Hoewel de AIVD in het laatste jaarverslag schreef dat het C2000-netwerk niet door het Chinese Hytera geleverd zou moeten worden, blijkt de inlichtingdienst in haar officiële advies te zijn bijgedraaid. Het vormt aanleiding voor minister Ferd Grapperhaus (J&V) om de nieuwbouw van C2000 ongewijzigd door te laten gaan.
In haar jaarverslag schreef de geheime dienst nog: ‘Ook is ons om advies gevraagd over de risico’s voor de nationale veiligheid bij de uitrol van een vernieuwd C2000-systeem. De AIVD vindt het onwenselijk dat Nederland voor de uitwisseling van gevoelige informatie of voor vitale processen afhankelijk is van de hard- of software van bedrijven uit landen waarvan is vastgesteld dat ze een offensief cyberprogramma tegen Nederlandse belangen voeren.’
Toch stelt de AIVD in haar officiële advies aan de minister dat uit onderzoek blijkt dat de betrokkenheid van Hytera Mobilfunk GmbH bij de vernieuwing van C2000 een laag risico geeft op inmenging op het systeem door de Chinese overheid.
Voor de mobiele communicatie tussen noodhulpdiensten, bijvoorbeeld na een aanrijding, wordt gebruik gemaakt van het systeem C2000. In 2015 is de opdracht tot vernieuwing van C2000 gegund aan een combinatie van drie bedrijven: 2Way, Eurofunk en Hytera Mobilfunk, voormalig onderdeel van een Duits bedrijf en nu dochter van het Chinese bedrijf Hytera.
Laag risico
Vanwege de toegenomen zorgen over de groeiende invloed van de Chinese overheid liet minister Grapperhaus van Justitie en Veiligheid afgelopen zomer twee onderzoeken verrichten naar de risico’s van ongewenste beïnvloeding op C2000 en eventuele kwetsbaarheden. Op basis van de beveiligingsonderzoeken en de genomen maatregelen concludeert de minister nu dat er op een verantwoorde wijze vervolg kan worden gegeven aan de vernieuwing van C2000. Over deze overwegingen gaat hij graag spoedig in gesprek met de Tweede Kamer. Dat schrijft hij in een brief aan de Tweede Kamer.
De onderzoeken zijn uitgevoerd door de AIVD en ict-dienstverlener Xebia. Uit het onderzoek van de AIVD blijkt dat de betrokkenheid van Hytera Mobilfunk bij de vernieuwing van C2000 een laag risico geeft op inmenging op het systeem door de Chinese overheid. Daarnaast concludeert Xebia dat het beveiligingsniveau van Hytera Mobilfunk GmbH ‘not bad’ is. Dat is een gemiddelde score, aldus de minister.
Uit het verdiepend technisch onderzoek, tevens in opdracht van de bewindsman, door het bedrijf Valori naar twee applicaties die door Hytera China zijn ontwikkeld, blijkt dat er geen zogenoemde ‘backdoors’ in de applicaties zijn aangetroffen, schrijft Grapperhaus.
Groen licht
Op basis van de beveiligingsonderzoeken heeft de minister besloten aanvullende technische en organisatorische maatregelen te treffen, maar ook nadere contractuele waarborgen in te bouwen, ter verhoging van het beveiligingsniveau. Deze maatregelen zien zowel op het tegengaan van ongewenste invloed van statelijke actoren als beveiliging in algemene zin. De minister zegt met Hytera Mobilfunk bovendien afspraken te heben gemaakt over het verhogen van het beveiligingsniveau. De uitvoering hiervan wordt gemonitord.
Verder zijn er afspraken gemaakt over de strikte scheiding tussen de Chinese eigenaar en het Duitse ontwikkel-, productie- en beheerproces. De minister kan te allen tijde inspecties laten uitvoeren op de broncode van Hytera Mobilfunk, is hem door de Chinezen toegezegd.
Bovenstaande onderzoeken én maatregelen zijn ter advisering voorgelegd aan professor Bart Jacobs, hoogleraar beveiliging en correctheid van programmatuur aan de Radboud Universiteit Nijmegen en lid van de Cyber Security Raad. Hij adviseert door te gaan met de vernieuwing van C2000, met voortdurende aandacht voor de beveiligingsaspecten, en met inachtneming van een aantal verbeterpunten.