Minister Ronald Plasterk van Binnenlandse Zaken en Koninkrijksrelaties (BZK) blijkt zijn toezegging over het vrijgeven van de broncode van de software voor de modernisering Gemeentelijke Basisadministratie (mGBA) slechts ten dele hard te maken. De broncode van het kernsysteem Basisregistratie Personen (BRP) komt pas in 2015 beschikbaar, zij het in beperkte vorm en alleen onder strikte voorwaarden. De ict-maatschap Ockham Groep, die afgelopen januari een verzoek tot openbaarmaking bij BZK indiende, reageert teleurgesteld.
Minister Plasterk zegde de Tweede Kamer op 7 november 2013 toe de broncode van de Basisregistratie Personen op verzoek te zullen vrijgeven. ‘Om de beveiliging van de BRP en de daarin in de toekomst opgeslagen persoonsgegevens te waarborgen, zal het vrijgeven van de broncode daarom onder voorwaarden gebeuren’, schrijft hij nu in een brief aan de Tweede Kamer. De BRP bevat de gegevens van alle in Nederland woonachtige personen en een groot aantal niet-ingezetenen. Door analyse van de code kunnen kwaadwillenden beveiligingstechnisch kritische plekken ontdekken en deze op een later moment, als de BRP-voorzieningen gebruikt worden, benutten, aldus Plasterk.
Niet alles vrijgeven
De BRP komt stapsgewijs tot stand. Op de momenten waarop een stabiele, werkende versie van (delen van) de software beschikbaar is, zal die versie beschikbaar worden gesteld. Er zullen geen ‘losse’ onderdelen van de code verstrekt. Plasterk verwacht dat de eerste oplevering van een versie van de broncode van de Basisregistratie begin 2015 plaatsvindt. Daarbij gaat het om de oplevering van ‘Levering’, het eerste onderdeel van de BRP.
De minister benadrukt dat er ook onderdelen van de code niet worden vrijgegeven uit het oogpunt van privacy en beveiliging. Daarbij gaat het in ieder geval om delen die de uitwisseling van gegevens betreffen (berichten), om de firewall(instellingen), de onderdelen voor identificatie en authenticatie (waaronder de PKIO-certificaten), de ip-adressen, beveiligingssleutels respectievelijk -codes en om de definitie en de wijze van het aanroepen van webservices.
Inspanningsverplichting
Met partijen die de code willen inzien, sluit het ministerie een zogeheten ‘responsible disclosure’. Die overeenkomst komt erop neer dat partijen met BZK een periode overeenkomen (variërend van een paar weken tot enige maanden) waarin zij kwaliteitsproblemen en kwetsbaarheden melden, waarna de ontwikkelaars dergelijke gesignaleerde problemen en kwetsbaarheden ook verhelpen. Volgens Plasterk kan het gecontroleerd vrijgeven van de broncode op die manier ook zorgen voor meer en betere beveiliging doordat buitenstaanders de overheid attenderen op beveiligingsfouten. Hij wijst er op dat een aantal grote ict-leveranciers, waaronder Google, zelfs beloningen geeft voor het melden van dergelijke problemen.
Volgende stap
Partijen die de broncode willen inzien, kunnen zowel organisaties of individuen zijn. Er vindt geen selectie plaats. De enige voorwaarde is de bereidheid om de overeenkomst te sluiten. Inzage in de broncode vindt plaats op een vooraf door BZK ingerichte locatie, meldt de bewindsman. Met de betrokken partijen zal na afloop van de overeenkomst wel worden bekeken of een volgende stap in de beschikbaarstelling van de broncode toegevoegde waarde heeft. Die volgende stap behelst het plaatsen van de broncode op een website die voor iedereen toegankelijk is, aldus de minister in de brief.
Geheim
De ict-maatschap Ockham Groep uit Vianen, specialist in complexe data-omgevingen, diende eind januari bij BZK een verzoek in om de broncode en relevante documentatie over de Basisregistratie BRP openbaar te maken. Daarbij gaat het ook om de koppelvlakken met externe systemen, zoals burgerzakensystemen die op de nieuwe basisregistratie moeten aansluiten. Ockham wil, met het volledige pakket aan code, databaseschema’s, specificaties en benodigde producten, zelf een beeld vormen van de opbouw van de Basisregistratie Personen.
