To Cloud or Not To Cloud: the Proof of the Pudding



Vergelijkbare documenten
To cloud or not to cloud

Wat is de cloud? Cloud computing Cloud

BeCloud. Belgacom. Cloud. Services.

BeCloud. Belgacom. Cloud. Services.

Cloud dienstverlening en Informatiebeveiliging. ISACA Round Table Assen - Maart 2017

PUBLIEKE, PRIVATE OF HYBRIDE CLOUD?

Generieke gemeentelijke Infrastructuur modellen. Naar de Cloud

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV

Cloud Computing. Definitie. Cloud Computing

IAM en Cloud Computing

Jos Witteveen Wat komt er kijken bij Clouddiensten voor de Zorg? 29 oktober 2013

Whitepaper Hybride Cloud Met z n allen naar de cloud.

Naar de cloud: drie praktische scenario s. Zet een applicatiegerichte cloudinfrastructuur op. whitepaper

DE PRIVATE CLOUD. Johan Bos & Erik de Meijer

Kijken, kiezen, maar wat te kopen?

Ubuntu Release Party XTG 11/23/12 1

EXIN Cloud Computing Foundation

Intern (On-Premise) Co-Location Infrastructure-as-a-Service (IaaS) Platform-as-a-Service (PaaS)

SaaS en cloud computing: in de mist of in de wolken? Karin Zwiggelaar, partner 20 september 2010

BRAIN FORCE THE JOURNEY TO THE CLOUD. Ron Vermeulen Enterprise Consultant

HOE EENVOUDIG IS HET OM GEBRUIK TE MAKEN VAN CLOUD COMPUTING?

Innervate is DE adviespartner voor ICT strategie en ICT technologie vraagstukken.

Het Nieuwe Werken in de praktijk

Cloud, cloud, cloud. Wolfgang Ververgaert Wiljan Oomen

Release Status Date Written by Edited by Approved by NL_1.00 Final 19/03/2014

Cloud Computing: Het concept ontrafeld

NAAR DE CLOUD? DE VOORDELEN EN DE VALKUILEN

Agenda Wat zijn de gevolgen van Cloud en Gridcomputing voor de gebruikersorganisatie en de beheersfunctie.

Privacy Compliance in een Cloud Omgeving

agenda Wat is cloud? Stellingen toekomstvisie MBOcloud Hoe kan het eruit gaan zien? Programma MBOcloud Peiling samenwerking

Verras uw business-collega s met een IT-sixpack

Anton Ekker Kennisbijeenkomst EZDA 29 oktober 2013

Zwaarbewolkt met kans op neerslag

Blackboard. Jan Willem van der Zalm Director EMEA, Blackboard Managed Hosting DATE

Alles in de cloud: bent u er al klaar voor? Whitepaper OGD ict-diensten. Alles in de cloud: bent u er al klaar voor? Whitepaper OGD ict-diensten

Gegevensbescherming & IT

Informatieavond Gent

Hoe bewaart u uw klantendata op een veilige manier? Maak kennis met de veilige dataopslag in de Cloud van Azure Stack

Cloud. BSA The Software Alliance

Cloud & Licenties. Welkom bij BSA The Live Sessions De Live Session start binnen enkele minuten. Dank voor uw geduld.

Cloud Computing. Bart van Dijk

Onderzoeksbureau GBNED Cloud computing en pakketselectie. Door Gerard Bottemanne, GBNED ICT Financials

Dataportabiliteit. Auteur: Miranda van Elswijk en Willem-Jan van Elk

PRIVACY EN CLOUD. Knelpunten:

Agenda. 1. Introductie CIBER. 2. Visie Cloud Services. 4. Hoe kan CIBER hepen. 2 Titel van de presentatie

Lokale besturen + Gov Cloud + Open Source = e-government 10 Open Data en de Cloud Studiedag Politeia en Maarifa Gent, 22 februari 2013

Hoe belangrijk is het verschil tussen public en private cloud in de praktijk?

5 CLOUD MYTHES ONTKRACHT

Inhoudsopgave. Private Cloud Clouddifferentiatie Overwegingsaspecten. Eigen route met een frisse blik Skysource OF COURSE

Meerdere clouds samensmeden tot één grote, hybride omgeving

Mogen advocaten hun data in de Cloud bewaren?

