Een veilig internet mag niets kosten

Een veilig internet mag niets kosten

24-10-2017 13:19:33

Gisteravond zag ik een aankondiging dat er iets mis zou zijn met de beveiliging van de e-mailsystemen van de Tweede Kamer. Zo ernstig zelfs dat dat verstrekkende gevolgen kon hebben! In het tv-programma RTL Late Night zou één en ander uit de doeken gedaan worden. Mijn interesse was gewekt en ik heb het item teruggekeken.

Humberto Tan, de presentator van het programma, bracht het spannend. De journalist van Follow The Money die dit probleem onderzocht had, zou de mailservers van de Tweede Kamer gehackt hebben en er op ingelogd hebben. Gedurende het item bleek echter dat het  slechts om het ontbreken van een SPF record te gaan. Niet zo netjes, maar geen halszaak. En al helemaal niet iets waar politieke consequenties aan verbonden zouden worden. De implementatiegraad van SPF zit op zo'n 50% wereldwijd.

'Pas-toe-of-leg-uit' lijst

Een storm in een glas water dus. Maar toen ik er nog iets langer over nadacht, bedacht ik mij dat de overheid zich te houden heeft aan de 'pas-toe-of-leg-uit' lijst. Op die lijst staan internetstandaarden die voor een veiliger en toekomstbestendig internet moeten  zorgen. En SPF staat daar ook op. Maar die lijst geldt alleen voor producten/diensten van € 50.000,- of meer. Het overgrote deel van de mailtoepassingen bij overheden zal deze waarde niet overschrijden. De overheid vindt digitale veiligheid dus wel belangrijk, maar niet als het om goedkope systemen gaat. Dat is ook gek. Ook over kleine/goedkope systemen gaan datastromen die een groot maatschappelijk of economisch belang vertegenwoordigen of die de privacy van burgers raken.

Wij zien het vaker. Aanbestedingen, RFI's, RFP's en RFQ's van de overheid reppen niet over die pas-toe-of-leg-uit lijst. Soms zijn ze er niet toe verplicht omdat het die waarde van € 50.000,- niet overstijgt en soms overstijgt het die waarde wel en wordt het domweg niet als eis opgenomen. Nog veel vaker zien wij gelukkig dat er wel gevraagd wordt naar protocollen/standaarden die op de lijst staan.

Mooi geregeld. Niet dus. Er blijkt nogal veel ruimte in het 'leg-uit' gedeelte van het beleid te zitten. Veel te vaak komen wij het tegen dat de aanbesteding gegund wordt aan een partij die niet levert volgens de lijst. Deze partijen maken gebruik van de leg-uit ruimte en  geven aan 'dat het geen standaarddienstverlening is maar dat het op speciaal verzoek geleverd kan worden'. In de praktijk komt dat het er dus op neer dat protocollen als IPv6 of DNSSEC in het geheel niet gebruikt worden. Of nog erger; de gegunde partij komt weg met 'dit protocol zit bij ons in testfase en zal op enig moment in de toekomst onderdeel van de dienstverlening uit gaan maken'. Het gevraagde protocol kan dus niet geleverd worden en het kan ook nog wel eens een jaar of 10 duren voordat dat wel het geval gaat zijn.

Forum Standaardisatie

Ik erger mij groen en geel aan bovenstaande praktijken. Bedrijven die wél investeren in een veiliger en moderner internet maken daar kosten voor en die kosten komen terug in de prijs die voor het product/de dienst gevraagd wordt. Overheden kiezen voor de  allergoedkoopste aanbieder, ook als die aanbieder onbillijke redenen opwerpt om zich niet aan veilige en moderne standaarden te houden. Wordt het niet eens tijd dat het Forum Standaardisatie voldoende middelen en tanden krijgt om zich écht hard te maken voor een beter internet?


Door: Wido Potters