Vereniging Nederlandse Gemeenten (VNG) heeft naar nu blijkt het contract met KPN voor het leveren van siem/soc-diensten aan gemeenten opgezegd. Dat zou in goed onderling overleg zijn gegaan. Het betreft het eerste perceel van de gemeentebrede aanbesteding GGI-Veilig die in 2019 aan KPN werd gegund.
KPN zou sinds juni 2019 zogeheten siem (security information and event management)- en soc (security operations center)-diensten leveren aan 211 deelnemers van de GGI-Veilig-aanbesteding. Binnen een soc wordt met siem-tooling alle beschikbare, aan de beveiliging gerelateerde informatie binnen een ict-infrastructuur verzameld en geanalyseerd. Doel van de analyses is kwetsbaarheden ontdekken en verdacht gedrag in een vroeg stadium signaleren.
Na twee jaar is de stekker er uit getrokken, omdat door de sterk veranderde omstandigheden in de markt het contract onvoldoende bijdraagt aan de oorspronkelijke doelstelling, namelijk het verhogen van de digitale weerbaarheid van de gemeenten. Om daar binnen het contract toch aan te kunnen voldoen, zouden er dusdanige contractuele aanpassingen nodig, dat er sprake zou zijn van een wezenlijke wijziging. ‘Dit achtten KPN en de VNG niet haalbaar’, aldus de verklaring van de VNG.
KPN laat weten zich te kunnen vinden in de verklaring van de VNG. Volgens een woordvoerder zijn er in tijd tussen het opstellen van het bestek van de aanbesteding en de daarvoor gecontracteerde oplossing nieuwe ontwikkelingen in de manier van werken ontstaan en daardoor ook in het omgaan met bedreigingen. ‘Dan moet je denken aan verschuivingen naar de cloud of kunstmatige intelligentie als bron voor geautomatiseerde afhandeling van bedreigingen. De kaders van de aanbesteding lieten dan ook onvoldoende ruimte om deze nieuwe oplossingen binnen de destijds gesloten overeenkomst te realiseren’, aldus de zegsman.
Wachtkamer
De VNG heeft de beëindiging van de siem/soc-dienstverlening geformaliseerd door middel van een zogeheten vaststellingsovereenkomst per 1 juli jl. Met twee van de 211 deelnemers wordt op een later moment het gesprek over de beëindiging van de dienstverlening voortgezet. Bij de start van de dienstverlening hadden zich overigens nog 331 deelnemers gemeld; meer dan honderd zijn er nadien afgevallen.
De vereniging zegt zich ervan bewust dat deze beslissing gevolgen heeft voor haar leden. Een woordvoerster laat weten: ‘Vanuit de Informatiebeveiligingsdienst ondersteunt de VNG haar leden op het gebied van informatieveiligheid, onder andere met standaarden en richtlijnen voor inrichting van monitoring en response en het delen van ervaringen door gemeenten onderling.’
Ook laat zij weten dat de VNG in samenspraak met de deelnemers bekijkt of er, en zo ja, een opvolger van de gemeenschappelijke siem/soc-dienstverlening moet komen. Bij de gunning aan KPN voor siem/soc-diensten in 2019 belandde Capgemini als nummer twee in de wachtkamer. Volgens de zegsvrouw kan dit bedrijf de rol van KPN echter niet overnemen. Omdat het telecombedrijf op tijd (uiterlijk in 2020) in de praktijk had aangetoond middels een ‘proof of delivery’ een siem/soc-dienst te kunnen leveren, verliep de wachtkamer-overeenkomst.
GGI-Veilig
De beëindiging van het siem/soc-contract met KPN heeft geen gevolgen voor de percelen 2 en 3 van de GGI-Veilig-overeenkomst. Daarbij gaat het om security-producten/diensten (met KPN, Protinus IT en Telindus-ISIT als leverancier) en adviesdiensten (met Capgemini, BDO Advisory, KPN, Ordina, It-Staffing en Protinus IT als partners). De GGI-Veilig-contracten lopen in 2024 af.
GGI staat voor de Gemeentelijke Gemeenschappelijke Infrastructuur (GGI) die de VNG voor de gemeenten wil realiseren. Hierbinnen vormt GGI-Veilig het portfolio van producten en diensten gericht op informatiebeveiliging, uiteenlopend van siem en soc tot aan de levering van endpoint-security en datacenterbeveiliging.
Ik kan me voorstellen je het verlies van ‘no cure, no pay’ op perceel 1 eventueel goed kan maken op perceel 2 en 3. En wat betreft de ‘koninklijke’ beëindiging van het contract heb ik dus vooral vragen over de rol van de VNG. De vereniging ontpopt zich steeds vaker als een commerciële partij in een markt die bij wet gereguleerd is, niet onvoordelig voor de ‘koninklijke’ als het om uitsluiten van de concurrentie gaat. Een ‘Proof of delivery’ is iets anders dan een Proof of Concept want het zal niet de eerste keer zijn dat er technologie aangeboden wordt die er nog niet is.
“Volgens een woordvoerder zijn er in tijd tussen het opstellen van het bestek van de aanbesteding en de daarvoor gecontracteerde oplossing nieuwe ontwikkelingen in de manier van werken ontstaan en daardoor ook in het omgaan met bedreigingen.”
No shit Sherlock alleen was de gang naar het nieuwe werken al enige tijd gaande zoals dat ook de cloud geen donderslag aan heldere hemel was. En ransomware is geen nieuwe bedreiging alleen is er verzaakt om de beveiligingsstrategie hierop aan te passen. Want te goed van vertrouwen is er nog zoiets als de praktijk welke altijd weer afwijkt van de theorie.