Het diplomatieke netwerk Hermes, dat sinds de zomer van 2010 in werking is en voortaan gebruikt wordt in versie 2, verbindt ongeveer 135 sites van de FOD Buitenlandse Zaken, waaronder ambassades, consulaten of bureaus voor ontwikkelingssamenwerking (sites waar 2 tot 100 personeelsleden werken, met een sterke concentratie in Afrika, meer bepaald in Centraal-Afrika, vanwege onze geschiedenis daar). Het project werd indertijd toevertrouwd aan Orange Business Services. Het is een redundant netwerk op basis van de Cisco mpls-technologie en bood de afgelopen 2 jaar een beschikbaarheid van 99,99 %. De verbindingen gebeuren ofwel via lijnen over land, ofwel via satellietverbinding naar 2 datacenters die zijn uitgerust met HP blade servers en EMC-storagesystemen.

Absolute veiligheid

Zoals u zich kunt voorstellen was veiligheid een van de belangrijkste eisen waaraan dit netwerk Hermes 2 moest voldoen, gezien de vertrouwelijkheid van de uitwisselingen. Zo voorzag het lastenboek in de invoering van ip- encryptors in de vorm van een blackbox die zou worden geleverd, geïnstalleerd en onderhouden door de leverancier, maar die zou worden beheerd door de FOD Buitenlandse Zaken.

Deze encryptor moest bovendien worden beoordeeld en goedgekeurd door de NSA (National Security Authority), die een gegevensbescherming garandeert volgens 4 niveaus: zeer geheim, geheim, vertrouwelijk en beperkte verspreiding, evenals de naleving van de criteria van de Europese Unie en de NAVO, die ook berichten plaatsen op het netwerk (ook al wordt er een specifiek netwerk gebruikt voor bepaalde zeer gevoelige informatie van de NAVO). De leverancier moest ook een beheermethode voorstellen voor de gebruiksvriendelijke sleutels. Deze sleutels worden immers doorgegeven aan het diplomatieke personeel (vooral ambassadeurs) die geen computerspecialisten zijn. Ze worden regelmatig vernieuwd onder alle geheime sleutels die worden opgeslagen op de mobiele drager die is aangesloten op de usb-poort van de encryptor, dit alles zonder enige handmatige tussenkomst.

Enkele andere eisen die gesteld werden in het lastenboek was de encryptie van het type AES-256, een prestatie die op zijn minst gelijk is aan die van het wan-netwerk (10 Mbit/s op een remote site en 100 Mbit/s centraal) en de verplichting om alleen gecodeerde trafiek te ondersteunen. Tot slot moest de oplossing werken in transparante bridgemodus en geïntegreerd kunnen worden in de racks van de leverancier.

Thales

De 4 inschrijvers op het Hermes 2-project kozen er allemaal voor om de oplossing EquacrIPt van Thales voor te stellen in hun offerte. In die tijd was dit - en is het nog steeds - het enige toestel dat is goedgekeurd door de NSA (en deze accreditatie werd pas op het laatste nippertje verleend, wat voor de nodige stress zorgde). Het ip-encryptiestation EquacrIPt van het gamma A89x is een behuizing die werd ontwikkeld door Thales Belgium, een dochteronderneming van de groep die gevestigd is in Tubeke. Deze uitrusting is met line termination verbonden tussen de terminal van de gebruiker en het netwerk, met automatische on-the-fly encryptie van de ip-communicaties. De toegangscontrole gebeurt door een beveiligd token (in de vorm van een chipkaart) die de geheime sleutels en authenticatiegegevens bevat. Het apparaat is van het type 'plug and operate' en is volledig transparant op het netwerk (het bevat geen ip-adres, en kan dus niet gestuurd worden op het netwerk).

De racks met geïntegreerde Thales-beveiliging werden ontplooid binnen de termijnen die het lastenboek opgaf (de installatie werd afgerond in juli 2010) en het systeem werkt tot volle tevredenheid van de FOD Buitenlandse Zaken. "Het netwerk is voortaan stabiel en betrouwbaar", legt Frédéric Ruelle, algemeen adviseur van de FOD Buitenlandse Zaken, uit. "Bring Your Own Device wordt de volgende uitdaging. Want de gebruikers willen zich tegenwoordig met het netwerk kunnen verbinden via hun eigen toestel, zoals een smartphone of een tablet, met behulp van wifi. Vandaar de noodzaak om een oplossing voor elk geval apart te vinden."

Marc Husquinet