Tekst Leo de Rooij
Foto Mediacentrum Defensie
Klein wondertje van techniek
We gebruiken 'm zonder erbij na te denken. Voor toegang tot kantoor of kazerne, voor het reserveren en rijden van een dienstauto en – vooral nu – tijdens het thuiswerken om toegang te krijgen tot Mulan. Om dat veilig te blijven doen, moesten in 2020 alle 68.000 Defensiepassen vervangen worden.
Na marktconsultatie en een onafhankelijk onderzoek wordt op 17 juli 2019 een meerjarig contract ondertekend tussen Defensie, ATOS en KPN waarbij de stabilisering en continuering van de dienstverlening Defensiepas is gewaarborgd. Voorafgaand aan het contract zijn er al werkzaamheden uitgevoerd door Defensie en haar leveranciers. Op 3 december 2019 produceert passenleverancier Idemia de eerste nieuwe Defensiepas en in januari 2020 begint de grote bulkvervanging. Die gaat tot de 2e week van maart door; tot ook COVID om de hoek komt kijken. Samen met ing. Albert de Ruiter kijken we terug op dit uitdagende project. De Ruiter is IT trust manager en Product Verantwoordelijke Security Defensiepas bij de Afdeling Joint IV Commando van de DMO.
Militaire precisie
Wat was jullie grootste uitdaging?
“De grootste uitdaging was de vervanging van minimaal 68.000 passen (type 1) in een zeer kort tijdsbestek. Het project kende veel afhankelijkheden, omdat de gehele onderliggende infrastructuur ook vervangen moest worden. Dat betekent ook dat je alle veiligheidsmaatregelen daarin moet verwerken zoals de koppelingen met onze externe en interne leveranciers, een nieuw registratiesysteem, wijzigingen doorvoeren in de Telestick, softwarecomponenten zoals de middleware, kaartlezers en systemen die afhankelijk zijn van de Defensiepas. Zo hebben we een uitdaging gehad op het Elektronisch Toegangs Systeem. Die herkende de kaart niet, waardoor de slagbomen op veel kazernes niet open gingen. Verder hadden we een logistiek probleem omdat er een harde deadline lag van 23 maart 2020: op die datum zouden namelijk alle certificaten van de uitgegeven passen verlopen. En ook alle buitenlandse locaties en missiegebieden moesten worden voorzien van nieuwe passen. Met JIVC, DOPS, DOSCO en overige partijen is hard gewerkt om dit allemaal mogelijk te maken. Met militaire precisie hebben we de vervangingsslag uitgevoerd en hebben alle partijen geweldig hard meegewerkt om het tot een succes te maken. Dat is gelukt en daar ben ik zeer trots op.”
Defensie doet geen concessies aan veiligheid; snelheid is goed maar gaat niet voor alles. Hoe zat dat bij dit project?
“Defensie doet zeker geen concessies aan de veiligheid en zeker niet op de Defensiepas. Veel systemen vertrouwen op de beschikbaarheid, integriteit en vertrouwelijkheid van het systeem. Daarom kennen we ook voor deze dienst strenge richtlijnen waar aan moet worden voldaan. Die worden ook veelvuldig getoetst door zowel interne als externe auditors. Dat geldt voor de gehele keten waar de Defensiepas zaken mee doet. Dus ook voor de partners en toeleveranciers. Het systeem valt onder de noemer 'Trustworthy systems' wat concreet betekent dat je als je aan alle voorwaarden voldoet, gekwalificeerde certificaten die op de pas zitten mag uitgeven.”
Veiligheid verhoogd
Wat kunnen we nu meer en wat ook niet meer met de Defensiepas?
“De Defensiepas wordt ingezet voor toegang tot gebouwen en terreinen en computersystemen, maar ook als identificatiemiddel. Met de nieuwe Defensiepas is de veiligheid verhoogd. Er zit een nieuwe chip op die voldoet aan de laatste strenge eisen en is daarmee gecertificeerd volgens Common Criteria standaarden. De toepassingen zijn veelvuldig te noemen: denk daarbij aan de toegang tot wapenkluizen, gebouwen, PNOD auto’s, Follow You printing, NoQ poortjes op Schiphol en nog veel meer. Er zijn niet specifiek meer toepassingen bijgekomen maar de vraag is groot. Dit houden we ook bij zodat we bij toekomstige upgrades weten welke wensen er zijn.”
Wat zijn de plannen voor de toekomst?
“We hebben zoals gezegd een grote slag gemaakt in het vernieuwen van de omgeving en de dienstverlening gestabiliseerd. De focus ligt nu op het verder benutten van de pas voor heel veel toepassingen, omdat er geen veiliger erkend middel is dan de Defensiepas. We kijken hoe we in de toekomst met de Defensiepas kunnen aansluiten op overige systemen binnen het Rijk, zodat je ook met de pas bij die systemen kan aanmelden. Verder zoeken we naar vernieuwingen van de chip en de contactloze chip zodat veiligheid en interoperabiliteit blijven gewaarborgd. De Defensiepas zal steeds meer een belangrijke rol gaan spelen bij de toegang tot systemen. We zijn ook aan het onderzoeken welke mogelijkheden er zijn om met onze partners binnen Europa (NATO) en Amerika te kunnen samenwerken. Dit doen we al voor een belangrijk deel maar we willen nieuwe standaarden adopteren, zodat je met de Defensiepas bij wijze van spreken ook bij partnersystemen kunt inloggen.”
Externe leveranciers
De Defensiepasomgeving bestaat uit een diversiteit aan systemen waarbij externe leveranciers een belangrijke rol spelen. ATOS is de system integrator en dient ervoor zorg te dragen dat het systeem up-to-date blijft. Regie en uitvoering liggen bij Defensie. KPN draagt zorg voor de Certificaten Autoriteit-systemen en validatieservers die in hun datacenters draaien, maar eigendom zijn van Defensie. Idemia is de passenleverancier en zorgt ervoor dat de passen voorzien worden van chips en echtheidskenmerken en dat de pinbrieven worden verstuurd. De passen zelf worden beveiligd verstuurd naar de defensieorganisatie (verstrekkingspunten) om uiteindelijk uitgegeven te worden aan de eindgebruikers.