René Veldwijk van Ockham is daarom zwaar teleurgesteld in de brief die Plasterk aan de Tweede Kamer heeft gestuurd. ‘Er blijft weinig over van de toezegging die de minister eerder deed over het vrijgeven van de broncode voor de BRP’, concludeert Veldwijk. ‘Vrijgave is niet eerder aan de orde dan in 2015. Bovendien blijft een groot deel van de broncode geheim en blijven beweringen die de overheid doet over de BRP oncontroleerbaar.’
Geen inzicht
Het programma mGBA, dat nu werkt aan de Basisregistratie Personen, kent volgens Ockham een ‘langjarige staat van falen’. Het is volgens het bedrijf de hoogste tijd om andere partijen binnen en buiten het publieke domein te laten meekijken. Het mGBA moet, na jarenlange vertraging, in 2016 leiden tot een werkende Basisregistratie Personen, de hoeksteen van het ict-gebouw van de Nederlandse overheid. Sinds de start zijn al tientallen miljoenen besteed aan het programma en inmiddels vindt er weer een ondoorzichtige herstart plaats.
De publieke zaak is gediend bij toetsing door derden, vindt Veldwijk. ‘Uit de nadere toelichting van de minister blijkt nu dat deze openheid slechts zeer beperkt wordt geboden. Zo krijgen derden geen inzicht in de werking van de onderdelen die voor hen het belangrijkst zijn: de koppelvlakken van de BRP met de buitenwereld. De minister geeft geen openheid over de ontwikkelingen die tussen 2010 en 2013 hebben plaatsgevonden, maar schrijft in zijn brief over ‘werkende software’, die ‘stapsgewijs zal worden vrijgegeven’.’
Multi-interpretabel
De Ockham Groep stelt, in reactie op de brief, dat deze beperking onnodig is: juist door anderen in het ontwikkelstadium van de software te laten meekijken, kunnen mogelijke lekken in de beveiliging of andere problemen vroegtijdig worden opgespoord. ‘Meekijken vanaf 2015 en later, als software werkend wordt opgeleverd, zet derden feitelijk buitenspel. En zelfs aan de openheid die vanaf dat moment wordt geboden, verbindt de minister voorwaarden die dermate multi-interpretabel zijn dat ze alle toetsing in de weg staan. Ook inzage in de resultaten van de reeds gemaakte kosten geeft hij niet’, stelt Veldwijk vast.
Beleidskader
Het beleidskader voor het vrijgeven van de BRP-broncode is tot stand gekomen na consultatie van het Centrum voor Informatiebeveiliging en Privacy van de Manifestgroep, de Informatiebeveiligingsdienst voor gemeenten (IBD) van KING, het Bureau Forum Standaardisatie en beveiligingsexperts van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (waaronder die van het agentschap Basisadministratie Persoonsgegevens en Reisdocumenten). Daarnaast zijn ook de leveranciers van burgerzakenmodules die participeren in regulier overleg met het programma Operatie BRP (voorheen mGBA) betrokken.
Wat mij het meest verbaast is de heisa die veel ‘partijen’ er van maken. Als je gewoon eenvoudig nadenkt dan weet je dat het vrijgeven van een broncode van deze magnitude gewoon niet is.
Als je daar nog over wil debatteren ben je echt op de verkeerde weg. Voor de politiek zou het een goede stap zijn er voor zorgen dat er een commissie word neergezet die zaken in het oog kan houden, dit zeggende meteen wetend dat er geen kennis en ervaring binnen die partijen voor handen zal zijn.
Voor de commerciele partijen is het verhaalthe wat eenvoudiger. Zou je niet gewoon alle inspanningen en financiën aanwenden gewoon andere dingen te bedenken die commerieel waarde hebben?
Just a thought….
Hmmm…. sores om de sources.
@NumoQuest
Misschien dat je gelijk hebt maar ik zie ook wel een aantal steekhoudende argumenten in het verhaal van Ockham aangaande beveiliging. Het is namelijk een wetmatigheid dat als hoeveelheid code toeneemt de kans op fouten groter wordt, een exponentiële groei misschien wel als ook de belangen (scope creep) groter worden. Dat ministerie onder de noemer ‘responsible disclosure’ maar ten dele tegemoet wil komen aan de verzoeken voor openheid, klinkt als een beetje zwanger in mijn optiek. Kort gezegd, achterkamertjes hebben achterdeurtjes en ik heb weinig vertrouwen in de toezeggingen van minister om openheid te geven in de stand van zaken. Las recentelijk nog iets over de krampachtige houding die overheid heeft met het fenomeen journalistiek, dat andere controlerende orgaan in een gezonde democratie:
http://nos.nl/artikel/618438-overheid-vreesde-brenno-de-winter.html
“Zo kregen agenten de tip om de lamellen op het politiebureau dicht te houden, zodat beeldschermen niet te zien waren. Ook stond er een oproep in om geen operationele informatie te bekijken via openbare wifi-spots.”
