De toegangspoort voor remote access naar het kantoorautomatiserings (ka)-netwerk van het Openbaar Ministerie (OM) loopt via het Amsterdamse bedrijf Solvinity maar het beheer ervan ligt bij Fujitsu. Dat meldt het OM aan Computable. Saillant daarbij is dat het contract met de Japanse automatiseerder eind dit jaar afloopt en het OM sinds afgelopen februari een aanbesteding heeft lopen voor een nieuwe ka-dienstverlener. Dit betreft een grote order met een geraamde waarde van zo’n 115 miljoen euro.
Fujitsu sloot in 2017 na een aanbesteding een zevenjarig contract met het OM voor het beheer van de kantoorautomatisering. In het kader van deze overeenkomst richtte de automatiseerder in de jaren daarna een nieuwe virtuele werkomgeving in waardoor de OM-medewerkers ‘locatie-, tijd- en apparaat-onafhankelijk konden gaan werken’, aldus het bedrijf.
Voor deze virtuele werkomgeving gebruikte Fujitsu Citrix-technologie; daar waar recent dus een zwakke plek bleek te bestaan in Citrix NetScaler, de software die medewerkers van het OM op afstand toegang geeft tot deze omgeving. Naar verluidt zouden Russische staatshackers via dit lek binnen zijn geweest.
Toegang
OM-medewerkers kunnen normaliter op twee manieren inloggen op de ka-omgeving: een thinclient met een server-based-computing-omgeving (Citrix XenApp) in de ka-omgeving, en een (managed) laptop via een browser naar een Citrix Gateway (Netscaler) in Jubit (Justitie Beveiligde Internet Toegang), die na authenticatie naar de ka-omgeving wordt gerouteerd.
De Amsterdamse it-dienstverlener Solvinity regelt dit Justitie-systeem voor beveiligde internettoegang, maar Fujitsu is bij het OM de beheerder. Zowel Fujitsu als Solvinity waren niet bereikbaar voor verdere toelichting of commentaar.
Nieuwe aanbesteding
Voor Fujitsu betekent de gang van zaken rond de hack een smet op het blazoen, zeker nu het einde van de overeenkomst in zicht is. De it-dienstverlener vervult al lange tijd de rol van ka-beheerder voor het OM sinds het in september 2017 de aanbesteding won. Het contract met het OM loopt eind 2025 af en inmiddels is er een nieuwe aanbesteding gestart. Fujitsu nam in 2017 het stokje van Atos. Dat laatste concern, dat nog wel infrastructuur- en applicatiediensten uitvoert voor het OM, laat desgevraagd weten zeker mee te doen aan deze tender.
Wat opvalt aan de opzet is de samenvoeging van kantoorautomatisering én de infrastructuurdienstverlener. De nieuwe it-partner wordt straks verantwoordelijk voor een brede waaier van diensten, waaronder voor de werkplekken (onder andere het onderhoud en beheer van de virtuele en fysieke werkomgeving en mail-, file- en printservices), en dus de infrastructuur (onder meer de hosting en kern-infrastructuur- diensten, in twee overheidsdatacenters). De afdeling Ivom (Informatievoorziening Openbaar Ministerie) krijgt de regiefunctie bij de uitvoering van het contract. De overeenkomst krijgt een looptijd van maximaal tien jaar en een geraamde waarde van minstens 115 miljoen euro, waarbij het OM rekening houdt met oplopende kosten.
Awareness
Dat heeft met name te maken met de moderniseringsplannen die de staande magistratuur wil doorvoeren, zowel aan de kant van de kantoorautomatisering als aan die van de bedrijfsapplicaties (vervangen van verouderde Oracle-systemen). Wat opvalt aan de ka-plannen is de nadruk die het OM legt op it-beveiliging met zaken als security-by-design, netwerksegmentatie en zero-trust-principes.
Daarnaast wil het OM de komende jaren het gebruik van de virtuele werkomgeving gaan afbouwen en het inzetten van bring-your-own-device-apparatuur niet meer toestaan. Ook is de organisatie zich bewust van de digitale-soevereiniteitskwesties en de afhankelijkheid van Big Tech. Een massale overstap naar de cloud zit er voorlopig niet in. Met het beveiligings-bewustzijn is bij de opstellers van het bestek in ieder geval niets mis.
115 miljoen euro.
En wat kreeg je ervoor ?
Een vette hack.
Wat dan precies ?
eeh, iets met toegang en data en hackers.
Hoe opgelost ?
Door gewoon de hele zooi maar van Internet af te koppelen.
Ff navragen dan ?
Zowel Fujitsu als Solvinity waren niet bereikbaar voor verdere toelichting of commentaar.
Is er een “principal architect Fujitsu Nederland” in de zaal ?
De redacteur van dienst bij de Jaarbeursbode schrijft onder het mom van een objectieve verslaglegging met een gretigheid over de “lekke kantoorautomatisering” zonder hoor en wederhoor maar wel met een sterke suggestie van falen. Je kunt beter vragen of er een psycholoog in de zaal is.
Ik heb de psycholoog gevraagd naar duiding, maar tot nu toe blijkt computable niet
bereikbaar voor verdere toelichting of commentaar 😉
Hij kende wel een recente vergelijkbare case waarin jan slagter uiteindelijk toegaf dat het persoonlijk was. Volgens de psycholoog laat zijn professionele gedragscode echter niet toe dit te publiceren zonder met betrokkenen gesproken te hebben.
Hij wilde wel nog kwijt dat het woordgebruik hem opviel.
– Saillant, naar verluidt, smet op blazoen, zeker nu het einde van de overeenkost in zicht is, dat nog wel uitvoert, wat opvalt. –
Deze formuleringen had hij niet zo verwacht in de technische branche, maar hij geeft direct toe dat hij er niet zo in thuis is.
Dat nieuwsites als nu.nl het onmogelijk maken om op gevoelige spraakmakende artikelen te kunnen reageren terwijl in dit geval de suggestieve bijna opruiende taal juist van de makers komt, noemt hij zorgwekkend.
Het is normaal om je nieuws enigzins prikkelend te brengen, maar enige terughoudendheid mbt deze evocatieve trend lijkt me op zijn plaats, aldus de psycholoog.