Whitepaper. Cloud Computing. Computication BV Alleen naar cloud bij gewenste flexibiliteit

Misvattingen. Voor testen verandert er niks

Bewaar patiëntgegevens veilig in de Nederlandse Cloud. Infopaper voor de zorgsector. The Sourcing Company

Werken zonder zorgen met uw ICT bij u op locatie

Praktijkgerichte aanpak van informatieveiligheid: hoe overeenstemmen met GDPR?

Eigen route met een frisse blik

Informatieveiligheid, de praktische aanpak

De RealDolmen-cloud. Ademruimte voor uw ICT

Sofware as a Service (SaaS): software applicaties die via internet worden aangeboden;

Security, Legal and Compliance

SaaS / ASP PIANOo. 20 april 2009, Amsterdam. drs. Arne Smedema a.smedema@mitopics.nl

Een toekomst in de cloud? Stefan van der Wal - Security Consultant ON2IT

hoogwaardige IaaS Cloudoplossingen

PRIVATE, PUBLIC OF HYBRID CLOUD: VIND NU DE OPLOSSING DIE BIJ U PAST Versie: Aantal pagina s: 10

Hoe kunt u profiteren van de cloud? Whitepaper

Cloud Computing. -- bespiegelingen op de cloud -- MKB Rotterdam, 10 november Opvallend betrokken, ongewoon goed

Organisatie Informatieveiligheid.

Implementatiemodellen online werken

Informatieveiligheidsbeleid. Gemeenteraad van 31 maart 2016

ImtechCloud, het platform voor een Hybride cloud

VOOR EN NADELEN VAN DE CLOUD

Visie op co-sourcing

MASTERCLASS MOBILE DEVICE SECURITY CLOUD COMPUTING, SMARTPHONES, EN SECURITY

Cloudsourcing onder Architectuur. Martin van den Berg Serviceline Manager Architectuur Sogeti Nederland 13 oktober 2011

Trends in de Campusinfrastuctuur. In samenwerking met Stratix

CLOUD COMPUTING Falco, Goan & Wouter CURSUSAVOND. Teach-IT

zorgeloos werken in de cloud

BCM en de Cloud. CSA-nl 10 april 2012 André Koot

White Paper - Quality as a Service & Waarom de Cloud? CeneSam, Februari 2014

GIS: uitdagingen en kansen voor de toekomst

ABC DigiBouw 27/09/2011

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant

De Cloud: een zegen voor security en privacy of juist een donderwolk? Willem Voogt, Principal Consultant Security Advisory Quint

Cloud Computing. Broodje IT: Cloud Computing. Agenda:

Lunadoc. Lunadoc. Geavanceerd Documentbeheer op maat van de KMO

DE BUSINESS CASE VOOR DE ASP OPLOSSING VAN CRM RESULTANTS VOOR ONDERWIJSINSTELLINGEN

Gevangen. in de Wolken. 25e sambo-ict conferentie Tilburg, 18 januari Fabrice Mous

Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer. Voorstelling VTC Informatieveiligheid CENTRUMSTEDEN

Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer SHOPT-IT Informatieveiligheid omdat het moet!

Janjoris van der Lei. Gedelegeerd bestuurder LCP nv. E-governement oplossingen Cloud infrastructure provider Datacenter uitbater.

Van Virtualisatie naar Cloud Computing De roadmap voor de toekomst?

Werkplek anno De werkplek; maak jij de juiste keuze?

Privacy en cloud computing. OCLC Contactdag 4 oktober 2011

Asset 1 van 17. Mobile Application Management en security. Gepubliceerd op 18 april 2015

DO the CLOUD. Patrick Mesman. Technisch Consultant Holland Casino

MKB in de Cloud. Prof. dr. J.P.J. (Hans) Verkruijsse RE RA

CLOUD COMPUTING OVER SLIMMER WERKEN IN DE WOLKEN

GOEDE ZORG VOOR ONDERZOEKSDATA.

