Open source encryptie, waarmee je niet afhankelijk bent van een leverancier, kan een uitkomst bieden voor het beschermen van gerubriceerde overheidsinformatie met een lager beveiligingsniveau. Op hogere beveiligingsniveaus is de inzet van open source encryptie in principe uitgesloten.
Dat blijkt uit onderzoek dat Dialogic, in opdracht van het WODC, uitvoerde voor de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV). In dit onderzoek zijn de behoefte aan en het aanbod van open source encryptiemiddelen verkend. Er is onderzocht wat de randvoorwaarden zijn voor toepassing van open source encryptiemiddelen voor uitwisseling van gerubriceerde informatie. Ook gaat het onderzoek in op de sterktes, zwaktes, kansen en bedreigingen van open source encryptiemiddelen.
Gerubriceerde (overheids)informatie kent verschillende niveaus, van departementaal vertrouwelijk tot zeer staatsgeheim. Deze indeling is gebaseerd op hoeveel schade kennisname van deze informatie kan veroorzaken. Hoe hoger het rubriceringsniveau, hoe strenger de eisen aan informatiebeveiliging.
Baseline
Alle middelen voor encryptie van overheidsinformatie – open source of niet – moeten voldoen aan de eisen van de Baseline Informatiebeveiliging Overheid (BIO). Daarnaast moet hoger gerubriceerde informatie ook voldoen aan de criteria van het Nationaal Bureau voor Verbindingsbeveiliging (NBV), een onderdeel van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD).
Uit het onderzoek blijkt dat de BIO- en NBV-eisen open source oplossingen uitsluiten voor de meeste rubriceringsniveaus. De reden hiervoor is dat op de allerhoogste niveaus het gehanteerde algoritme geheim dient te zijn. Daarnaast speelt op alle niveaus dat bij de evaluatie van de encryptiemiddelen ook het ontwikkelproces wordt geëvalueerd. Bij open source software is niet altijd goed vast te stellen hoe het ontwikkelproces is ingericht, welke personen hebben bijgedragen aan de software, en met welke motieven.