De nationale politie heeft een grote aanbesteding voor werkplekapparatuur ingetrokken om geopolitieke redenen. Of de kans dat het Chinese computerconcern Lenovo een van de leveranciers had kunnen worden een rol gespeeld heeft bij dit besluit, is niet duidelijk.
De opdracht omvatte de levering van ‘werkplekapparatuur en aanverwanten, bestaande uit vaste werkstations, mobiele werkstations, beeldschermapparatuur en overige werkplekapparatuur, randapparatuur, accessoires en het verrichten van diensten’. De geraamde waarde over een maximale looptijd van vier jaar zou een slordige 165 miljoen (inclusief optie voor extra bestellingen) bedragen. Het betrof het vernieuwen van apparatuur voor 65.000-70.000 politiemedewerkers.
De tender blijkt eind vorig jaar te zijn ingetrokken. Een van de bedrijven die zich hadden ingeschreven was Dell Technologies. Die zou volgens anonieme bronnen bezwaar hebben gemaakt en met een kort geding hebben gedreigd. Kern van de klacht zou zijn dat een andere mededinger, Bechtle, een grote Lenovo-partner is en de apparatuur van dit bedrijf zou inbrengen in zijn bieding. Gezien de Chinese komaf van Lenovo zou dit een veiligheidsrisico voor de Nederlandse overheid in het algemeen en de politie in het bijzonder kunnen zijn. Dell Technologies laat in een reactie weten hier inhoudelijk niet op in te willen gaan en verwijst naar de politie.
Geopolitiek
Een woordvoerder van de politie gaat ook niet in op de vraag of dit klopt. Wel meldt hij dat er geen sprake is geweest van een gang naar de rechter en stelt hij verder: ‘We kijken op dit moment opnieuw naar de invulling van deze aanbesteding, waarbij we rekening houden met veranderende omstandigheden. In het licht van de veranderende geopolitieke situatie kijken we opnieuw naar maatregelen om mogelijke risico’s zoveel mogelijk te beperken.’
De zegsman verwijst voor meer context naar een Tweede Kamer-brief van het ministerie van Justitie & Veiligheid van eind november vorig jaar. Daarin kondigt minister Yeşilgöz-Zegerius (Justitie en Veiligheid) namens het kabinet een versterkte aanpak van statelijke dreigingen aan. Die dreiging vanuit onder meer Rusland en China neemt namelijk steeds verder toe melden de Algemene Inlichtingen- en Veiligheidsdienst (AIVD), de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) en de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV).
Tot de risico’s behoren onder meer de inzet van (digitale) middelen voor spionage, diefstal van kennis en technologieën sabotage van de vitale infrastructuur. Er loopt momenteel een onderzoek naar hoe apparatuur en programmatuur van organisaties uit landen met een tegen Nederland gerichte offensieve cyberagenda geweerd kunnen worden uit aanbestedingen van de rijksoverheid. Daarbij wordt een scan gemaakt welke apparatuur of programmatuur van bedrijven uit die landen bij de Nederlandse overheid draaien.
Spionage
Inkoop- en aanbestedingstrajecten in Nederland zijn ook aantrekkelijk voor spionnen. Er wordt tijdens zo’n traject vaak veel informatie weggegeven, onder andere via openbare aanbestedingsdocumenten. Uit de documenten wordt veelal duidelijk over welk soort expertise bedrijven beschikken; hiermee worden potentiële doelwitten geïdentificeerd.
Daarnaast kunnen statelijke actoren zo toegang krijgen tot gevoelige systemen of informatie, of kunnen zij een deel van de markt in handen krijgen. Dit marktaandeel kan op langere termijn risicovolle strategische afhankelijkheden opleveren. Verder bieden geleverde goederen en diensten kansen voor sabotage en spionage. Zo is er de afgelopen jaren bij zowel aanbestedingen van Defensie, politie en andere Nederlandse overheidsinstanties een spionagerisico geconstateerd.
Chinese bedrijven
Vorig jaar kwam de politie in he nieuws omdat het zevenhonderd camera’s had gekocht van het Chinese bedrijf Dahua. Dat bedrijf is omstreden omdat het zou meewerken aan de onderdrukking van de Oeigoeren. Naar aanleiding daarvan wilde een meerderheid van de Tweede Kamer zo snel mogelijk af van het overheidsgebruik van Chinese cameramerken als Dahua en Hikvision (dat bij diverse gemeenten in gebruik is). Eerder al lag het Chinese netwerkbedrijf Huawei onder vuur omdat het delen van het netwerk van KPN beheert. En recent eiste de Britse overheid nog dat de overname van Newport Wafer Fab uit Wales door de Nijmeegse chipfabrikant Nexperia moest worden teruggedraaid.
