Kamervragen over de rol van Fox-IT bij het beveiligen van staatsgeheimen

Door 7 februari 2017 Security, uit het nieuws Geen reacites

Nederlandse staatsgeheimen worden beschermd met producten van het bedrijf Fox-IT.

Naar aanleiding van twee artikelen in het NRC Handelsblad op 24 januari  hebben Ronald van Raak en Jasper van Dijk van de SP , en Kees Verhoeven van D66 kamervragen aan de ministers van Binnenlandse Zaken en Koninkrijksrelaties, van Defensie en Economische Zaken gesteld.

De achtergrond is dat de overheid voor het beveiligen van Staatsgeheime informatie afhankelijk is van producten en diensten van het commercieel bedrijf Fox-IT. Nu Fox-IT, overigens al weer meer dan een jaar geleden, is opgekocht door de Britse Investeringsmaatschappij NCC, bestaat de angst dat Nederlandse geheimen in handen van de Britten komen. Gezien de reputatie van de Britten zijn de zorgen terecht, wellicht zijn de vragen die de kamerleden niet scherp genoeg om deze angst te kunnen wegnemen.

Om te beginnen de reputatie van de Britse geheime diensten. Die is zacht gezegd niet best. De Britten hebben in het verleden meerdere meer malen blijk gegeven ‘lak te hebben’ aan procedurele scheidingen en een goede omgang met hun internationale vrienden, zoals prof. Bart Jacobs in één van de genoemde artikelen aangeeft. voorbeelden zijn onder andere de monitoring van alle trans-Atlantische internetverkeer, het bespioneren van bevriende EU-landen, de waarschijnlijke inbraak bij een belangrijke leverancier van telefoon-sims en de inbraak bij een Belgische telecomprovider. Dus het idee dat Britse diensten via een (inmiddels) Brits bedrijf proberen Nederlandse staatsgeheimen in hun bezit te krijgen is niet vergezocht. De vraag is of de Britten bij ‘onze’ geheimen kunnen als ze de controle over Fox-IT hebben.

Laten we aannemen dat de cryptoproducten van Fox-IT ‘state of the art’ zijn en voldoen aan alle fundamentele ontwerp regels voor cryptotechniek en de bijbehorende processen. De externe evaluaties die hierop zijn gedaan, onder meer door de NAVO en TüV Rheinland Nederland, geven deze zekerheid.

Dit betekent dat de leverancier misschien toegang heeft tot de versleutelde data, maar zonder de encryptiesleutels geen toegang heeft tot de inhoud van opgeslagen of in transit staatgeheime informatie. De sleutels die bij de versleuteling worden gebruikt zijn alleen bekend bij de eigenaar / verzender en de ontvanger. Voor staatsgeheime informatie worden de sleutels naar ik verwacht opgeslagen op smartcards en dergelijke. Zelfs met alle kennis van de gebruikte techniek zal het voor de leverancier niet mogelijk zijn om versleutelde berichten ‘te kraken’ zonder deze sleutels.

Een eerste goede aanvullende vraag is of het denkbaar is dat Fox-IT in staat is om alle of bepaalde sleutels of berichten ‘onklaar’ te maken, zodat wij er zelf ook niet meer bij kunnen.

Ook als de leverancier op de hoogte is van de key management processen is dat op zich niet erg, want deze laten alleen zien welke stappen worden gevolgd bij het creëren van de sleutels. De sleutels zelf zullen nooit in deze documenten vermeld zijn. De key management processen zullen niet fundamenteel anders zijn dan die bij banken en andere organisaties. Ze laten mogelijk wel zien welke functies of functionarissen belangrijke rollen spelen. Als Fox-IT een operationele rol heeft bij het beheer van de cryptodiensten, dan is zij mogelijk in staat om ‘meta informatie’  te destilleren over het gebruik ervan: welke afdelingen maken hiervan gebruik, stijgt het gebruik in korte tijd bij een bepaalde afdeling, etc.

Een tweede aanvullende vraag zou dan zijn: heeft Fox-IT een rol in het operationeel beheer van de oplossing en is dit wenselijk?

Het is dus niet zo dat ervoor gekozen is om een privaat bedrijf Nederlandse staatsgeheimen te laten beveiligen. Wel beveiligt de Nederlandse staat haar geheimen met door een privaat bedrijf geleverde producten en diensten. De geheimen zelf komen niet in gevaar als deze techniek in handen is van een commerciële buitenlandse partij. Ook niet als deze na verloop van tijd de boel weer doorverkoopt. En dat hoeft dan niet eens aan een Nederlandse partij te zijn.

Wel in het geding is de continuïteit van de oplossing. Wat gebeurt er als de betreffende Fox-IT afdeling niet meer winstgevend (genoeg) is, de investeerder bepaalt dat het genoeg is geweest en ‘de stekker er uit trekt’? Wat gebeurt er als Fox-IT/NCC onvoldoende geld in beheer en verbetering van de cryptotoepassingen steekt? Stel dat de NAVO of TüV in de toekomst hun certificeringen intrekken of dit dreigen te doen, weet de Nederlandse overheid dat dan?

Het zal duidelijk zijn, een derde aanvullende vraag is of de overheid een exitplan heeft voor de Fox-IT-systemen en diensten, en of dit plan op een realistisch korte termijn is uit te voeren.

En het feit dat NCC Engels is?  Het kan geen kwaad om te onderzoeken in hoeverre de Nederlandse overheid ook op andere vlakken afhankelijk is van Britse IT en telecomdiensten die mogelijk niet zo streng beoordeeld zijn door onafhankelijke internationale instanties. Maar dat geldt natuurlijk net zo goed voor producten en diensten van andere Europese en Trans-Atlantische vrienden.

Over henk

Henk is een security en continuity strateeg met een fijn oog voor de actualiteit.