25 000 X
Vaststelling van de begroting van de uitgaven en de ontvangsten van het Ministerie van Defensie (X) voor het jaar 1997

nr. 93
BRIEF VAN DE STAATSSECRETARIS VAN DEFENSIE

Met deze brief informeer ik u over het project Vercijferkaart(V-kaart), dat onderdeel vormt van een breder interdepartementaal initiatief ter verbetering van de beveiliging van informatie in computers en computernetwerken bij de overheid. In het kader van het overheidsbeleid inzake informatiebeveiliging hebben de departementen van Binnenlandse Zaken, van Justitie, van Buitenlandse Zaken en van Defensie besloten de ontwikkeling van deze V-kaart gezamenlijk aan te besteden. De kaart beveiligt informatie op personal computers en de informatieoverdracht tussen computers onderling. Afgesproken is dat Defensie de projectvoering op zich neemt. Het project is als multi-service project opgenomen in het Materieel Projecten Overzicht 1997.

Behoefte

In de afgelopen jaren zijn binnen de overheid in een hoog tempo computers en computernetwerken ingevoerd. Deze systemen, die onontbeerlijk zijn in een moderne organisatie, ondersteunen inmiddels een breed scala van overheidsactiviteiten. Ze brengen echter ook risico's mee op het gebied van de informatieveiligheid. De bescherming van vitale informatie heeft geen gelijke tred gehouden met deze snelle ontwikkelingen. Om de bescherming van staatsgeheime of vertrouwelijke informatie te kunnen blijven garanderen, zijn aanvullende maatregelen nodig. Een technische maatregel is de toepassing van cryptografische beveiliging. De middelen hiervoor zijn nu nog slechts op beperkte schaal beschikbaar. Door de veiligheidsbeperkingen die daarom thans aan het gebruik van informatiesystemen moeten worden gesteld, worden de informatiestromen binnen de overheid beperkt, wat de interne communicatie en een optimaal verloop van bedrijfsprocessen belemmert. Op basis van een overheidsbreed onderzoek heeft al eerder de Algemene Rekenkamer het onderwerp van de informatiebeveiliging onder uw aandacht gebracht (kamerstuk 24 175 nr. 1).

Ook Defensie voert tal van nieuwe informatiesystemen en netwerken in. De realisatie van het nieuwe landelijk glasvezelnetwerk NAFIN vormt hiervan een belangrijk onderdeel. In mijn brief van 8 januari jl. (kamerstuk 25 000 X, nr 47) over het project NAFIN heb ik eveneens kenbaar gemaakt, dat op het gebied van de informatiebeveiliging nog aanvullende maatregelen nodig zijn.

Beleid informatieveiligheid

Het ministerie van Binnenlandse Zaken heeft de coördinatie op zich genomen op het gebied van informatievoorziening in de openbare sector. Het regeringsbeleid is vanaf 1989 in een viertal beleidsnota's weergegeven. Tevens is in 1994 het Nationale Actieplan Digitale Snelwegen uitgebracht. Over de voortgang hiervan wordt u door het ministerie van Binnenlandse Zaken jaarlijks geïnformeerd. Als onderdeel van het totaal beleid worden ook initiatieven ontplooid op het gebied van de informatiebeveiliging. Dit betreft onder meer de instelling dit jaar van het interdepartementale Bijzondere Informatiebeveiligings Beraad, onder voorzitterschap van Binnenlandse Zaken. Dit Beraad komt in de plaats voor de Nationale Verbindings Beveiligings Raad (NVBR) waarbij tot op heden de interdepartementale verantwoordelijkheden en activiteiten op het gebied van de beveiliging van verbindingen waren ondergebracht. Het Nationaal Bureau Verbindingsbeveiliging (NBV), ondergebracht bij Buitenlandse Zaken, treedt op als uitvoerend orgaan. Dit laat onverlet dat elk van de departementen verantwoordelijk is voor de uitvoering van zijn eigen informatiebeveiliging. Overheidsregelgeving hieromtrent is vastgelegd in het Voorschrift Informatiebeveiliging Rijksoverheid (VIR).

Interdepartementale initiatieven

In interdepartementaal verband worden de veiligheidsconcepten van de afzonderlijke departementen op elkaar afgestemd om, zo mogelijk, te komen tot een integraal informatiebeveiligingsconcept voor de overheid. Onderdeel van dit concept is de definitie van een «basis-architectuur» van technische beveiligingsmaatregelen. Van deze architectuur maken onder meer maatregelen deel uit ter beveiliging van individuele werkstations, de afscherming van netwerken, de distributie van crypto-sleutels en het verantwoord gebruik van «electronic mail»-faciliteiten.