Lenovo ontspring tot nu toe de dans. Waarschijnlijk speelt me dat het bedrijf groot is geworden door de overnames van computertakken van het Amerikaanse IBM en de smartphone-divisie van het eveneens Amerikaanse Motorola. Het concern leverde in 2021 nog de nieuwe supercomputer Snellius aan Surf, de ict-coöperatie van onderwijs en onderzoek. Overigens wil het bedrijf niet ingaan op vragen over de politie-aanbesteding en het toenemende anti-Chinese ondernemersklimaat.
Tja, dat is zo lekker makkelijk bij zo groot mogelijke aanbestingen. Dan kun je al je aandacht vestigen op het uitsluiten van een bepaald risico zodat je daar binnen je organisatiedomein ook niet meer op hoeft te signaleren. Dat terwijl bij diversiteit in een infrastructuur afwijkend gedrag van sommige segmenten een belangrijke bron van informatie kan zijn. Bovendien is dan niet bij voorbaat ook het bereik van een bepaalde kwetsbaarheid zo’n beetje landelijk dekkend geweest als zich iets heeft voorgedaan. Zoveel mogelijk segmenteren en isoleren is wat bijvoorbeeld iedere ransomware-expert zal aanbevelen. Toch moet het bij de politie altijd zo groot en zo dekkend mogelijk. Dan kunnen ze het beheer nog een beetje overzien. Maar je kunt heel goed optimaal segmenteren, isoleren en variatie toestaan zonder dat je de schaalvoordelen van een landelijke organisatie verliest. Daarmee hou je het zelflerend vermogen beter in stand, kun je diversifiëren in economische en technische levensduur en hoeft de organisatie niet iedere 8 jaar een mega-operatie te beleven (waar iedere keer weer voorwaarden voor geschapen moeten worden en praktisch geen voorzieningen voor zijn). Wat doen ze zichzelf aan?
Denk dat ransomware niet het probleem is, het probleem zit in het lekken van informatie en ik denk dat dit risico niet zomaar uitgesloten wordt binnen het organisatiedomein. Tenslotte zijn er ook nog de ouderwetse spionnen die gevoelige dossiers kopiëren naar informatiedragers die makkelijk mee te nemen zijn. Het geopolitieke probleem van loyaliteit ligt wat complexer doordat de mensen meer gehecht zijn aan hun bankrekening dan aan hun land, naast statelijke actoren zijn ook criminelen in de informatie geïnteresseerd. En zolang 0-days nog vrij verhandelbaar zijn lijkt het verhaal me een storm in een glas water.
Een boycot van Chinese camera’s is niet veel anders als het weren van Tesla, landen met een tegen Nederland gerichte offensieve cyberagenda omvatten ook onze bondgenoten. En als ik kijk naar de paar vierkante kilometers van Den Haag en vele internationale organisaties dan kun je ook willens en wetens een doelwit worden in de geopolitieke realiteit.
Weet van goede Nederlandse klant van ons dat ze heel veel problemen en frustratie hebben gehad/gevoeld met de handelwijze van de politie, betrof het product Longarm van een Engels bedrijf (Vesitgo en IIS), ook Defensie was hierbij betrokken volgens mij.
Dat product (Osint) maakt ook veel gebruik van externe surveillance software uit o.a VS, Israël en China, is gewoon heimelijk aangekocht.
Verbaasde mezelf toen al dat men gewoon politie-informatie opslaat op servers in het buitenland, en nu dit ?
Raar land dat Nederland (kom zelf uit België)
@Peter Borst, het gaat hier om tig duizend werkplekken. De uitgangsgedachte bij de politie is volgens mij altijd dat het niet uitmaakt of het nou om auto’s, dienstwapens, fietsen/ATB, desktop printers of werkplekken gaat. Het panacee is altijd zo veelomvattend em uniform mogelijk. Voor een leidinggevende of een inkoopbureau mag het dan lood om oud ijzer zijn of het om een dienstwapen of een pc gaat, de omstandigheidsfactoren bij pc-aanschaf maken dit tot uiterst dom en kortzichtig inkoopbeleid.
