Financiën openbaart geheim aanbestedingsdocument
Gepubliceerd: Woensdag 6 februari 2008
Auteur: Brenno de Winter
Het aanbestedingsdocument voor de overheidsdesktop wordt toch openbaar gemaakt. Beveiligingsexperts waren al kritisch over geheimhouding door minister Bos.
Volgens Tweede Kamerlid Arda Gerkens van de Socialistische Partij zal het document vanaf donderdag publiekelijk beschikbaar zijn op website van het Ministerie van Financiën.
Het overleg over de aanbesteding tussen betrokken ambtenaren en kamerleden blijft wel achter gesloten deuren en eventuele experts zullen geheimhouding moeten beloven.
Omstreden geheimhouding
De openbaring betreft het aanbestedingsdocument voor de overheidsdesktop. Zoals Webwereld vorige week meldde, trekt het document Microsoft-standaarden voor. De Tweede Kamer voerde donderdag een spoeddebat over het project, waarin ook de geheime status ter discussie stond. Vandaag reageerden enkele experts uit de beveiligingsgemeenschap die vooral weinig ophebben met de "security by obscurity"-redenering van Minister Bos.
Volgens Minister Bos is een geheime aanbesteding veiliger voor de overheidssystemen: "Het heeft in dit geval ook te maken met het feit dat, als wij bijvoorbeeld ons aanbestedingsdocument openbaar zouden maken, de hele wereld inzage had in alles wat te maken heeft met de netwerkomgeving die wij gebruiken en de applicaties die daarbij aan de orde zijn. In ieder geval uit het oogpunt van beveiliging vragen wij ons af of dat verstandig is."
Security by obscurity of rookgordijn?
In de beveiligingsindustrie wordt een dergelijke redenering aangeduid als "security by obscurity", omdat het geheimhouden de beschermende maatregel is, terwijl dat vaak weinig toevoegt of gemakkelijk te doorbreken is.
"Het is typerend, maar ook wel bedroevend dat er nog altijd mensen zijn die de veiligheid van een systeem baseren op het achterhouden van informatie", vertelt Joran Polak redactielid bij Security.nl tegenover Webwereld. "Bij het evalueren van de beveiliging moet je er juist van uitgaan dat een aanvaller al deze informatie heeft."
Polak benadrukt dat de geschiedenis tal van voorbeelden kent van mensen die dachten door security 'through obscurity' veilig te zijn, maar toch onderuit gingen. De recente rel rond de OV-chipkaart is een voorbeeld van het falen van security by obscurity.
Ook beveiligingsbedrijf Fox-IT denkt dat de informatie rond deze desktopaanbesteding niet geheim te houden is. "Het is een rare illusie dat je geheim kunt houden hoe een omgeving eruit ziet, waarmee 21.000 mensen werken", zegt Ronald Prins, directeur bij het beveiligingsbedrijf. "Als een beveiligingsplan goed in elkaar moet zitten, dan moet het plan niet afhangen van de geheimhouding."
Twijfel over noodzakelijkheid beveiliging
Prins vermoedt ook dat beveiliging niet zo'n groot issue is. "Feit is wel dat jij als journalist eraan kon komen. Bij echt vertrouwelijke aanbestedingen lukt dat je niet, want die zijn doorgaans goed dicht getimmerd", betoogt Prins. Het document voldoet volgens Prins bovendien niet aan richtlijnen van de overheid over welke documenten vertrouwelijk mogen zijn.
Ook Polak betwijfelt ernstig of openbaarmaking echt een beveiligingskwestie is: "In dit geval lijkt het er dan ook op dat beveiliging als excuus wordt gebruikt om informatie voor andere doeleinden dan veiligheid achter te houden. Zeker aangezien het document al is uitgelekt."
Niet alles openbaar maken
Jeroen Sprenger, directeur voorlichting bij het Ministerie van Financiën, is weinig onder de indruk van kritiek op het gevoerde geheimhoudingsbeleid: "Wij maken de keuze omdat we niet iedereen een kijkje in de keuken willen geven." Hij benadrukt dat slimme mensen met de kennis van de systemen mogelijk een gaatje in de beveiliging kunnen vinden.
"Iedereen kan van alles vinden, maar wij moeten toch een eigen lijn trekken", zo vertelde hij tegenover Webwereld voordat bekend was dat de informatie toch beschikbaar komt.