Transcriptie:

To Cloud or Not To Cloud: the Proof of the Pudding Met de cloud zijn alle problemen opgelost! Geen eigen grote investeringen meer op vlak van infrastructuur, minder lokaal personeel, meer efficiëntie,. Is dit wel zo, vroegen we ons af. Het blijkt een genuanceerd verhaal. Er zijn zeker voordelen, maar ook risico s die moeten worden beheerd. Al zijn de aandachtspunten en verplichtingen fundamenteel niet verschillend t.o.v gewone outsourcing of samenwerking met een externe leverancier. Cloud computing is het via het internet op aanvraag beschikbaar stellen van hardware, software en gegevens, ongeveer zoals elektriciteit uit het elektriciteitsnet. De term is afkomstig uit de schematechnieken van de informatica, waar een groot, decentraal netwerk (zoals het internet) met behulp van een wolk wordt aangeduid. De cloud (Nederlands: wolk) staat voor een netwerk dat met al de computers die erop aangesloten zijn een soort 'wolk van computers' vormt, waarbij de eindgebruiker niet weet op hoeveel of welke computer(s) de software draait of waar die computers precies staan. De gebruiker hoeft op deze manier geen eigenaar meer te zijn van de gebruikte hard- en software en is dus ook niet verantwoordelijk voor het onderhoud. De details van de informatietechnologische infrastructuur worden aan het oog onttrokken en de gebruiker beschikt over een "eigen", in omvang en mogelijkheden schaalbare, virtuele infrastructuur. De cloud is dus een techniek waarmee schaalbare online diensten kunnen worden aangeboden. Zonder de mogelijkheid tot schalen heeft een aangeboden online dienst geen betrekking op cloud computing. De meest gebruikte definitie is die van het US National institute of standards and technology (NIST): 1

Zie het document van de Cloud Security Alliance 1 voor een volledige beschrijving. Hier even kort: Karakteristieken en voordelen: Broad network access: toegang vanop tablets, smartphones, ook buiten de LAN. Goede bandbreedte en beschikbaarheid Rapid Elasticity: snel en zelfs automatisch schaalbaar bij meer capaciteitsbehoefte of een piek in bezoekersaantallen On-demand self service: u vraagt wij draaien qua aantal servers, storage. Betaald in een pay as you go model Resource pooling: geen dedicated servers, kosten worden geoptimaliseerd door het delen van servers en opslag in een multi-tenant omgeving Service Models: On-Premise: je doet alles zelf, eventueel met ondersteuning van externen IaaS: de provider zorgt voor de infra t.e.m de virtualisatielaag, de klant staat in voor de rest PaaS: provider zorgt ook voor de middleware (databases, java, drupal, ), klant bouwt zijn toepassing hierop SaaS: provider biedt een kant en klare oplossing aan (dropbox, facebook, gmail, office365,.) 1 https://cloudsecurityalliance.org/download/security-guidance-for-critical-areas-of-focus-in-cloudcomputing-v3/ 2

