Pascal van Bentum

Pascal van Bentum

Director Consulting Defense & Intelligence

Elk jaar houdt CGI gesprekken met Business en IT executives van onze klanten: The Voice of The Client-interviews. Zij delen dan hun inzichten aangaande trends die hun organisaties beïnvloeden en de implicaties hiervan. In 2019 zijn er meer dan 1.550 interviews gehouden, waaronder ook veel gesprekken met ‘Defense & Intelligence’-klanten. Daaruit blijkt dat cloudoplossingen topprioriteit zijn. Vooral de private cloud is in trek, maar ook de public cloud is in opkomst. Waarom dat logisch is, leg ik u in deze blog uit.

Eind oktober 2019 sleepte Microsoft een contract van maar liefst 10 miljard dollar binnen om voor het Amerikaanse Pentagon een Microsoft Azure-cloudoplossing te ontwikkelen. Een duizelingwekkend bedrag, zeker voor Nederlandse maatstaven. Onze eigen Defensie maakt nog maar in beperkte mate de overstap naar de cloud. Reden: de strenge veiligheidsrichtlijnen die onze krijgsmacht stelt. Data die het rubriceringsniveau ‘Departementaal vertrouwelijk’ of hoger krijgt, mag simpelweg niet beschikbaar zijn voor de buitenwereld. Wordt dan toch de stap naar de cloud gemaakt, dan valt de keuze op een private cloud. Het is toch immers veiliger als je gevoelige data op je eigen infrastructuur hebt?

Meer gebruikers, betere bescherming

U ziet het al aan het vraagteken aan het eind van de vorige zin. Is een private cloud inderdaad veiliger? Het is een veelgestelde vraag in de markt. Daar zien we in ieder geval een opmerkelijke kentering: veel bedrijven die voorheen gebruik maakten van een private cloud, stappen over naar een public cloud. Dat doen ze niet zonder reden: Microsoft, Amazon en andere cloudleveranciers beveiligen de public cloud veel sneller dan de private cloud. Bij een private cloud moet de beheerder altijd nog een extra handeling verrichten. Met al die aanvallen en hacks moeten leveranciers hun cloudoplossingen voortdurend aanpassen. Daarbij onderhouden ze het liefst en vooral het snelst de oplossingen in de publieke cloud; die hebben immers de meeste gebruikers. Het is dus belangrijk om er niet rucksichtslos vanuit te gaan dat ‘publiek’ automatisch ‘minder afgeschermd’ betekent. Want dat is zeker niet altijd zo.

Zo veilig kan een public cloud zijn

De cloudoplossing voor digitaal aanbesteden die in 2017 door de Afdeling Ondersteuning Inkoop Defensie (AOID) is geïmplementeerd, onderstreept bovenstaande. Ik was als adviseur digitale transformatie vanaf de voorbereiding tot en met de uiteindelijke implementatie van deze aanbestedingstool betrokken bij dit proces en schreef in die hoedanigheid een blog over deze case. Het ging om een cloudoplossing in de vorm van Software as a Service – kortweg SaaS. Samen met Defensie en (van te voren al) met de cloudleverancier hebben we alle beveiligingsmaatregelen die het ministerie voorschreef nagelopen. Hoewel de informatie niet het niveau ‘Departementaal vertrouwelijk’ heeft, zijn toch de maatregelen aangehouden die voor dat niveau gelden.

Het bleek dat de leverancier aan alle maatregelen kon voldoen. Sterker nog: er waren betere afschermingsmogelijkheden dan op voorhand geëist. Specialisten van Defensie hebben samen met de leverancier ook een aantal eisen verder uitgewerkt. We hadden hiermee een oplossing ontwikkeld, waarbij zowel de aanbieders als de inkopers van Defensie in één en dezelfde omgeving konden werken: een op-en-top beveiligde public cloud. Deze omgeving is dusdanig afgeschermd dat je alleen de dossiers waarbij je daadwerkelijk betrokken bent kunt inzien en bewerken. Het is daarmee een mooi voorbeeld van hoe veilig een public cloud kan zijn.

Legaal hacken

In het standaard bij aanbestedingen meegegeven veiligheidseisenpakket werd destijds niet van cloud uitgegaan. Werkenderwijs zijn deze met Defensie verder uitgewerkt. Leveranciers van public cloudoplossingen hebben vaak een contract afgesloten met IT-beveiligers, die legaal ‘hacken’ om te kijken of de beveiliging nog op orde is. Het opmerkelijke is dat deze ‘ethische hackers’ altijd wel iets vinden. Dat zit zo: een cloudoplossing bestaat uit meerdere componenten. Die moeten steeds up-to-date gehouden worden. Installeer je niet op tijd een nieuwe versie, dan gooi je je deuren open voor hackers en andere cybercriminelen. Met de rapportage van de ethische hacker in je hand, weet je precies wat je moet updaten.

Stel dus gerust als eis aan je cloudleveranciers dat er tijdens de contractduur regelmatig een legale hack plaatsvindt. Dan gebeurt het gegarandeerd en hoef je er niet zelf alert op te zijn. Die oplettendheid is ook nodig als je gebruik maakt van een private cloud. Want dan moet je dit allemaal zelf regelen. Defensie heeft overigens zelf medewerkers in dienst die deze IT-beveiliging verzorgen. Maar ik verwacht hoe dan ook dat de frequentie waarop ethische hackers in opdracht van cloudleveranciers op zoek gaan naar oude versies en lekken alleen maar toeneemt.

Datapolicy op orde?

Goed onderhoud van de cloud is ook cruciaal als het gaat om datapolicy. Als je in de cloud dossiers deelt met persoonlijke informatie, moet je deze dossiers niet alleen goed afschermen, maar op een gegeven moment ook weer verwijderen. Je mag ze niet tot in de eeuwigheid bewaren. Dat geldt sinds de invoering van de AVG voor alle bedrijven. Ook over dit tijdig weggooien van privacygevoelige informatie kun je afspraken maken met de leverancier van je publieke cloudoplossing. Of liever gezegd: je kunt dit als een van de eisen in je aanbesteding stellen. Bij de cloudoplossing voor digitaal aanbesteden, het voorbeeld dat ik al eerder noemde, hebben we vooraf aan de cloudleverancier gevraagd dit te organiseren. Die heeft het nu standaard in haar oplossing, wat ook weer goed nieuws is voor andere klanten dan Defensie.

Een betere beveiliging. Meer en frequenter onderhoud. Op-en-top afscherming, terwijl transparantie en gebruiksvriendelijkheid niet in het geding raken. Een hoge alertheid op verouderde versies en volop oog voor je datapolicy. Het zijn stuk voor stuk ook voor uw organisatie waardevolle voordelen. Denk dus bij een overstap naar de cloud niet direct ‘private’, maar neem in uw overwegingen ook ‘public’ mee. Want doordat iedereen gelijktijdig over dezelfde informatie beschikt, wordt de samenwerking met partners buiten Defensie beter én betrouwbaarder.

Over de auteur

Pascal van Bentum

Pascal van Bentum

Director Consulting Defense & Intelligence

Al meer dan 30 jaar is Pascal van Bentum werkzaam binnen de rijksoverheid op het snijvlak van wetswijzigingen, reorganisaties en nieuwe informatievoorziening. Pascal heeft daarbij vele verschillende rollen vervuld op het gebied van complexe implementaties, beleidsadvisering, informatievoorziening, systeemontwikkeling, competentie- en projectmanagement. Hij legt daarbij altijd ...