend dat het onderhoud door KPN en Nortel wordt gedaan.
Ronald Prins, die als voormalig eigenaar van Fox-IT regelmatig aan tafel schoof met de overheid als opdrachtgever, ziet nog een ander probleem. ’Er zitten bij Defensie wel technische mensen met kennis van zaken, maar die krijgen in het inkoopproces een veel te kleine rol.’ Volgens Prins wordt de inkoop te veel gejuridiseerd. ‘Dan gaan de juristen van de leverancier en de juristen van defensie om tafel om afspraken te maken die helemaal los staan van de technische aspecten.’
Ook zonder storingen dreigen er gevaren. Niet alleen wanneer een grote leverancier als Atos failliet dreigt te gaan of (deels) in buitenlandse handen valt. Want sowieso is het de vraag in hoeverre (onder)aannemers een hoge mate van veiligheid kunnen garanderen.
Afgelopen februari vond de militaire inlichtingendienst MIVD Chinese malware bij een onderaannemer van Atos, die een firewall voor Defensie bouwde. Het was weliswaar een relatief klein en gesloten netwerk, maar Defensie gebruikte het voor onderzoeks- en ontwikkelingsdoeleinden.
Beterschap beloofd
Staatssecretaris Christophe van der Maat (VVD) beloofde na het meest recente rapport van het Adviescollege als vanouds beterschap. Gijs Tuinman – toen nog Kamerlid voor de BBB, en inmiddels Van der Maats opvolger – vroeg de staatssecretaris eind maart naar de risico’s van samenwerken met een bedrijf als Atos, waarvoor faillissement dreigt.
Uit een intern bericht van begin april blijkt dat er eindelijk beweging kwam in de lang beloofde ‘herijking’. Vice-admiraal Hartman, commandant van Commando Materieel en IT, kondigde een ‘Taskforce plan B’ aan om te kijken of (en zo ja: welke) andere leveranciers fall back-opties kunnen leveren: systemen die in het geweer komen zodra andere uitvallen. Tien dagen na de oprichting van de Taskforce liet de staatssecretaris de Tweede Kamer weten ‘vergevorderd’ te zijn met zijn ‘herijking’. Details kon hij niet prijsgeven, vanwege commerciĆ«le belangen.
Op de vraag van Follow the Money of er naar aanleiding van de storing ook gekeken wordt naar de afhankelijkheid van en afspraken met private spelers binnen het NAFIN-netwerk, kon het ministerie van Defensie niet inhoudelijk ingaan: ‘Er volgt nog een evaluatie op de storing, en daar kunnen wij niet op vooruit lopen.’
Geen opmerkingen:
Een reactie posten
Opmerking: Alleen leden van deze blog kunnen een reactie posten.