7min Security

Niet-werkend tapsysteem is zoveelste zwakke plek in Nederlands IT-beleid

Meest recente miskleun betreft Ministerie van Justitie en Veiligheid

Niet-werkend tapsysteem is zoveelste zwakke plek in Nederlands IT-beleid

Het blijft lastig voor de Nederlandse overheid om technische systemen werkend te krijgen. Nu blijkt dat Justitie al jaren vergeefs probeert een tapsysteem in gebruik te nemen en als wanhoopsdaad nu zelfs een geheel nieuw systeem heeft aangeschaft. Nog kwalijker is dat het ministerie tot op de dag van vandaag volhoudt dat het een ‘update’ betreft in plaats van een compleet nieuw product van een ander, omstreden bedrijf.

Het blijkt dat Justitie in Nederland al jarenlang aan het zwoegen is om een tapsysteem –onder andere bedoeld voor het afluisteren van criminelen– naar wens in te richten. Dit systeem, i360 van het Israëlische bedrijf Elbit, kreeg men niet werkend op de manier waarop men wenste. Zo bleek het onmogelijk om vertrouwelijke gesprekken met advocaten op voorhand te beschermen tegen afluisteren.

Deze gesprekken mogen niet worden gebruikt bij de rechtsvervolging van verdachten, dus is het handiger om ze helemaal niet op te nemen dan om ze wél op te nemen en later te moeten verwijderen. Bovendien zou de verleiding om dergelijke heimelijk opgenomen gesprekken tóch te gebruiken te groot kunnen blijken voor de opsporingsdiensten, wat munitie is voor advocaten om bijvoorbeeld het Openbaar Ministerie (OM) niet ontvankelijk te laten verklaren door een vormfout, of te pleiten voor strafvermindering.

Ook wanneer opname per ongeluk gebeurt, zoals het geval in de moordzaak van misdaadverslaggever Peter R. de Vries, kan er op deze manier geheime informatie naar buiten komen die in het ergste geval levens van betrokkenen in gevaar brengt.

Niet compatibel met andere systemen

Een essentiële functie dus. Maar helaas, de feature om bij voorbaat gesprekken tussen verdachten en advocaten eruit te filteren, bleek voor i360 een brug te ver. Ook zou het systeem incompatibel zijn met andere politiesystemen. De oplossing werd gezocht in een afluistersysteem van een ander bedrijf uit Israël, deze keer Reliant X van maker Cognyte. Een bijzondere keuze, aangezien in 2016 nog grote zorgen bestonden over het systeem dat destijds in gebruik was en dat óók afkomstig was van Cognyte, toen nog Verint geheten.

Die zorgen bestonden er uit dat de Nederlandse beheerders van het systeem geen toegang hadden tot de hard- en softwarematige kern van het systeem. Om daaraan te werken, moesten experts van het Israëlische moederbedrijf worden ingevlogen. Ook bestond de vrees dat de software gebruikt kon worden voor spionage door Israël. Een gevoelig systeem, gebruikt door Justitie, waar de Nederlandse justitie-IT’ers niet de volledige controle over hadden en waaraan bovendien een spionagerisico kleefde. Onacceptabel, vandaar dat men op zoek ging naar een alternatief.

Koploper op gebied van spionage-tech

Dat alternatief werd in 2019 dus gevonden in i360, eveneens van een Israëlisch bedrijf. Dat is op zich niet zo gek, aangezien ze in dat land uit noodzaak voorop lopen op het gebied van afluisterapparatuur, spionage en innovatief wapentuig. Je zult daarmee nogal snel bij een leverancier uit dat land terechtkomen, maar dan moet je zelf ook capabel genoeg zijn om de tech in gebruik te nemen.

We zijn inmiddels echter vijf jaar verder en het systeem is nog steeds niet geïmplementeerd. Jarenlang zei Justitie dat dit te wijten was aan ‘opstartproblemen’. Het kan natuurlijk zijn dat wereldwijde corona-maatregelen een vlotte ingebruikname in de weg zaten. Maar eind 2022 was de boodschap nog steeds dat “de zorgvuldige stapsgewijze implementatie naar verwachting nog heel 2023 zal vergen”. Toen kwam de opsporingscapaciteit serieus in gevaar door de opgelopen vertraging.

Bij het uitbreken van de oorlog in Gaza, eind vorig jaar, veranderde het argument. Nu kwam het ineens door dít conflict dat de IT-diensten van de overheid de implementatie van i360 niet rond kregen. Dat riekt sterk naar een gelegenheidsargument.

