Wakker geschrokken na Britse overname Fox-IT

Beveiliging staatsgeheimen De overname van Fox-IT in november 2015 kwam voor de overheid onverwacht. De overheid wil nu bij een volgende overname de optie om het bedrijfsonderdeel dat staatsgeheimen versleutelt, te kopen.

Illustratie Marien Jonkers

„Beste Erik”, mailt oprichter Ronald Prins van Fox-IT op 24 november 2015 aan Erik Akerboom. Ze kennen elkaar en Prins laat hem net na acht uur in de ochtend weten dat het goed gaat met zijn IT-beveiligingsbedrijf. „We zijn erg trots op wat we tot nu toe hebben bereikt en nu nog trotser om met je te mogen delen dat we een nieuwe stap hebben gemaakt.”

Fox-IT beveiligt Nederlandse staatsgeheimen en is overgenomen door een Brits bedrijf, NCC Group, daarom mailt hij nu. Akerboom is de hoogste ambtenaar op het ministerie van Defensie (nu korpschef van de Nationale Politie). Prins: „Ik wou je persoonlijk hiervan op de hoogte stellen zodat je hier vroeg mee bekend bent.”

Maar heel persoonlijk is de e-mail niet. En vroeg is niet het juiste woord. NCC is een beursgenoteerd bedrijf, dus rond die tijd gaat ook een persbericht uit, is er uitleg voor analisten en krijgen tal van relaties eenzelfde soort mail. Aan terrorismebestrijder NCTV laat Prins weten dat die zich „nergens zorgen” over hoeft te maken. „De diensten” waren op de hoogte en de Nederlandse belangen „blijven in goede handen”.

De ambtenaren zijn er niet gerust op. Bij de NCTV, waaronder het Nationaal Cyber Security Center valt, weten ze van niets. Er komt een stroom e-mails op gang. „Wat vinden wij hiervan, qua security?”, wil iemand weten. Een ander vraagt zich af wat het effect is „op de vitale infrastructuur van Nederland”. En wat als de Britten het bedrijf doorverkopen? Ambtenaren op allerlei ministeries beginnen los van elkaar ijverig te analyseren en te rapporteren. Het zal nog een half jaar duren voor ze een gezamenlijk antwoord vinden op de vraag wat de overheid met de overname aan moet.

Niemand is voorbereid

Uit documenten die NRC kreeg na een beroep op de Wet openbaarheid van bestuur, blijkt dat de overheid al jaren rekening hield met een buitenlandse overname van het bedrijf dat toegang heeft tot staatsgeheimen. Toch werden ambtenaren erdoor overvallen en was niemand erop voorbereid.

Het past in een jarenlange worsteling van de overheid met buitenlandse investeringen die de nationale veiligheid raken. Het bod van de Mexicaanse miljardair Carlos Slim op KPN vier jaar geleden zorgde voor een doorbraak. Ambtenaren gingen aan de slag. Ze brachten veiligheidsrisico’s in kaart in ‘vitale’ sectoren als ICT, telecommunicatie, energie en watervoorziening. De NCTV gaf in de zomer van 2015 opdracht tot een wetenschappelijk onderzoek. De uitkomsten hadden er al in juni moeten zijn, maar hebben volgens het ministerie van Veiligheid en Justitie vertraging opgelopen en worden nu volgende maand verwacht. Een senior adviseur van de NCTV schrijft, terugblikkend: „De potentiële overname van Fox-IT is interdepartementaal een terugkerend scenario geweest.”

De Nijmeegse hoogleraar computerbeveiliging Bart Jacobs vertelt hoe de overheid de kennis van cryptografie vanaf de jaren vijftig deels uitbesteedde en zo afhankelijk werd van anderen. Eerst aan Philips. „Toen er onvoldoende opdrachten kwamen heeft Philips de tak afgestoten. Nu heeft de overheid een dergelijke afhankelijkheidsrelatie opgebouwd met Fox-IT.”

Deals

Na een paar maanden zijn de ambtenaren eruit. Ze moeten iets, dat is duidelijk. De eerste aanzet komt in april van de directie Strategie en Bedrijfsvoering van de NCTV. Daar wordt opgemerkt dat de terrorismebestrijder „de macht niet heeft om deals te blokkeren”, maar dat „in theorie” de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) dit namens het ministerie van Defensie wél had kunnen doen. Bedrijven die opdrachten doen voor defensie moeten aan bepaalde veiligheidsvoorwaarden voldoen, ook Fox-IT. Zo niet, dan kunnen de opdrachten worden stopgezet.

Precies dit laat directeur Onno Eichelsheim van de MIVD in mei vorig jaar weten aan het bedrijf. Maar zijn eisen gaan verder dan de bestaande. Hij vraagt namens de overheid zekerheden bij een volgende overname door als eerste de aandelen van Fox Crypto BV te kunnen kopen. Dat is het meest gevoelige bedrijfsonderdeel dat de staatsgeheimen versleutelt. Ook mag deze bv niet worden verkocht, fuseren, splitsen, ontbonden worden of een nieuwe bestuurder krijgen zonder „voorafgaande instemming van de minister van Defensie”. Het IT-systeem moet worden gescheiden van de rest van het bedrijf.

Van een dergelijke bemoeienis door de overheid met een bedrijf zijn nauwelijks voorbeelden bekend. „De eisen maken op mij een solide indruk”, zegt hoogleraar Jacobs.

„Wat ik me wel afvraag is of er niet nog gesproken moet worden van een zogeheten Chinese muur. Fox-IT is een relatief klein bedrijf, zodat mensen die op de afdeling cryptologie werken, waarschijnlijk in hetzelfde gebouw zitten als de andere onderdelen. Bovendien: als de Britse geheime dienst echt bij gevoelige informatie wil komen, zal ze lak hebben aan zulke procedurele scheidingen.”

Nu, ruim een jaar na de overname, zijn de onderhandelingen nog altijd gaande, laat Defensie weten. Waar de pijnpunten zitten, wil de woordvoerder niet zeggen, maar „gezien het huidige verloop van deze onderhandelingen kan het bedrijf opdrachten blijven uitvoeren”.

De overheid heeft volgens Defensie „geen plannen om Fox Crypto te kopen”, maar wil het recht op een eerste koop van aandelen om „te voorkomen dat een belangrijke marktpartij op het gebied van cryptoapparatuur in de toekomst overgaat naar een ongewenste buitenlandse partij”.

Ronald Prins zegt dat Fox-IT „over het algemeen” al werkt volgens de voorwaarden zoals die in de brief van de MIVD zijn beschreven. „Het meeste werk zit in de statutenwijziging en dat is blijkbaar juridisch technisch complex. Onze insteek is daaraan mee te werken. We snappen ook dat de staat controle wil houden over bij welke aandeelhouders deze technologie terechtkomt.”