Gebruik van Chinese camera’s kan door, ondanks risico’s
Ondanks de risico’s die gemoeid zijn met het gebruik van Chinese camera’s is de Veiligheidsregio Haaglanden daar gewoon mee doorgegaan. Dat bleek al uit FTM-verslaggeving, maar de Minister van Justitie en Veiligheid Dilan Yesilgöz heeft nu bevestigd in de beantwoording van kamervragen, dat de risico’s van het gebruik bekend zijn en het de Minister niet bekend is of en zo ja welke veiligheidsregio’s de Chinese apparatuur gebruiken. Of dat gebeurt, vindt de Minister nu kennelijk een kwestie van eigen verantwoordelijkheid van de bewuste overheidsinstanties.
Nee. Ik heb geen volledig zicht op welke netwerkapparatuur wordt gebruikt door veiligheidsregio’s. Het is aan de besturen van veiligheidsregio’s zelf om bij de aanschaf en ingebruikname van ICT-producten en diensten zich bewust te zijn van mogelijke risico’s in de toeleveringsketen, dit mee te nemen in hun inkoop- en aanbestedingsprocessen en waar nodig een risicoanalyse uit te voeren.
Oh dus het is niet zo erg? Een oppervlakkig lezer zou misschien denken dat het niet belangrijk is, want de veiligheidsregio’s mogen het zelf helemaal uitzoeken, welke camera’s zij zoal gebruiken. Dat blijkt dan ook weer niet, uit het verdere verloop van de brief blijkt dat het Ministerie wijst naar handreikingen over risicoanalyses heeft en die zouden toch wel echt gebruikt moeten worden.
Dat is, zoals de doorwrochte ambtenaar altijd zal denken maar natuurlijk nooit zal zeggen, natuurlijk gedaan om “toch iets gedaan te hebben”, administratief geklooi om je er niet helemaal met een leien dakje vanaf te maken. Dat komt je echter later in je eigen scheenbenen bijten, dat je nu leuk al die toolboxjes en handreikingen gaat zitten bedenken waar de inkoop aan moet voldoen, en die door een stapel stagiairs elke 2 jaar te laten herschrijven. Is dat nou een gepaste maatregel? Of hoeft dat niet meer… gepaste maatregelen. Nee dat moet nog steeds, er moeten nog steeds gepaste maatregelen:
Het is in dat verband van belang dat organisaties zich bewust zijn van mogelijke risico’s in de toeleveringsketen, dit meenemen in hun inkoop- en aanbestedingsprocessen en waar nodig een risicoanalyse uitvoeren. Het kabinetsbeleid schrijft daarom voor dat nationale veiligheidsoverwegingen meegewogen worden bij de inkoop en het gebruik van producten en diensten bij de rijksoverheid, lokale overheden en vitale aanbieders. In de Kamerbrief Uitvoering moties Rajkowski van 17 april 2023 wordt dit beleid nader toegelicht[1]. Het uitgangspunt is bij iedere inkoopopdracht risico’s voor de nationale veiligheid in kaart te brengen en hier waar nodig gepaste maatregelen op te treffen. Ter ondersteuning van dit beleid is in 2018 en 2019 instrumentarium ontwikkeld dat organisaties mogelijkheden biedt bij het maken van een risicoanalyse en het treffen van maatregelen. Dit instrumentarium is recent geactualiseerd[2]. Deze instrumenten worden beschikbaar gesteld voor en actief verspreid onder vitale aanbieders. Tevens wordt doorlopend ingezet op bewustwording bij vitale aanbieders over het signaleren van risico’s in het inkoopproces.
De beantwoording verwijst voor dat vaststellen van risico’s naar instrumenten en dat zijn: : Toolbox veilig inkopen (2024), die is opgesteld door de mensen van innovatief inkopen in samenwerking met EZ en Binnenlandse Zaken, zie voor meer daarover: https://www.pianoo.nl/nl/actueel/nieuws/nieuwe-versie-toolbox-veilig-inkopen-gelanceerd en de de Inkoopeisen Cybersecurity Overheid wizard (ICO-wizard).
