Het was groot nieuws, zes maanden geleden. De staatsveiligheid was in gevaar omdat de toegangspassen voor overheidsgebouwen waren gekraakt. De pasjes gebruiken de inmiddels beruchte Mifare Classic-chip, bekend van de OV-kaart. Op vrijdag 7 maart lichtten onderzoekers van de Radboud Universiteit in Nijmegen minister Ter Horst van Binnenlandse Zaken in. Ter Horst zond terstond een aantal AIVD'ers naar Nijmegen. De conclusie: twee miljoen toegangspassen moeten op korte termijn vervangen worden. Omdat voor elkaar te krijgen moet het project voor één pasje voor de overheid (minus de 400.000 passen van Defensie) versneld en gewijzigd worden. Dan is de staatsveiligheid weer gewaarborgd.

Stichting ICTU (onderdeel van het ministerie van Ter Horst) werkt aan dit project genaamd Rijkspas, dat naast toegangsbeveiliging voor panden van de rijksoverheid ook netwerktoegang en follow-me printing mogelijk moet maken. De minister heeft dit project gevraagd versneld op te leveren, met nog dit jaar de eerste uitrol. Vanaf nu zal het projectteam terzijde gestaan worden door de Digital Security groep van de Radboud universiteit, die roem vergaarde met het kraken van Mifare. Helaas moest er ook een aantal zaken veranderen aan de Rijkspas, waarbij in opdracht van de AIVD de nabijheidchip achterwege wordt gelaten. Deze Mifare-chip wordt nu geschrapt uit de Rijkspas. De vernieuwde nieuwe Rijkspas kan dus niet meer op afstand worden gelezen met speciale apparatuur. Een forse change op een project dat vlak voor de oplevering zit (voorzien voor Q4/2008) en dat nu van de minister nog sneller moet. Andere chips betekent andere lezers - dat gaat niet van de ene op de andere dag. Als je pech hebt moet je zelfs opnieuw aanbesteden. Voorlopig zullen de pasjes dus maar handmatig gecontroleerd worden, meldt het ministerie.

Nu was het probleem van de huidige pasjes niet acuut, omdat de onderzoekers van het Radboud de details niet bekend hadden gemaakt. De opheffing van het spreekverbod door de rechter vergroot echter de druk op het project Rijkspas.

Eerder berichtte RTL Nieuws dat door slordige beveiliging onbevoegden gemakkelijk de departementen binnenkwamen. Dat kwam doordat oud-medewerkers hun pasjes niet inleverden, wist plaatsvervangend secretaris-generaal van BZK, Philippe Raets. Als dat het probleem is, wel, daar helpt geen Mifare classic of andere cryptochip tegen. Dat heeft met de actualiteit van het bronsysteem te maken.

Voor een pasjessysteem is de cruciale vraag op basis van welke gegevens de kaarten worden uitgegeven en ingetrokken. ICTU heeft bij de Rijkspas voor de bestaande directory van rijksambtenaren gekozen - die onder Rijksweb zit, RYX. Vanuit ICTU gezien is RYX een valide keuze: het is het enige register van rijksambtenaren. Met de koppeling van de Rijkspas wordt afgedwongen dat RYX bijgewerkt wordt, op straffe van fysieke buitensluiting van de eigen medewerkers. Om over de inhuur maar te zwijgen. Helaas is RYX niet altijd het toonbeeld van actualiteit - het duurt even voor een ambtenaar opgenomen wordt dan wel afgevoerd. Het is heel knap dat het register nu nog maar drie dagen achterloopt, maar voor provisioning is dat véél te veel. RYX bevat bovendien onvoldoende informatie om de gevraagde beveiliging mogelijk te maken, en zal dus uitgebreid moeten worden. De uitbreiding van de hoeveelheid gegevens in het centrale register betekent per definitie een daling van de datakwaliteit. In rijksbrede projecten is de regie van een verandering nogal een uitdaging - om alleen al de 37 stuurgroepen op één lijn te krijgen is al nauwelijks haalbaar. En al lukt dat wel, dan helpt het nog niets als die stuurgroepen binnen hun eigen organisaties niet een absolute autoriteit hebben; ze zijn er om het project aan te sturen, niet om de eigen organisatie - die vaak een wolk van instellingen, stichtingen en organen omvat - te sturen. De eerste directeur van de ICTU noemde RYX al de "nagel aan zijn doodskist". Welnu, dat zullen er meer gaan zeggen.

Minister Ter Horst maakte tevens bekend dat de AIVD (op eigen verzoek) een centrale rol gaat spelen bij de beveiliging van ministeries en aanpalende organen, dus dan zal de datakwaliteit in het bronsysteem door de AIVD beheerd moeten worden. Hopelijk bestaat de werkvoorraad van jaren die ze nog niet zo lang geleden hadden met het uitvoeren van screenings, niet meer: het beheren van honderdduizenden personele en organieke mutaties per maand is even wat anders dan een paar honderd screenings. Het is best knullig als elke dag honderden ambtenaren hun gebouw niet binnen mogen en triestig op de stoep tussen de rokers moeten blijven staan omdat de mutaties niet tijdig zijn doorgegeven of verkeerd zijn ingevoerd. ICTU kon als ICT-club niet veel veranderen aan de processen bij de diverse rijksorganen, misschien dat de AIVD meer indruk maakt.