Omstreden beslissing

Inmiddels is Justitie dus weer terug bij Cognyte, dat sinds de aanschaf van het eerdere systeem een naamsverandering heeft ondergaan. Allereerst een omstreden beslissing, omdat in 2023 aan het licht kwam dat dit bedrijf afluistertechnologie levert aan bijvoorbeeld Myanmar, waar het gebruik ervan zou kunnen leiden tot mensenrechtenschendingen. In Noorwegen staat het bedrijf om die reden op een zwarte lijst. Hoe dan ook, uit recent onderzoek van dagblad NRC blijkt dat dit systeem evenmin werkt. Nu zit Justitie dus met twee ‘nieuwe’ systemen, die geen van beide operationeel zijn.

Het duizelt de lezer wellicht met al deze bedrijfs- en softwarenamen. Resumerend werkte Justitie in Nederland rond 2016 dus met een systeem van Cognyte, dat toen nog Verint heette. Omdat dit een ‘black box’ bleek, stapte men in 2019 over op i360 van Elbit. Dat kregen ze niet aan de praat, waardoor nu wederom technologie bij Cognyte is gekocht die óók niet werkt. Althans, de technologie zal het vast wel doen, maar de specifieke, gewenste configuratie blijkt een probleem.

Lees op Techzine: ICT-falen bij de overheid mede veroorzaakt door teveel aan ‘magisch denken’

Ondertussen blijft het geheim hoeveel is betaald voor de i360- en Reliant X-systemen, maar bekend is wel dat het werkend krijgen van die eerste de afgelopen vijf jaar 3,8 miljoen euro heeft gekost. Dat bevestigt een woordvoerder van de politiekorpsleiding aan NRC. Daarover is de Kamer nooit geïnformeerd. Ook de aanschaf van Reliant X lijkt onder de pet gehouden, want in kamerstukken werd net gedaan alsof dit een ‘upgrade’ betrof van i360. Eigenlijk betreft het een compleet nieuw systeem.

Spelen met woorden

Overigens is de officiële lijn van het Ministerie van Justitie en Veiligheid nog steeds dat het geen nieuw systeem betreft, maar een ‘backup’ of een ‘upgrade’. Huidig justitieminister David van Weel zegt ook dat de naam van de leverancier geheim moet blijven, zodat hij de naam van Cognyte niet publiekelijk in de mond neemt.

Dit is allemaal spelen met woorden. Het lijkt het er meer op dat dit nieuwe systeem is gekocht om nog wat achter de hand te hebben indien het écht niet lukt met i360. De intentie is nu te zijn om het toch nog eens te proberen met het Elbit-systeem. Per 1 april moet het werken en in elk van de tien politieregio’s voor het eind van dit jaar in minstens één strafrechtelijk onderzoek zijn gebruikt.

Dat zou betekenen dat Elbit’s i360-systeem nu ineens wél zou werken, maar volgens geluiden uit het veld, onder andere afkomstig van de voorzitter van de Nederlandse Politiebond Nine Kooiman, is dat volkomen uit de lucht gegrepen.

Achter de feiten aanlopen

Zo blijft de Nederlandse overheid, en dan met name Justitie en Veiligheid, achter de feiten aanlopen. Nederland moet hard op zoek naar een systeem dat a) helemaal door onszelf kan worden bijgehouden b) waarover geen zorgen bestaan dat het gebruikt wordt voor spionage of mensenrechtenschendigen en c) werkt op de wijze waarop we willen dat het werkt. Dat is tot nu toe ijdele hoop gebleken.

Wat te doen? We hebben hier ter redactie geen inzage in het programma van eisen voor de aanbesteding of aankoop van dergelijke technologie. Maar algemeen gesteld kan het helpen om dergelijke eisen veel gedetailleerder te laten beschrijven, op basis van zeer deskundig advies. Iedereen die weleens een aanbesteding heeft meegemaakt, weet dat een leverancier die graag de opdracht wil krijgen, van alles kan beloven.

Wanneer de gunningscriteria niet voldoende gespecificeerd zijn, is het nog veel makkelijker om gouden bergen te beloven. Wanneer de opdracht is binnen gesleept en spijkers met koppen moeten worden geslagen, blijkt een en ander toch ingewikkelder te liggen dan vooraf bedacht. Of dat precies is wat hier speelde, weten we niet. Maar feit blijft dat Nederland veel beter mag nadenken over waar het ’t geld van de belastingbetaler aan spendeert.

Lees ook: ‘Te makkelijk om fysiek toegang te krijgen tot vitaal defensienetwerk’