Euh…
Wat zou dit helpen als op sociale media kanalen foto’s staan van beeldschermen met duidelijk leesbare gebruikersaccounts en wachtwoorden op een post-it?
Wat zou dit helpen als er nog steeds gegevensdragers vol met gevoelige informatie weggegooid worden zonder deugdelijk gewist en overschreven te worden?
Wat zou dit helpen als tot op de dag van vandaag nog steeds gebruik gemaakt wordt van digitale diensten welke dus expliciet ontraden worden door AIVD?
Wat zou dit helpen als op het gebruikte werkstation een versie van Windows draait welke niet meer ondersteundt wordt en waar virusscanner ontbreekt?
Je kunt een veilige en goed geteste auto hebben maar als bestuurder geen verkeersinzicht heeft levert dat gewoon gevaarlijke situaties en ongelukken op. Want bij beveiliging gaat het tenslotte niet alleen om de code zelf maar ook om de processen erom heen zoals we allemaal nog weten met DigiNotar want de keten is zo sterk als de zwakste schakel en steeds vaker is dat dus de gebruiker.
Overheid en ICT doet mij denken aan de wil van het volk om wereldkampioen voetbal te worden, met alleen maar amateurvoetballers. De kans dat dat gaat gebeuren is bijna nihil. Andersom: zekerheid dat je met professionals het wel voor elkaar krijgt is ook klein, maar groter dan het experiment met de amateurs.
Zo ook in de ICT. De overheid stelt idioot hoge eisen aan van alles en nog wat. Maar het mag niets kosten. Zo werkt dat – op dit moment – niet in de samenleving. Een tweede bijkomend probleem bij de overheid, is de politieke aansturing. Je kunt alles beweren van een commerciële organisatie wat je wilt, maar 1 doel is er altijd: winstmaximalisatie. Als ze ook nog 10 a 20% doen aan hun bestaansrecht op de lange dure, zit er een rem op de winstmaximalisatie. Als je alleen maar puur daarop uit bent (de beroemde kwartaalwinsten najaagt) bouw je uiteindelijk prutsoftware/systemen.
Als je deze twee problemen van de overheid wil oplossen en vindt dat die hoge eisen en wensen nodig zijn, zullen we de grondwet moeten veranderen, zodat opvolgende politiek besluitvormers niet zo maar kunnen ingrijpen (vaak vanwege politieke motivatie). Een tweede is dat we de BBRA schalen voor veel van deze functies echt moeten verhogen, niet tot in het absurde, maar nu concurreert de overheid met het bedrijfsleven, waar ze altijd de slag om talent zullen verliezen.
ICT en overheid is geen technisch probleem, maar een inherent structureel organisatie vraagstuk, waar je heel veel politieke moed voor hebben, omdat eens en voor altijd op te lossen.
Het wordt een beetje wollig gebracht. Waarschijnlijk door een paar techneuten uitgelegd en dat via een paar lagen naar boven vertaald toe. Maar feitelijk willen ze wel de code laten inzien maar niet de configuratie. Dat snappen we wel want configuratie is in deze een bijzaak. Waarom de WSDL niet in zou mogen zien snap ik dan weer niet want dat is juist wel belangrijk voor de analyse.
En wie van ons hier zou de kans aangrijpen om deze code eens in te zien? Wat mezelf betreft ben ik toch wel nieuwsgierig al was het alleen maar om een gevoel te krijgen van de magnitude van deze voortdurende soap.
“Door analyse van de code kunnen kwaadwillenden beveiligingstechnisch kritische plekken ontdekken en deze op een later moment, als de BRP-voorzieningen gebruikt worden, benutten, aldus Plasterk.”
Als er kritische plekken in zitten, is de software helemaal (nog) niet geschikt om uit te rollen! Je wilt _juist_ dat er zoveel mogelijk ogen naar de software kijkt (liefst voordat het ingevoerd wordt), zodat je er zoveel mogelijk fouten uitgehaald worden.
Het is erg dat er blijkbaar tegenwoordig vanuit wordt gegaan (dat het normaal is) dat er kritische fouten in software zitten.
Het is ’t beste als alle overheidssoftware volledig Open Source is. Incl. de besturingssystemen en de firmware van gebruikte apparatuur.
Zonder dat, is er geen werkelijk openbaarheid van bestuur mogelijk.