Types Cloud: Public: volledig gedeeld met alle mogelijke klanten (multi-tenant) Private: enkel voor 1 klant (single-tenant) Hybrid: mix van public en private of van on-premise & cloud Community: specifiek voor 1 bepaald type klant of sector (bijv: government cloud) Via Cloud Computing kan men servers, opslag, applicaties en diensten aanbieden aan de gebruikers. De gebruiker hoeft zo geen eigenaar meer te zijn van de door hem/haar gebruikte hard- en software en is niet zelf verantwoordelijk voor het onderhoud. Daarnaast kan de gebruiker met 'lichte' randapparatuur, zoals laptops, tablets of zelfs smartphones, op iedere willekeurige plek en op ieder moment gebruik maken van de zwaarste toepassingen. Cloud computing is daarmee niet iets geheel nieuws: het is een verdere ontwikkeling in de wijze waarop ICT wordt toegepast. Een organisatie kan op die manier de resources die gedeeld worden op een clouddienst huren waardoor hij dus de huurder ( tenant ) wordt van de infrastructuur in plaats van de eigenaar. Er is dus geen investering in hardware nodig, IT wordt een werkingskost (bij IaaS moet wel de nodige software nog apart worden voorzien). Welke zijn de voordelen van cloud computing? De cloud is de laatste jaren een onontkoombaar en populair begrip geworden dat uitgegroeid is van een vaag en risicovol concept tot de ICT-strategie van de toekomst die elke organisatie vroeg of laat zal toepassen. Naast de kostenbesparingen is de hoofdreden van deze hype de vlotte toegankelijkheid tot tal van informaticaresources met bijna oneindig veel mogelijkheden, en dit alles met een minimaal beheer. Hierdoor kan de aandacht verschuiven van IT (Informatie technologie) naar Informatiebeheer, waardoor echt vooruitgang kan worden geboekt in e-government en smarter cities. Cloud computing bevordert het gezamenlijk gebruik van voorzieningen: netwerken, servers, opslag, applicaties en diensten. Dat leidt tot een betere benutting van deze middelen en kan leiden tot een hogere efficiëntie. Bovendien wordt het mogelijk gebruik te maken van de laatste technologie, als de cloudaanbieder vooruitstrevend is. Daarbij wordt in principe alleen betaald voor het daadwerkelijke gebruik. Een meerwaarde is ook dat de professionele aanbieders (zoals een Amazon, Microsoft, IBM, Google, ) een veel betere technische en logische bescherming bieden dan kan worden gehaald in de serverroom van een lokaal bestuur. Inrichting en beveiliging van een datacenter is immers niet echt een kerncompetentie van een overheidsorganisatie. De meeste grote spelers voldoen ook aan een hele rist van internationale standaarden en normen m.b.t governance en informatieveiligheid (PCI-DSS, HIPAA, ISO27002, ISO27018, ). Er zijn er echter ook die geen van deze standaarden onderschrijven omdat hun business model net bestaat in het uitbuiten van persoonsgegevens. Contractuele bepalingen, terms & conditions dus altijd grondig nalezen en nooit zomaar I agree klikken. Een paar privacy policy s van grote en kleine cloud providers of apps lezen als oefening is zeer verhelderend. 3

Zijn er dan geen aandachtspunten? Er zijn uiteraard een aantal aandachtspunten, die snel duidelijk worden wanneer de klassieke modellen van IT Service Management en (ITIL/ITSM) Application Lifecycle Management (ALM) worden gehanteerd: ITSM: hier dient vooral de beschikbaarheid en informatieveiligheid tegen het licht te worden gehouden. Hoe garanderen we de beschikbaarheid van toepassingen en data (technisch, maar ook bij failissement of calamiteiten bij de leverancier, back-up, recovery, ) en hoe blijven confidentialiteit en integriteit van data verzekerd? ALM: hier moet zeker stil worden gestaan bij mogelijke exit scenario s. Hoe krijgen we toepassingen en data terug uit de cloud? Releases, patches en upgrades zijn in een Iaas scenario minstens even belangrijk dan on-premise. Samenwerken met een externe partner (= de verwerker van gegevens), in de cloud, in outsourcing of in een traditioneel ondersteuningsmodel vergt een nog grotere aandacht voor governance dan bij een onpremise beheer. Mogelijk komt dit de informatiebeveiliging ten goede, en is het dus eerder een positief effect, al is dit sterk afhankelijk van het bestaande maturiteitsniveau van het bestuur. De risico's van het via een 'open/public cloud uitbesteden van ICT-diensten en de opslag van informatie buiten de organisatie zijn in een aantal gevallen nog niet voldoende afgedekt. Zo is privacybescherming vaak geen integraal onderdeel van de wijze waarop cloud-toepassingen worden vormgegeven. Het kennisinstituut European Union Agency for Network and Information Security (ENISA) adviseert overheden daarom voorzichtig te zijn met gebruik van cloud computing. ENISA dringt aan op een planmatige aanpak, die is gericht op het zoveel mogelijk uitsluiten en mitigeren van risico's. ENISA heeft een zeer uitgebreide lijst met te bekijken risico s gepubliceerd 2. Ook de lijn naar de cloud is een aandachtspunt. Indien de internetverbinding uitvalt is ook elke dienst in de cloud onbereikbaar. Dus zeker de zwakke schakels in het netwerk bekijken, en liefst een redundante (en indien mogelijk beveiligde 3 ) verbinding voorzien. 2 http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-riskassessment 3 Bijvoorbeeld http://azure.microsoft.com/nl-nl/services/expressroute/ 4