IJdele hoop: de AIVD heeft aangegeven de centrale rol te zien in een adviserende hoedanigheid. Dus gaan ze adviseren over de gewenste datakwaliteit. Wat daar nu centraal aan is? Misschien dat de rokende ambtenaren maar een andere plek voor hun persoonlijke behoeften moeten vinden, want voorlopig zal het wel vol zijn op de stoep.

De koppeling naar RYX is alleen nog maar de bron voor het pasjessysteem. De integratie met de verschillende netwerken om authenticatie op de werkplek en op de printer mogelijk te maken zal ook niet vanzelf gaan. Daar kun je wel tegen wat vragen oplopen: ga je in de huidige LAN omgeving een dergelijke grote wijziging aanbrengen? Vast niet. Dus dat zal in de opvolger van de huidige, op XP gebaseerde overheidsstandaard desktops meegenomen worden. Die opvolgers zijn over het algemeen niet zo ver gevorderd - de migratie naar XP is immers nog niet zo lang geleden afgerond. Het zal eerder 2013 zijn dan 2010 vóór Vista op de desktop te vinden zal zijn. Daarmee zullen de beloofde beveiligingsfuncties in het LAN evenzeer mee opschuiven de toekomst in.

Nu kun je dit scope-technisch oplossen door te stellen dat de Rijkspas deel uitmaakt van de nieuwe rijkswerkplek, het roemruchte project GOUD. Maar dat traject loopt ook bepaald niet zonder hobbels: de aanbesteding was een behoorlijke afgang waarbij drie van de vijf uitgenodigde partijen afzagen van een bod omdat ze het project kansloos achtten. Dat was voor Minister Bos echter geen reden het project te herzien. Gegeven dat GOUD versie 1.0 feitelijk neerkomt op Vista, Office 2007 en een tekenpakket voor SVG (weet iemand nog wat dat is?) met een 2003 back-end voor 15.000 werkplekken bij vijf departementen, blijft er nog een enorm stuk rijksoverheid over zonder de toegezegde veiligheid. Die toch ook nog een keer zal moeten. Tegen die tijd is de storm over de Mifare chip hopelijk al lang gaan liggen.

De minister van Binnenlandse Zaken heeft een boel dingen beloofd en de suggestie gewekt dat dit najaar de staatsveiligheid hersteld wordt. Dat gaat dus never nooit niet lukken. Waar het op neer gaat komen is dat er een pas komt die in theorie gebruikt kan worden voor allerlei beveiliging, maar de komende tijd zelden ergens voor gebruikt wordt. Dit is de traditionele begripsverwarring tussen ICT en de normale wereld; voor ons is een probleem opgelost als er ergens een werkend systeem staat, voor de rest van de wereld is het probleem opgelost als dat systeem overal staat en dan nog steeds werkt.

Minister Ter Horst is ongetwijfeld te goeder trouw, maar het lijkt erop dat het rapport van de rekenkamer over falende ICT projecten bij de overheid niet goed tot haar doorgedrongen is. We zien hier weer torenhoge ambities en bestuurlijke spierballentaal waar iedereen die een beetje logisch nadenkt van weet dat ze niet realistisch zijn: een multifunctioneel Rijkspas-systeem is pas af als alle verschillende stukken op hun plaats zijn, niet als het project de basisvoorziening oplevert. Uitrollen, reorganiseren en integreren duurt veel langer dan het stukje techniek in elkaar schroeven wat ICTU doet. De hele operatie zal gezien de architectuur in het beste geval tot 2015 duren. 2022 is realistischer. Tegen die tijd is de basisvoorziening die nu in opbouw is, zwaar verouderd, zodat het op de meeste plaatsen niet werkt en bovendien niet meer veilig is. Dit kunnen we nalezen in het rekenkamerrapport dat vlak voor het zomerreces, in juni 2018, verschijnt. Hopelijk hebben we dan samen met de Belgen het WK-voetbal hier te lande, zodat het rapport helemaal geen aandacht krijgt.

Door Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -

Vorige columns van Peter

• Zet RBAC bij het grof vuil
  
• De nachtmerrie van security managers
  
• Outsourcing: Horen, Zien, Zwijgen?
  
• Certificeringen: Bewijzen van onvermogen
  
• Leuke speledingetjes
  
• Security volgens WC-Eend
  
• Een triviaal bureautje in de periferie
  
• Koud onderzoek
  
• Wie Zwijgt Stemt Toe
  
• Een Lesje in Beveiliging
  
• Voortschrijdend Inzicht Mag Niet
  
• De Chinezen Komen Niet - Ze Zijn Er Al!
  
• Het anti-terrorismehoesje
  
• Niemand is de Baas
  
• Zin en Onzin
  
• This is Me
  
• Wat niet meet, wat niet deert
  
• De Chinezen komen, of niet natuurlijk (deel 2)
  
• Afscheid van het netwerk
  
• De Chinezen komen! Of niet, natuurlijk.
  
• Een kwakkelend dossier
  
• "Nederland is goed voorbereid"
  
• Headhunter incident
  
• Ethiek en Security
  
• De kleren van de keizer zijn dood, leve de nieuwe kleren van de keizer
  
• Over Security Architectuur
  
• Best Practices bestaan niet
  
• Unified Threat Management: dure mensen, goeie spullen?
  
• Security maturity
  
• Komt het nog wel goed
  
• Geen nieuws is goed nieuws
  
• Awareness best belangrijk
  
• Een papieren tijger in een zilveren lijstje
  
• Een goed idee is niet goed genoeg
  
• Uit de loopgraven
  
• Waarom beveiligingsbeleid faalt
  
• Groot slaat dood