Fujitsu it-partner lekke kantoorautomatisering OM

De toegangspoort voor remote access naar het kantoorautomatiserings (ka)-netwerk van het Openbaar Ministerie (OM) loopt via het Amsterdamse bedrijf Solvinity maar het beheer ervan ligt bij Fujitsu. Dat meldt het OM aan Computable. Saillant daarbij is dat het contract met de Japanse automatiseerder eind dit jaar afloopt en het OM sinds afgelopen februari een aanbesteding heeft lopen voor een nieuwe ka-dienstverlener. Dit betreft een grote order met een geraamde waarde van zo’n 115 miljoen euro.

Fujitsu sloot in 2017 na een aanbesteding een zevenjarig contract met het OM voor het beheer van de kantoorautomatisering. In het kader van deze overeenkomst richtte de automatiseerder in de jaren daarna een nieuwe virtuele werkomgeving in waardoor de OM-medewerkers ‘locatie-, tijd- en apparaat-onafhankelijk konden gaan werken’, aldus het bedrijf.

Voor deze virtuele werkomgeving gebruikte Fujitsu Citrix-technologie; daar waar recent dus een zwakke plek bleek te bestaan in Citrix NetScaler, de software die medewerkers van het OM op afstand toegang geeft tot deze omgeving. Naar verluidt zouden Russische staatshackers via dit lek binnen zijn geweest.

Toegang

OM-medewerkers kunnen normaliter op twee manieren inloggen op de ka-omgeving: een thinclient met een server-based-computing-omgeving (Citrix XenApp) in de ka-omgeving, en een (managed) laptop via een browser naar een Citrix Gateway (Netscaler) in Jubit (Justitie Beveiligde Internet Toegang), die na authenticatie naar de ka-omgeving wordt gerouteerd.

De Amsterdamse it-dienstverlener Solvinity regelt dit Justitie-systeem voor beveiligde internettoegang, maar Fujitsu is bij het OM de beheerder. Zowel Fujitsu als Solvinity waren niet bereikbaar voor verdere toelichting of commentaar.

Nieuwe aanbesteding

Voor Fujitsu betekent de gang van zaken rond de hack een smet op het blazoen, zeker nu het einde van de overeenkomst in zicht is. De it-dienstverlener vervult al lange tijd de rol van ka-beheerder voor het OM sinds het in september 2017 de aanbesteding won. Het contract met het OM loopt eind 2025 af en inmiddels is er een nieuwe aanbesteding gestart. Fujitsu nam in 2017 het stokje van Atos. Dat laatste concern, dat nog wel infrastructuur- en applicatiediensten uitvoert voor het OM, laat desgevraagd weten zeker mee te doen aan deze tender.

Wat opvalt aan de opzet is de samenvoeging van kantoorautomatisering én de infrastructuurdienstverlener. De nieuwe it-partner wordt straks verantwoordelijk voor een brede waaier van diensten, waaronder voor de werkplekken (onder andere het onderhoud en beheer van de virtuele en fysieke werkomgeving en mail-, file- en printservices), en dus de infrastructuur (onder meer de hosting en kern-infrastructuur- diensten, in twee overheidsdatacenters). De afdeling Ivom (Informatievoorziening Openbaar Ministerie) krijgt de regiefunctie bij de uitvoering van het contract. De overeenkomst krijgt een looptijd van maximaal tien jaar en een geraamde waarde van minstens 115 miljoen euro, waarbij het OM rekening houdt met oplopende kosten.

Awareness

Dat heeft met name te maken met de moderniseringsplannen die de staande magistratuur wil doorvoeren, zowel aan de kant van de kantoorautomatisering als aan die van de bedrijfsapplicaties (vervangen van verouderde Oracle-systemen). Wat opvalt aan de ka-plannen is de nadruk die het OM legt op it-beveiliging met zaken als security-by-design, netwerksegmentatie en zero-trust-principes.

Daarnaast wil het OM de komende jaren het gebruik van de virtuele werkomgeving gaan afbouwen en het inzetten van bring-your-own-device-apparatuur niet meer toestaan. Ook is de organisatie zich bewust van de digitale-soevereiniteitskwesties en de afhankelijkheid van Big Tech. Een massale overstap naar de cloud zit er voorlopig niet in. Met het beveiligings-bewustzijn is bij de opstellers van het bestek in ieder geval niets mis.