Kennen we de risico s voldoende? Wanneer we het hebben over de risico s moet het hele plaatje worden bekeken. De overgang naar Cloud Computing vereist net zoals bij gewone uitbesteding en elke samenwerking met een externe partij een strenge aanpak op het vlak van het beheer van de veiligheidstechnische, contractuele en juridische risico's. De organisatie die een beroep wenst te doen op een Cloud-provider moet zich ervan vergewissen dat die provider de geschikte veiligheidsmaatregelen kan toepassen, om zich te beschermen tegen de risico's van de Cloud. Dit zowel voor wat betreft de traditionele informaticaverwerkingen als in het bijzonder tegen de risico s die relevant zijn voor de bescherming van de persoons- en sociale gegevens. De belangrijkste risico's die op dat vlak werden geïdentificeerd, zijn de volgende: Problemen bij het beheren van de toegangsrechten; Onbeschikbaarheid van de dienst geleverd door de provider; Onthouden van toegang vanwege dispuut over betaling; Stoppen van de cloud-dienst. Wat volgt? Hoe is de exit geregeld? - de stopzetting van de dienst door de provider (bv. als gevolg van een gerechtelijke beslissing of de overname van de provider door een derde of bij een faillissement) Dit kan catastrofale gevolgen hebben; Niet-overeenstemming met de regelgeving, in het bijzonder met betrekking tot internationale transfers; Backup niet goed geregeld vaststelling na de feiten; Verminderde governance met betrekking tot de verwerking van de gegevens; Complexe structuur cloud: wie zit achter welke cloud? - de risico s verbonden aan de onderaannemers van de leverancier, bijvoorbeeld een fout in de onderaannemingsketen wanneer de leverancier zelf een beroep doet op derden om een dienst te leveren; Cloudaanbieder doet aan koppelverkoop met toepassingen in de (eigen) cloud; Vastzitten aan leverancier: vendor lock-in Ongeoorloofd toegang tot gegevens (derden, hackers/overheid) - een gegevenslek, met andere woorden het risico dat gegevens die op een (virtueel) systeem zijn gehost, gewijzigd kunnen worden of toegankelijk zijn voor niet-gemachtigde derden naar aanleiding van een tekortkoming of een slecht beheer van de provider; Uitvoering van juridische vorderingen op basis van een buitenlands recht zonder overleg met de nationale instanties; Niet-naleven van de regels die door de instelling werden uitgevaardigd met betrekking tot de bewaring en de vernietiging van gegevens, o.a. bij een ondoeltreffende of onbeveiligde vernietiging van de gegevens of een te lange bewaarduur; Een uitgebreide, niet-exhaustieve lijst van risico's die door het ENISA werden opgelijst, kan in overweging worden genomen bij de risicoanalyse zodra het kader van het project is vastgelegd. Belangrijk is hierbij dat niet alleen de confidentialiteit, maar ook de beschikbaarheid en integriteit van data en systemen wordt bekeken. Een groot deel van deze risico s bestond dus ook al in de traditionele samenwerking met externe partijen. De partners (CEVI, CIPAL, KSZ, RR ) namen een groot deel van de verantwoordelijkheid op zich, veelal omwille van historiek. Bij outsourcing moest evenwel ook voordien al veel contractueel worden vastgelegd. Indien op eigen houtje naar de cloud wordt getrokken wordt de eigen verantwoordelijkheid duidelijker en dwingender. Het verdient daarom zeker aanbeveling om naar een professionele aanbieder te kijken met liefst een eigen of partner ecosysteem ter ondersteuning. De quick & dirty oplossingen, meestal in app vorm laten het meeste vragen rond risico s onbeantwoord. 5