Het totaalpakket van maatregelen zal in stappen worden uitgevoerd. De eerste stap is het beveiligen van alle individuele werkstations waar met staatsgeheime of vertrouwelijke informatie wordt gewerkt. De ministeries van Defensie, van Binnenlandse Zaken, van Buitenlandse Zaken en van Justitie hebben besloten, na een onderzoek van het NBV en een haalbaarheidsstudie in samenwerking met de nationale crypto-industrie, hiervoor een zogenaamde vercijferkaart (V-kaart) te laten ontwikkelen. De V-kaart is een insteekkaart voor computers die alle lokaal aanwezige informatie, maar ook de informatie die wordt uitgewisseld met ander computers, cryptografisch beveiligt. Thans wordt cryptografische beveiligingsapparatuur slechts in beperkte mate toegepast, wat belangrijke beperkingen oplegt aan het bewerken en overdragen van staatsgeheime of vertrouwelijke informatie. Met de toepassing van de V-kaart worden deze beperkingen weggenomen.

De specificaties van de V-kaart zijn in interdepartementaal verband en in samenwerking met de nationale crypto-industrie en TNO vastgesteld en vervolgens voor beveiliging van staatsgeheime informatie getoetst en geschikt bevonden door het NBV, dat als enige hiertoe bevoegd is.

Afgesproken is dat Defensie de projectvoering van de V-kaart op zich neemt, omdat Defensie waarschijnlijk de meeste V-kaarten zal afnemen, en omdat Defensie de nodige ervaring heeft met het verwerven van materieel.

Naast de ontwikkeling van de V-kaart wordt de aanschaf voorbereid van middelen ter verbetering van het beheer en de distributie van crypto-sleutels. Voorts is in interdepartementaal verband besloten onder de CODEMA-regeling een onderzoek uit te voeren naar een aanvullende maatregel voor de beveiliging en afscherming van (delen van) computernetwerken, door middel van een zogenaamde Virtual Private Network Guard (VPN-guard). Bezien wordt of een gezamenlijk verwervingstraject voor deze maatregel mogelijk is.

Leverancier

De mate waarin de kennis over het cryptomechanisme en de toe te passen sleutels in eigen nationaal beheer kan worden ontwikkeld en beheerd, is bepalend voor het niveau van veiligheid dat met cryptografie kan worden bereikt. Als cryptografische producten door internationale industrieën of via andere overheden worden geleverd, kunnen slechts gebruiksrechten worden verworven. De informatie over het «crypto-hart» van dergelijke producten zal niet beschikbaar zijn, waardoor niet kan worden gegarandeerd dat staatsgeheime of vertrouwelijke informatie voor derden afdoende is afgeschermd.

In 1990 heeft de minister-president kenbaar gemaakt, dat een nationale crypto-industrie van groot belang is. Het vormt één van de voorwaarden voor de beveiliging van staatsgeheimen en daarmee voor de mogelijkheid van soevereine besluitvorming. Er is een overeenkomst tussen de staat en de firma Philips Crypto (voormalig Philips USFA), waarmee is verzekerd dat de beveiliging van de meest vitale informatie in nationaal beheer kan worden verwezenlijkt en dat de leverancier hiertoe de benodigde kennis in stand houdt. De overeenkomst wordt periodiek getoetst en zo nodig verlengd. Philips Crypto zal de V-kaart ontwikkelen en een onderzoek uitvoeren naar de VPN-guard. Via de CODEMA-regeling dragen Defensie, Economische Zaken en de leverancier bij aan de kosten van dit laatste onderzoek.

Financiële aspecten

Met de ontwikkeling van de V-kaart is een bedrag gemoeid van f 14,5 miljoen. Hiervoor is, op basis van voorziene afname, de volgende verdeling overeengekomen. Defensie betaalt f 8,8 miljoen, Binnenlandse Zaken f 3,1 miljoen, Justitie f 2,1 miljoen en Buitenlandse Zaken f 0,5 miljoen.

De kosten van de aanschaf van de kaart worden door de departementen individueel gedragen. In het ontwikkelingscontract zijn maximumprijzen voor de V-kaart opgenomen. De kosten van onder meer de installatie, de documentatie, de opleiding en het beheer worden in de verwervingsvoorbereidingsfase nader in kaart gebracht.

Voortgang

De ontwikkeling en beproeving van de V-kaart nemen ruim twee jaar in beslag. Defensie zal hiervoor op korte termijn een overeenkomst met de leverancier sluiten, overigens onder voorbehoud van parlementaire instemming. De V-kaart wordt in stappen ontwikkeld, met tussentijdse beproevingen bij de leverancier en in gebruikersomgevingen. Tijdens de ontwikkeling zal het invoeringsplan voor de verschillende departementen worden uitgewerkt. De invoering van de aanvullende beveiligingsproducten en de normale vervangingsprogramma's van kantoorapparatuur zullen op elkaar worden afgestemd. Er zal ook rekening worden gehouden met de ontwikkelingen op het gebied van software-toepassingen en computersystemen. In het overeengekomen tijdschema zullen de prototype-testen eind 1999 zijn afgerond, zodat begin 2000 een bestelling voor de levering in serie kan worden geplaatst. Over de definitieve aanschaf van de V-kaart zal ik u te zijner tijd informeren.