Open source tools en applicaties zijn een prima alternatief voor proprietary software, met het oog op bijvoorbeeld snelle upgrades en kwaliteitschecks door een community van experts. Anderzijds stelt open source software in allerlei opzichten de nodige eisen aan grote organisaties die het stelselmatig willen inzetten. Rijkswaterstaat (RWS) is een organisatie die al jaren niet alleen veel werk maakt van open data, maar ook van het gebruik van open source.
“We willen simpelweg de beste tools die er zijn.”, stelt Sandor de Coninck, CTO en CISO. De Coninck werd opgeleid in de scheepvaart, waarna hij vijftien jaar een technische functie in de internationale procesindustrie had. Vervolgens werkte hij bij Defensie, de politie en sinds 2015 bij RWS. Hij is er verantwoordelijk voor het goed en veilig functioneren van de IT-infrastructuur en de industriële automatisering. Ook houdt hij zich bezig met het innoveren van de ICT-dienstverlening binnen RWS en is hij betrokken bij de samenwerking tussen RWS en andere overheden of marktpartijen.
Waarde
Over de waarde van open source software is De Coninck helder: “Het maakt me niet zo veel uit of je te maken hebt met open of closed source. In eerste instantie, want dan gaat het over de functionaliteit en de kwaliteit die je zoekt. Daarna, als het over de exploitatie gaat, kan de afweging anders worden. Vooraf heb ik nooit de neiging per se open of closed source te willen.”
Als het gaat om de specifieke voordelen die met open source software in verband te brengen zijn, zoals snelle updates en kwaliteitschecks door een community van ontwikkelaars, stelt hij: “Het ligt er ook aan over welk segment je praat. Gaat het om de primaire processen van een bedrijf, dan wil je wat meer grip hebben op de changes. Bedrijven zullen daarom eerder kiezen voor proprietary software. Kijkend naar Rijkswaterstaat, is juist op die plekken waar we veel met open data doen een open technologie, met een ander lifecycle management, eerder een optie.”
Veiligheid
Het gebruik van open source software heeft uiteraard implicaties voor de cybersecurity. Hoe heeft RWS het georganiseerd dat het gebruik van open source software veilig is? De Coninck: “Wij gebruiken daar het proces security by design voor. Bij nieuwbouw en ook verbouw hanteren we een aantal normeringen en waardes, die we hebben verdiept voor gebruik in onze industriële automatisering en operationele techniek. Dit doen we om vast te kunnen stellen wat het restrisico is, voor de software de operatie in gaat. Als we een tool snel willen downloaden en gebruiken, voor een heel specifieke toepassing, creëren we een geïsoleerde omgeving. Zo kunnen we de tool gebruiken zonder risico voor de rest van de digitale omgeving.”
Trail
Wat zijn de ervaringen van RWS op het gebied van support en documentatie? Vaak wordt gezegd dat de balans daar doorslaat in het voordeel van closed source software. “Je moet altijd een trail bijhouden, ook bij open source”, zegt Sandor de Coninck, “Dat doet de leverancier dan niet voor je. Je moet de controle houden. Denk aan versiebeheer bij een open source tool die door de community wekelijks geüpdatet wordt.”
Bij RWS is de eigenaar van de applicatie verantwoordelijk voor het bijhouden van de trail. “Bij ons is ‘business’, beheer en uitvoering één bedrijf”, legt de RWS-CTO uit, “Maar de business moet wel opdracht geven om een trail bij te houden. Dit is overigens onderdeel van onze beheerprotocollen. Traceerbaarheid en het kunnen doorstaan van een audit horen er tenslotte bij.”
Wildgroei
Hoe voorkom je een wildgroei aan tools en shadow IT? Dat is niet specifiek een probleem dat met open source software te maken heeft, maar de open source wereld is wel een etalage vol mooie spullen. De Coninck: “Binnen RWS werken we met de I-strategie. Daarin is opgenomen dat we één tool of applicatie voor één toepassing hebben. In het verleden is dat weleens anders geweest. En bij legacy-applicaties is de afweging weer anders, die functioneren al jaren goed en zijn ook niet altijd eenvoudig te vervangen. Daar zal het dus wat langer duren voordat we één tool of applicatie voor één toepassing hebben.”
Tweerichtingsverkeer
Open source community’s verwachten over het algemeen tweerichtingsverkeer – de gebruiker is niet alleen afnemer, maar draagt ook bij en geeft iets terug. Als organisatie kun je echter niet blindelings alles delen wat in huis op basis van open source software wordt ontwikkeld. Hoe is dat bij RWS geregeld? “Wij besteden veel uit aan de markt, geeft De Coninck aan. “Partijen die voor ons ontwikkelen, hebben hun eigen beleid. In elk geval geldt daarbij dat onze data er niet in mag zitten. In ons datalab worden wel dingen ontwikkeld die we beschikbaar stellen en vervolgens door de community gebruikt kunnen worden.”
Hij vervolgt: “We doen sowieso veel met open data, wat mijns inziens ook onder open source valt. Een mooi voorbeeld daarvan zijn de ketens waarvan we onderdeel zijn, met bijvoorbeeld waterschappen, provincies en gemeentes. In die ketens proberen we zo veel mogelijk data te delen.”