Kunnen gemeenten al aan de slag met cloud computing? Er is momenteel geen wetgeving die het gebruik van de cloud expliciet zou verbieden. De meeste risico s m.b.t wettelijke bepalingen (KSZ, Privacy, RR) bestonden ook al bij de gewone outsourcing aan externe partijen (lokale of internationale spelers) 4 Op zich dient cloud computing een doordachte strategie te zijn en is het meer dan een verkooppraatje waarbij alleen de voordelen worden aangehaald. De nadelen worden door de leveranciers uiteraard minder graag toegelicht. Leveranciers die u al dan niet via een partnerkanaal- kunnen begeleiden bij het uitwerken van de correcte governance verdienen de voorkeur. Vooraleer nieuwe of vervangingsinvesteringen te doen, is het zeker aangewezen om de cloud alternatieven te bekijken. Maar wat dan met die veiligheid? De richtsnoeren mbt informatieveiligheid 5 geven enkele formele aandachtspunten mee, waarbij dit alles ressorteert onder het correct inschatten van de risico s, de betrokkenheid van externe partijen en infrastructuur, de potentiële toegang tot persoons- en sociale gegevens door derden, de risico s op gegevensverlies en niet correct beheer, contracten en SLA s met derden, de fysische en logische toegang en beveiliging van de gegevens, backup, de verantwoordelijkheden voor de gegevens, In die zin zijn ze volledig in lijn met de internationale ISO27002 norm. Het gebruik van de cloud moet worden meegenomen in uw standaard informatieveiligheidsbeleid en plan, met extra aandacht voor de specifieke risico s die het gebruik van de cloud met zich meebrengt. Hierbij dient een duidelijke dataclassificatie te worden gehanteerd (bijvoorbeeld: vertrouwelijk, privacygevoelig, medische gegevens, sociale data, intern gebruik, open data,.). De classificatie bepaalt dan verder de af te dekken kwetsbaarheden en risico s. De technische beveiliging van de professionele aanbieders mag dan al beter zijn dan wat je zelf kan bereiken, gevoelige data mag niet onbeschermd over internet worden gestuurd. Hier moet gekeken worden naar een afdoende encryptie met aandacht voor het sleutelbeheer. (Dit was overigens ook al het geval indien uw on-premise systemen een koppeling hebben naar buiten, of met uw standaard e-mailverkeer, externe harde schijven en USB sticks) 4 Er bestaat wel wetgeving die stelt dat authentieke bronnen zoals het rijksregister in België moeten staan om in tijden van oorlog fysiek vernietigd te kunnen worden. (al is het niet duidelijk hoe dit dan in zijn werk zou moeten gaan) 5 http://security.v-ict-or.be 6

Uit de Privacywet kunnen 2 eisen rond cloudcomputing worden gedestilleerd: Er moet een overeenkomst kunnen worden gemaakt met de public cloud provider, waarin deze zich, als verwerker van de gegevens, committeert op het naleven van de regels. Dit wordt door de EU (WP29) vertaald als 'model clauses', waaraan intussen Microsoft en Amazon voldoen 6 7. Verder moet er de garantie worden geboden dat geen gegevens worden overgedragen aan buitenlandse overheden. De FISA 8 wetgeving komt hier het meeste naar boven, waarin de VS 'menen' te mogen gegevens opvragen bij Amerikaanse firma's die gegevens van buitenlandse klanten in beheer hebben. Een aantal Amerikaanse firma s betwist deze ruime interpretatie 9. Juridisch is het niet echt duidelijk of dit in strijd is met de Belgische wetgeving, aangezien er multilaterale overeenkomsten bestaan tussen België en de VS 10. Naast de VS eigenen ook andere landen zich verregaande rechten toe, al dan niet in het kader van gerechtelijk onderzoek. Het is niet netjes dat partners zich zo gedragen, maar het is een realiteit die niet kan worden genegeerd. Initiatieven zoals safe harbor blijken een lege doos 11. Het risico kan hier echter ook beperkt worden door de juiste maatregelen te nemen in functie van de dataclassificatie (encryptie, hybride cloud modellen,...) Voor de verwerking van persoons-, medische en sociale gegevens is de KSZ zeer risico-avers. Zo is elke instelling van sociale zekerheid die vertrouwelijke gegevens wenst te verwerken in een "Cloud" die door een provider wordt beheerd, verplicht de volgende contractuele waarborgen in acht nemen onder de nodige clausules met betrekking tot: 1. de mogelijkheid voor een cloud-provider om een deel van zijn activiteiten uit te besteden 2. de integriteit, continuïteit en kwaliteit van de dienstverlening 3. de teruggave van de gegevens 4. de overdraagbaarheid van de gegevens en de interoperabiliteit van de systemen 5. de auditregeling 6. de verplichtingen van de provider inzake vertrouwelijkheid van de gegevens 7. de soevereiniteit 8. de verplichtingen van de provider inzake gegevensbeveiliging Een volledige policy vindt u op de website van de sociale zekerheid 12. 6 http://www.privacycommission.be/sites/privacycommission/files/documents/g29-advies-cloudcomputing_0.pdf 7 http://ec.europa.eu/justice/data-protection/article-29/documentation/otherdocument/files/2014/20140402_microsoft.pdf 8 http://en.wikipedia.org/wiki/foreign_intelligence_surveillance_act 9 http://allthingsd.com/20130830/microsoft-and-google-will-sue-u-s-government-over-fisa-order-data/ 10 http://www.mayerbrown.com/publications/the-usa-patriot-act-and-the-privacy-of-data-stored-inthe-cloud-01-18-2012/ 11 http://webwereld.nl/beveiliging/80295-eu-dreigt-safe-harbor-data-akkoord-met-vs-te-schrappen 12 https://www.kszbcss.fgov.be/binaries/documentation/nl/securite/policies/isms_050_cloud_computing_policy_nl.pdf 7