Opslaan van (politie) informatie op servers in het buitenland lijkt me geen probleem als we kijken naar internationale samenwerkingen want er is nogal wat grensoverschrijdende criminaliteit. Het is uiteindelijk niet veel anders als informatie opslaan op werkplekken alleen moet er wel goed gekeken worden naar de wijze van opslag, een goede versleuteling lijkt me geen overbodige luxe. En bij afvoer natuurlijk goed de datadragers wissen:
https://www.metronieuws.nl/in-het-nieuws/binnenland/2023/01/oud-medewerker-aivd-steelt-computers/
De CMDB van de fabrikant (niet de tussenpersoon van leverancier) om op basis van het serienummer te controleren of er geen sprake is van heling, ik verbaas me nergens meer over;-)
Deze problematiek is typisch Nederlands. Het bedrijf Visser, specialist in hulpverleningsvoertuigen uit Leeuwarden, mag van de Defensie Materieel Organisatie onze militaire pantservoertuigen van nieuw interieur voorzien en daaraan ook derdelijns onderhoud plegen. Het bedrijf is sinds 2013 in handen van het Chinese CIMC en heeft inmiddels ook een Chinese bestuurder. In pantservoertuigen zit communicatieapparatuur met versleuteling die je geheim wilt houden. De Militaire Inlichtingen- en Veiligheidsdienst (MIVD) waarschuwt de overheid en de Nederlandse defensie-industrie al jaren voor Chinese spionage. Echter de MIVD zou niet ingegrepen hebben bij Visser en daar zelfs niet geïnspecteerd hebben vanwege de jarenlange bezuinigingen. Onze soldaten moeten dus hard pang, pang roepen en de MIVD blijkbaar foei, foei, mag niet.
Kat op het spek door een decennialange ritselpolitiek van mensen met een wel zeer beperkt geheugen.
Misschien staat er iets over in bertjes boekebon.
In een internationaal bedrijf als Lenovo met zijn internationale en multiculturele teams zijn met name soft skills als culturele competentie en interculturele-communicatie-vaardigheden inclusief Engels dat iedereen kan begrijpen en diepgaande kennis van defensie (cultuurverschillen tussen afdelingen bijvoorbeeld) van eminent belang.
Vandaag konden we lezen dat, ondanks de sancties tegen Rusland, miljoenen chips uit Nederland via een kleine groep Chinese bedrijven naar drie Russische ondernemingen zijn gegaan die voor de Russische defensie werken. Sinno Electronics is één van die tussenhandelaren en staat op de Amerikaanse sanctielijst. Het Royal United Services Institute heeft in 10 verschillende Russische wapensystemen NXP-chips gevonden. Deze chips komen uit in Oekraïne vernietigd of veroverd Russisch materieel. Dat komt door jarenlange bezuinigingen op onze douane en de inlichtingendiensten. Het ministerie van Buitenlandse Zaken zegt “Nederland doet geen uitlatingen over concrete voorstellen voor nieuwe sancties, om zo het verrassingseffect en daarmee de effectiviteit van maatregelen niet te ondermijnen.” Voorlopig blijft het, ruim 8 jaar na het neerhalen van de MH17, Sinno Electronics en Poetin, foei, foei, mag niet.
Hoe verrassend dat sancties niet werken omdat er vele ‘proxies’ zijn, ik geloof niet alles wat ik lees in de krant omdat ik uit ervaring bij vorige (Amerikaanse) werkgevers weet dat Turkse bondgenoot profiteerde van sancties aangaande Iran. Wat betreft ‘ritsel(geo)politiek’ las ik recentelijk ook over ASML en de handelsbelangen van Nederland aangaande onze relatie met China. Verder ben ik ook benieuwd naar Centric, de Nederlandse aandeelhouder werd als onbetrouwbaar gezien in nationale belang terwijl ik de loyaliteit van Sanderink hierin hoger acht dan van Mark Rutte.
Terug on-topic snap ik dat er zorgen zijn van uit de inkoop over geopolitieke krachten maar als we het over de bezuinigingen gaan hebben laten we niet de politiek vergeten van zoeken naar goedkope arbeiders. De loyaliteit heeft een prijs als we kijken naar gegeven voorbeeld van AIVD-medewerker die zich verraden voelde door de overheid, fenomeen (bedrijfs)spionage gaat om gevoeligheid voor omkoping als we kijken naar het nationale probleem van loyaliteit.