qeep talking #34

Show notes

In deze aflevering verschuift de aandacht van het publieke naar het militaire domein. Gast Reinout werkt voor het Franse defensiebedrijf Thales en vertelt bevlogen over de de invulling van informatiebeveiliging, normenkaders en soevereiniteit in de militaire context. Voor wie daarover twijfelt: er zit heel wat technische kennis binnen de EU grenzen en de lidstaten kunnen hun voordeel doen met het werk van de pionierende Fransen.

Links

• The French National Cybersecurity Agency (ANSSI)
• Google Distributed Cloud air-gapped
• SEnsoren, WApensystemen en COmmandosystemen (SEWACO)

Web player

Lees je dit in je mailbox en werkt de web player niet?
Luister de aflevering dan hier.

Podcast video

video qeep talking #34

In gesprek met Reinout Pieneman

qeep postedRenco Schoemaker

Podcast samenvatting

Van middelbare schoolvrienden tot securityprofessionals

Renco ontvangt in deze aflevering Reinout Pieneman, technical sales lead bij Thales Nederland. De twee kennen elkaar sinds de middelbare school en hadden rond 2014-2015 samen het plan om een bedrijf te starten in informatiebeveiliging, gericht op het MKB. Renco merkte al snel dat hij bij MKB'ers eerst het probleem moest verkopen voordat hij aan een oplossing toekwam. Hij koos daarom voor gemeenten als markt. Reinout bleef bij TNO, waar hij al werkte en waar de securitykennis ook hard nodig was.

Wat doet Thales Nederland?

Reinout legt uit dat Thales Nederland — door oudere generaties nog bekend als Holland Signaal — onder meer radars bouwt voor fregatten. Die marineradars zijn zo goed dat Nederlandse fregatten regelmatig raketten monitoren voor de Amerikanen. Een actueel project: diezelfde radartechnologie verkleinen, "groen spuiten" en op een Scania zetten voor de landmacht. Met de dreiging die zichtbaar is in Oekraïne vindt die oplossing gretig aftrek. Reinout houdt zich daarnaast bezig met de ontwikkeling van een gedigitaliseerd gevechtsvoertuig — hij noemt het zelf "de Tesla-tank".

Security als integraal onderdeel

Renco vraagt hoe je de data van zo'n radar veilig over een radioverbinding naar een vuurleidingscentrum krijgt. Reinout beschrijft dat securitykennis tegenwoordig een integraal onderdeel is van de technische oplossing. Je trekt er geen specialist meer bij achteraf. Thales hanteert intern strenge normen, mede omdat de NAVO voor militaire OT-systemen (sensor-wapencombinaties, SEWACO's) nog geen volwassen normenkader heeft zoals de civiele 27001. Die wapensystemen hebben simpelweg nooit aan het internet gehangen. Renco trekt de parallel met industriële OT-omgevingen: apparaten die oorspronkelijk niet voor internetconnectiviteit zijn ontworpen en later alsnog een digitale interface krijgen — met alle beveiligingsproblemen van dien.

NAVO: zo snel als het langzaamste schaapje

Binnen de NAVO moet consensus worden bereikt over standaarden. Reinout schetst dat je daardoor "net zo hard gaat als het langzaamste schaapje." Technologisch geavanceerde landen worden geremd. Renco constateert dat die landen dan bilateraal of op eigen kracht normenkaders adopteren. Reinout bevestigt dat er soms kopgroepjes ontstaan — zoals bij het Federated Mission Network, een initiatief waarbij een aantal landen een gezamenlijke backbone opzet waarop anderen veilig kunnen aansluiten.

Soevereiniteit op z'n Frans

Een groot deel van het gesprek gaat over digitale soevereiniteit. Reinout vertelt dat Thales in 2018 Gemalto kocht — een bedrijf dat als laatste in Europa de volledige hardening van chipkaarten en HSM's (Hardware Security Modules) kon verzorgen. Die overname was geen toeval: de Franse president gaf Thales de opdracht, omdat de Franse staat 40% van de aandelen bezit. Als de Amerikanen Gemalto hadden gekocht, had Europa zijn eigen bankpassen niet meer fysiek kunnen beveiligen.

Diezelfde soevereiniteitsgedachte leidde ertoe dat Frankrijk met Google een joint venture opzette: S3NS. Een volledig air-gapped cloudoplossing waarbij Google-medewerkers overgingen naar een Franse entiteit. Google kan nog updates pushen, maar de code review doet Frankrijk zelf. Renco vraagt hoe Microsoft en Amazon zich verhouden tot dit model. Reinout geeft aan dat Google de gebruiker het meest zelf aan de knoppen laat zitten, terwijl Microsoft en Amazon lang vasthielden aan een call-to-home-vereiste.

Geen norm, wel cowboys

Renco en Reinout bespreken het ontbreken van een gedeelde definitie van "soevereine cloud." Zonder normenkader is het voor een security officer lastig te beoordelen of een aangeboden oplossing afdoende is. Reinout noemt de Cloud Act: die is op twee handen te tellen qua activering, maar het feit dát het kan weegt voor sommige landen zwaar genoeg. Renco herkent dat vanuit Kamerbrieven, waar ministers de kans klein noemen — terwijl vakliefhebbers juist op de impact leunen.

Nederland en eigen crypto

Nederland overweegt weer zelf militaire cryptosleutels te kunnen maken, in plaats van die af te nemen van bondgenoten. Renco vraagt of dat niet naïef is voor zo'n klein land. Reinout denkt dat de kennis opnieuw opgebouwd kan worden als de wil er is, maar benadrukt dat echte veiligheid alleen op Europese schaal te realiseren is.

Het coolste decennium

Reinout sluit af met de observatie dat dit misschien wel het meest interessante decennium is om in security te werken. AI-normering, post-quantum cryptografie, de snelle volwassenwording van het vak — er is genoeg te doen. Thales zoekt dit jaar wereldwijd 9.000 nieuwe collega's. Renco grapt dat hij misschien zelf wel een brief schrijft voor een van die vacatures.

Postcast website

Alle afleveringen van qeep posted zijn (ook) te vinden op de speciale podcast website. Via deze site vind je ook de links naar Apple Podcasts, Spotify, YouTube, en meer. Gebruik je liever een andere app? Geen probleem: je vindt er ook de directe RSS feed.