Wat doet V-ICT-OR op het gebied van cloud computing voor gemeenten? Binnen de verschillende werkgroepen en contacten met de federale en Vlaamse overheid worden de voordelen van de cloud voor lokale besturen aangehaald en verdedigd. We overleggen ook over hoe de (lokale) overheid zijn verantwoordelijkheid kan opnemen en blijven nakomen m.b.t het beschermen van persoons- sociale en medische gegevens, zonder de pragmatische werkelijkheid uit het oog te verliezen. Bescherming is belangrijk in de cloud, maar was dat al in de huidige situatie. Welk bestuur heeft er vandaag systemen in plaats om mails te encrypteren of te vermijden dat persoonsgegevens in mails, excels of op USB-sticks belanden? Wie heeft er alle data op tablets en laptops geëncrypteerd? Wie heeft er op dit moment een duidelijke dataclassificatie? Zijn we zeker dat in het datacenter van een reguliere outsourcer geen componenten in gebruik zijn met achterpoortjes die door buitenlandse overheden of hackers kunnen worden misbruikt 13? Is de enige mogelijke oplossing een Vlaams datacenter met uitsluitende Vlaamse ambtenaren die enkel Vlaamse hardware en software gebruiken met Vlaamse netwerkproviders? Is dit haalbaar? V-ICT-OR ziet onder meer de volgende mogelijke use-cases voor de cloud: Software-as-a-service (SaaS) oplossingen voor commodity software zoals mail, instant messaging, bestandssystemen. Het biedt weinig meerwaarde om hier zelf een infrastructuur voor op te zetten en te onderhouden. Bovendien bieden de SaaS oplossingen tegenwoordig meestal meer functionaliteit, snelheid of opslagcapaciteit. Oplossingen zoals Office365, Google Docs, CRM online, SAP online of de CIPAL toepassingen in het CiPort datacenter behoren tot deze categorie. Vervanging of extensie van de eigen serverroom. Uitbreiding voor tijdelijke capaciteit. Hybride oplossingen waar archieven of minder vaak geraadpleegde gegevens in de cloud worden bijgehouden (uitbreiding van de storagecapaciteit) Toepassingen met een sterke externe oriëntatie. We zijn ervan overtuigd dat enkel de (hele) grote besturen een state-of-the art DMZ zone kunnen uitbouwen en beheren. Toepassingen die vooral gebruikt worden van buitenaf (mobiele raadpleging van college- en raadsnota s, inschrijving- en reservatiesystemen, e-loketten) kunnen waarschijnlijk veiliger en performanter in de cloud draaien. Toepassingen voor interbestuurlijke en intergouvernementele samenwerking. Indien deze in een community cloud draaien of in een cloud waar de verbindingen beveiligd kunnen worden, worden de 1-op-1 verbindingen tussen de verschillende lokale serverrooms vermeden. Bij uitbreiding kan men zo tot een overheidscloud komen waarin een centrale servicebus zorgt voor beveiligde en bewaakte uitwisseling van gegevens. Opslag van Big Data. Verzameling van bijvoorbeeld sensorinformatie in het kader van mobiliteit, milieu, energie, veiligheid, internet of things Geografische informatie (Geopunt van AGIV draait bijvoorbeeld volledig in de Cloud omwille van de schaalbaarheid en beschikbaarheid) Beeldbanken Uiteraard moet voor al deze use cases de correcte dataclassificatie worden bepaald, moeten kwetsbaarheden en risico s worden afgedekt en moeten de nodige technische en procedurele maatregelen worden genomen. 13 http://www.infoworld.com/article/2608141/internet-privacy/snowden--the-nsa-planted-backdoors-in-ciscoproducts.html 8

