“Iedereen kan alle fouten zien, geweldig toch!”

Een 4-jarig jochie uit de Schilderswijk dat wat rommelt met de Apple-computer van zijn vader. Zo begon Oscar Koeroo zijn ICT-carrière. Nu is hij chief information security officer (CISO) bij het ministerie van Volksgezondheid, Welzijn en Sport (VWS). Dat betekent dat hij eindverantwoordelijk is voor de informatiebeveiliging van het hele ministerie. Oscar is een enthousiast pleitbezorger voor opensourcewerken.

Open source zorgt voor betere software

Dat open source niet veilig zou zijn, is een hardnekkig misverstand. Volgens Oscar Koeroo is het tegendeel waar. “Je hebt toegang tot de broncode, waarin je kunt zien hoe een applicatie werkt. Het gedachtegoed achter open source is dat je gebruikmaakt van publieke middelen en dat wat je maakt dus publiek beschikbaar moet zijn. Samen delen, samen maken, samen bouwen en dat kunnen controleren. Dat zorgt voor betere kwaliteit, meer veiligheid en meer functies voor de software. Mensen reageren in eerste instantie vaak terughoudend: ‘Maar dan kan iedereen alle fouten ontdekken.’ Daarop heb ik maar 1 antwoord: ja, dat klopt. Geweldig toch!”

Het lijkt een paradox: als iemand weet hoe het werkt, hoe kun je het dan veiliger maken? Koeroo vergelijkt het met een slot op de voordeur. “Als je een cilinderslot doormidden zaagt, kun je iedereen uitleggen hoe dat slot werkt. Maar je hebt daarmee niet alle sloten in Nederland gekraakt, want je hebt de sleutel niet.”

Een transparante toekomst

Koeroo hoopt dat opensourcewerken over 25 jaar de normale manier van werken is. “Waarom zouden we een website en een bepaalde tool 20 keer gaan ontwikkelen? Ik hoop dat we steeds meer componenten van elkaar kunnen lenen en onderhouden. En dat we dan ontdekken: hé, we kunnen ook samenwerken. Ook al zijn onze organisaties helemaal niet aan elkaar gelieerd.”

Bij de rijksoverheid is het uitgangspunt ‘open tenzij’. Je daarvan bewust zijn, daar begint opensourcewerken mee. ‘Open tenzij’ is nog niet overal de manier van werken. “Het is niet altijd duidelijk waarom een broncode niet is gepubliceerd,” zegt Koeroo. “Via een Woo-verzoek (Wet open overheid) is onlangs bijvoorbeeld de broncode van de DigiD-app gepubliceerd. Vraag je aan de mensen achter de schermen waarom ze het zelf niet eerder hebben gepubliceerd, dan is dit niet eenvoudig te beantwoorden. Het publiceren van de broncode werd en wordt nog niet altijd als voorwaarde in de contracten met leveranciers opgenomen. Ook wordt het niet opgevolgd wanneer de overheid eigenaar is. En dat geldt trouwens niet alleen voor DigiD. We moeten als overheid onze middelen transparant kunnen laten zien en laten controleren. Dat biedt ook de mogelijkheid om bouwblokken te kunnen doorontwikkelen. Daar moeten CIO’s binnen de overheid actief op sturen.”

Training en vertrouwen geven

Dat opensourcewerken een uitgangspunt is voor softwareontwikkeling bij de overheid weten ontwikkelaars vaak wel. Wat ze niet weten is: hoe doe ik dat dan, waar moet ik beginnen? Mensen trainen en het vertrouwen geven om open source te werken, daar begint het mee volgens Koeroo. “Open source betekent niet: gooi alles maar over de schutting. Het onderhoud van een project is en blijft essentieel voor succes. En het is ook niet zo dat je in 1 klap compleet anders moet gaan werken. Doe het gewoon geleidelijk, project voor project. Dat is veel minder spannend en werkt net zo goed.”

“Ook trainen helpt. Dat heb ik ervaren als lid van de kerngroep quantumveilige cryptografie voor de Rijksoverheid. Daar is een basistraining in ontwikkeling waarin mensen leren hoe ze infrastructuur quantumveilig kunnen maken. Zo’n basistraining zou ook enorm kunnen helpen om opensourcewerken een stap verder te brengen binnen de overheid. Onbekendheid met opensourcewerken houdt mensen nu vaak tegen, dus rijk de kennis aan! Hier ligt een mooie taak voor de CIO’s en de technisch managers binnen de overheid.”