Verderop in de beantwoording van vraag 6 blijkt echt een soort tegenspraak, omdat die in de brief in verschillende opmaak staat, verraadt het dat er wellicht meer ambtenaren van verschillende departementen naar gekeken hebben. Het is makkelijk om te beweren dat er een nieuwe regeling moet komen met inkoopeisen voor een toolbox en een wizzard. Moeilijker is, als je jezelf er bij een latere inkoop aan moet houden, terwijl de organisatie daar helemaal geen tijd voor heeft en geen zin in heeft, bijvoorbeeld omdat er in een van de penetentiaire inrichtingen bijvoorbeeld, met zo snel mogelijke ingang een camera moet worden gekocht en er dus echt geen tijd is om verantwoording af te gaan zitten leggen over een veiligheids-toolbox .
Het kabinet voert zoals aangegeven in het antwoord op vraag 2 een landenneutraal beleid. Dit betekent dat leveranciers uit specifieke landen door de aanbestedende dienst niet op voorhand categorisch worden uitgesloten, maar dat dit per casus op basis van een risicoafweging wordt bepaald. Hierbij kan per casus tevens door de organisatie zelf een marktanalyse worden uitgevoerd, waarbij in kaart kan worden gebracht of Europese aanbieders bij een inkoop- en aanbestedingstraject kunnen worden betrokken.
Het heeft de prioriteit van het kabinet om in samenwerking met alle departementen het veilig inkopen en aanbesteden in onderlinge samenhang verder te verbeteren en te versterken. Er is stevig ingezet op het sterker benutten van de huidige mogelijkheden binnen de Aanbestedingswetgeving en op het vergroten van de bewustwording ten aanzien van nationale veiligheidsrisico’s. Tevens vindt meer voorlichting en communicatie plaats over de (juridische) mogelijkheden ten aanzien van veilig inkopen en aanbesteden. Ook wordt een regeling opgezet (genaamd Algemene Beveiligingseisen rijksoverheid Opdrachten of afgekort ABRO) voor aanbestedingen van de rijksoverheid en de Politie die de nationale veiligheid raken. De nieuwe regeling zal eisen stellen aan opdrachtnemers op het gebied van fysieke beveiliging, (digitale) informatiebeveiliging en cybersecurity, (wijzigingen in) eigendomsstructuren, economische veiligheid, screening van personeel en procedures bij incidenten.
Zie voor de beantwoording van de kamervragen:
(AH 1233 2024Z00025)
https://www.tweedekamer.nl/kamerstukken/kamervragen/detail?id=2024Z00025&did=2024D09736
Zie eerder:
https://www.ftm.nl/artikelen/veiligheidsregio-verwijdert-huawei
NDR:
De eerste hierboven vetgedrukte zin verraadt al, dat er weinig besef is op het Ministerie van Justitie, van de omvang van inkoopopdrachten #ongelooflijkveel. Als je voor elke tandenborstel die je inkoopt de risico’s voor de nationale veiligheid in kaart moet brengen, al is het natuurlijk goed als de vrijdagmiddagborrelaars op zo’n Ministerie eens nadenken over de veiligheidsrisico’s van al dat bier dat er doorheen gaat. Er lijkt een soort gapend gat te zijn tussen de gevoelde urgentie bij politici om incidenten aan de kaak te stellen en voor diezelfde politici om kritisch te zijn op het beleid dat veroorzaakt dat de incidenten er zijn, bij de beleidsafdelingen zakt het tempo terug, is het gevoel van urgentie verdwenen en zijn de bemoeienissen van ministeriële afdelingen beperkt tot handreikingen schrijven.
De inkopende overheid vecht dus weer eens met zichzelf, zoals met zo veel supply chain problematiek. Het is nu al te zien aankomen dat bij het eerstedebeste incident met de camera, de Minister het zal gaan afschuiven er alles aan gedaan te hebben dat de Chinese staatsvijanden hier niet op straat worden afgeknald want er is immers een toolbox en een wizzard, waarmee we de Chinese inlichtingendiensten zo bang maken dat ze op veilige afstand blijven achter hun Chinese muur en spontaan de camera niet voor hun eigen doeleinden gebruiken ook al is dat best mogelijk. Oh ja. Nu zijn het Chinese camera’s. Maar morgen zijn het Russische camera’s daar in de veiligheidsregio Den Haag en misschien dat de urgentie daar dan gevoeld wordt. Want een landenbeleid is er zoals de Minister zegt in vraag 6, kennelijk niet. Mag ook niet, van het WTO-verdrag. Kan Poetin zo zien waar Mark Rutte nu weer naartoe loopt en daar dan precies daar een atoombom op mikken. Nou toch maar opschieten met die wizzard dan.