Hierbij is het hopelijk- ook duidelijk vanuit eerdere bedenkingen dat persoons-, medische en sociale gegevens niet de eerste kandidaten zijn om in een public cloud te worden gehost. Indien u omwille van de voordelen van beschikbaarheid of technische beveiliging in dat geval toch gebruik wil maken van de cloud, kunnen hybride omgevingen een oplossing zijn. Cloud computing lijkt het antwoord op de oude belofte van on-demand IT diensten waarbij besturen zich kunnen concentreren op de meerwaarde van informatie (business intelligence, big data/smart cities, kennis, informatiedeling, efficiënte dienstverlening) en minder op de technische kant. Het zou jammer zijn mochten we hier niet de vruchten van kunnen plukken omwille van juridische of geopolitieke beperkingen. Hier moeten we zeker de juridische, privacy en IT-technische wereld op 1 lijn krijgen om als Vlaamse besturen deze opportuniteit niet te missen. Wat doen gemeenten nu al op het gebied van cloud computing? Sommige gemeenten/ocmw s hebben hun eerste stappen in de cloud gezet via diverse providers. Gemeenten die hiermee verder aan de slag willen, adviseren we om dit planmatig aan te pakken en er alert te zijn dat niet alles wat 'cloud' heet ook daadwerkelijk de voordelen van de cloud technologie benut. Soms wordt het door leveranciers gezien als een synoniem voor toepassingen op het internet. Leer uit ervaringen en acties van andere besturen, zoek de geschikte partners en leveranciers en wees steeds voldoende kritisch. Binnen het Software as a Service (SaaS) aanbod zijn er intussen mature oplossingen (met goed gedocumenteerde en gecertifieerde beveiliging), die een goed alternatief zijn voor bepaalde toepassingen die nog on-premise worden ingericht (zoals e-mail). Smals Research Cloud Security evaluatiemodel De sectie Onderzoek van Smals heeft in samenwerking met de sectie Veiligheid een model ontwikkeld om de beveiliging van clouddiensten te evalueren. Hiermee kunnen organisaties, indien nodig met de gedeeltelijke steun van Smals, op gestructureerde en gestaafde wijze bepalen hoe we welke gegevens moeten verwerken in de cloud. Daarom werd het model opgedeeld in twee evaluatieluiken: Luik A: de vragenlijst Security-assessment-cloud-service.xlsm waarmee het maturiteitsniveau in verband met de beveiliging van een specifieke clouddienst geëvalueerd kan worden. Luik B: de vragenlijst Client-guide-cloud-assessment.xlsm waarmee men de mogelijkheid kan evalueren om een specifieke clouddienst te gebruiken naargelang het soort gegevens die men ernaar wil overbrengen. Meer info hieromtrent vindt u hier: http://www.smalsresearch.be/tools/cloud-security-model-nl/. De privacycommissie (CBPL) en de Vlaamse Toezichtcommissie promoten het gebruik van dit (of een gelijkwaardig) model. 9

De verfijning van richtlijnen is voor de Vlaamse gemeenten en OCMW s (nog) volop aan de gang Er wordt op Vlaams niveau gewerkt aan duidelijke richtlijnen binnen een aantal werkgroepen van het VDI coördinatiecomité en binnen het programma radicaal digitaal. De bedoeling is om ten laatste kort na de zomer te landen met een duidelijk document voor de Vlaamse overheid en lokale besturen. Ook V-ICT-OR zit hier mee aan tafel. Tijdens shopt-it 2014 werd Cloud ook uitvoerig besproken samen met enkele providers en de Vlaamse Toezichtcommissie en de POD MI. Het antwoord werd samengevat en gepubliceerd op de website van de VTC 14. 14 http://vtc.corve.be/infoveiligheid.php 10

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback