Open source encryptie nauwelijks bruikbaar voor bescherming vertrouwelijke overheidsinformatie

De Nederlandse overheid wil zelfstandig gerubriceerde informatie kunnen beschermen tegen toenemende en veranderende dreigingen. Open source encryptie kan daarvoor een uitkomst bieden, omdat je daarmee niet afhankelijk bent van een leverancier en maatwerk mogelijk is. Volgens de normen voor informatiebeveiliging bij de overheid is er momenteel slechts één open source encryptiemiddel dat bruikbaar is voor gerubriceerde overheidsinformatie. Het gaat dan om informatie met een lager beveiligingsniveau. Op hogere beveiligingsniveaus is inzet van open source encryptie in principe uitgesloten.

Dat blijkt uit onderzoek dat Dialogic, in opdracht van het WODC, uitvoerde voor de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV). In dit onderzoek zijn de behoefte aan en het aanbod van open source encryptiemiddelen verkend. Er is onderzocht wat de randvoorwaarden zijn voor toepassing van open source encryptiemiddelen voor uitwisseling van gerubriceerde informatie. Ook gaat het onderzoek in op de sterktes, zwaktes, kansen en bedreigingen van open source encryptiemiddelen.

Encryptie moet voldoen aan normen informatiebeveiliging

Gerubriceerde (overheids)informatie kent verschillende niveaus, van departementaal vertrouwelijk tot zeer staatsgeheim. Deze indeling is gebaseerd op hoeveel schade kennisname van deze informatie kan veroorzaken aan Nederland of haar bondgenoten. Hoe hoger het rubriceringsniveau, hoe strenger de eisen aan informatiebeveiliging.
Encryptie is een van de belangrijkste methoden om data en communicatie goed te beveiligen. Daarbij wordt informatie vercijferd zodat deze alleen voor geautoriseerde ontvangers (personen met de sleutel) te lezen is. Alle middelen voor encryptie van overheidsinformatie - open source of niet - moeten voldoen aan de eisen van de Baseline Informatiebeveiliging Overheid (BIO). Daarnaast moet hoger gerubriceerde informatie ook voldoen aan de criteria van het Nationaal Bureau voor Verbindingsbeveiliging (NBV), een onderdeel van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD).

Voor- en nadelen open source middelen

Open source middelen worden in openheid ontwikkeld door gemeenschappen van wereldwijd samenwerkende personen en organisaties. De basis van zo ontwikkelde software is voor de afnemer beschikbaar. Dat wil zeggen, de originele door een mens geschreven en te begrijpen broncode inclusief bijvoorbeeld commentaar en documentatie. Dit in tegenstelling tot de broncode van software van leveranciers die daarmee hun intellectueel eigendom beschermen. Open source maakt het daarmee voor iedereen mogelijk om zwakheden te vinden in de code. Dat zou de kwaliteit kunnen verhogen. En doordat de code mag worden gewijzigd, is maatwerk mogelijk. Tegenover deze voordelen staan eigenschappen die de inzet van open source minder aantrekkelijk kunnen maken. Zo leveren open source projecten op zichzelf geen garanties op toepassingen die zij ontwikkelen en ook geen ondersteuning. Dergelijke ondersteuning is, zeker in de context van gevoelige overheidsinformatie, echter wel noodzakelijk. Daarnaast is bij de ontwikkeling van open source in veel gevallen een groot aantal personen en organisaties betrokken, waardoor de motieven van de bijdragers en financieringsstromen die de ontwikkeling mogelijk maken, moeilijker te beoordelen zijn.

Open source beveiliging uitgesloten voor de meeste rubriceringsniveaus

Uit het onderzoek blijkt dat de BIO- en NBV-eisen open source oplossingen uitsluiten voor de meeste rubriceringsniveaus. De reden hiervoor is dat op de allerhoogste niveaus het gehanteerde algoritme geheim dient te zijn. Daarnaast speelt op alle niveaus dat bij de evaluatie van de encryptiemiddelen ook het ontwikkelproces wordt geëvalueerd. Bij open source software is niet altijd goed vast te stellen hoe het ontwikkelproces is ingericht, welke personen hebben bijgedragen aan de software, en met welke motieven. Wel is er binnen de informatiebeveiligingsnormen ruimte voor open source encryptiemiddelen bij de laagste rubriceringsniveaus. De onderzoekers constateren dat er momenteel één open source project voor encryptie van gerubriceerde informatie bestaat dat daarvoor inzetbaar is (OpenVPN-NL).  Dit product wordt onderhouden in opdracht van de AIVD, maar het is onduidelijk of het daadwerkelijk wordt toegepast. Deze informatie is namelijk zelf gerubriceerd. Dat maakte ook dat het verzamelen van informatie over de behoefte aan (open source) encryptiemiddelen voor hooggerubriceerde informatie niet goed mogelijk was voor de onderzoekers.