Alarm over ‘stille verhuizing’ overheidsinformatie naar cloud
De overheid verhuist stilletjes cruciale ict-diensten naar de servers van (met name) Microsoft. Daarvoor waarschuwt Bert Hubert, cybersecurity-ondernemer en voormalig toezichthouder op de geheime diensten, in een blogpost. Hij slaat alarm, omdat het gaat om politieke beslissingen die weloverwogen moeten worden gemaakt.
Van plan of al bezig
Hubert baseert zijn uitspraken op recente gesprekken met onder meer demissionair minister van EZK Micky Adriaansens, demissionair staatssecretaris digitalisering Alexandra van Huffelen, cloudaanbieders, (top-)ambtenaren en allerhande onderzoekers en politici. Uit die gesprekken maakt hij op dat diverse overheidsorganisaties en departementen voornemens of al bezig zijn met het onder de radar verhuizen van hun communicatie en bestanden naar Amerikaanse clouddiensten, meestal Microsoft cloud. Tweede Kamerlid Babara Kathmann (GroenLinks-PvdA) heeft een debat over de kwestie aangevraagd, kondigt ze aan op X.
Eerder concludeerde Forum Standaardisatie al dat een meerderheid van de aanbestedingen uit 2022 betrekking had op cloudsystemen. Het gaat soms om grote migraties. Zo zijn er concrete signalen dat het Shared Service Center ICT (SSC-ICT), beheerder van de werkplekken van 50.000 ambtenaren en zeven ministeries, van plan is om alle applicaties naar Microsoft te verhuizen.
‘Ministry for Microsoft’
‘Van allemaal kanten bereiken me noodsignalen dat de trein richting zo’n Microsoft-monopolie goed doorrijdt,’ schrijft Hubert. Om de overstap soepel te laten verlopen, heeft Nederland het Strategisch Leveranciers Management Rijk (SLM Rijk) in het leven geroepen, wat in het buitenland al spottend ‘The ministry for Microsoft’ zou worden genoemd.
Gedegen risicoafweging
Uit onderzoek van de NOS blijkt dat de Eerste en Tweede Kamer, de Rekenkamer, de Nationale Ombudsman, de Nederlandse Zorgautoriteit, de Kamer van Koophandel, de Nederlandse Bank en de Autoriteit Financiële Markten gebruikmaken van clouddiensten van Microsoft. De departementen zouden volgens het Rijkscloudbeleid een gedegen risicoafweging moeten maken voordat ze hetzelfde doen, maar deze hoeven ze niet openbaar te maken. Hubert stelt dat nog niemand die hij heeft gesproken, zo’n document heeft gezien.
Digitale soevereiniteit
Een overstap naar een Amerikanse cloudleverancier is onder meer aantrekkelijk omdat de zorg voor de ICT-infrastructuur uit handen wordt genomen en omdat het financieel interessant is. Maar het komt de Nederlandse digitale soevereiniteit niet ten goede als de overheid in grote getalen informatie over Nederland op Amerikaanse servers zet. Daar maken experts zich om verschillende redenen zorgen over. Zo raakt de Nederlandse overheid steeds meer ICT-kennis kwijt, waardoor de afhankelijkheid van buitenlandse leveranciers groeit. Amerikaanse inlichtingendiensten hebben het wettelijk recht om informatie die bij Amerikaanse cloudleveranciers staat opgeslagen op te vragen, zelfs al staat de informatie fysiek in Nederland. Een ander punt van zorg zijn de beveiligingsproblemen bij Microsoft. De kans dat Chinese, Russische of Iraanse staatshackers bij de Nederlandse overheidsinformatie kunnen, is niet denkbeeldig.
Lees ook:
Emotioneel verhaal. De politieke discussie over cloud technologieën zou moeten verschuiven van een focus op het aanschaffen van specifieke tools (van wie dan ook – en dat vervolgens doorgaans ZELF slecht configureren, waardoor je pas echt data lekt) naar een bredere discussie over fundamentele uitgangspunten en visies. Dus éérst bepalen hoe we identiteiten beheren en beschermen in een digitale wereld en hoe we data beheren, beveiligen en gebruiken om daarmee waarde te creëren. De rest van de discussie over de implementatie van technologieën en tools volgt vanzelf uit deze basisprincipes.
Bij het bepalen van de identiteit, datagovernance en architectuur is het cruciaal om te kiezen hoe we identiteiten beheren en authentiseren. Dit omvat de technologieën en processen voor authenticatie en autorisatie. Verder moeten we besluiten hoe we data beheren en controleren, inclusief wie er toegang heeft en hoe de data wordt gebruikt. De IT-architectuur moet zodanig worden vormgegeven dat deze principes worden ondersteund en moet draaien onder een juridisch mandaat om naleving en veiligheid te waarborgen. Als je dat goed doet, maakt het niet heel veel uit WAAR het draait.
@vincent: wel een erg theoretisch verhaal, dat je er tegenover stelt nu! Je op 1 na laatste zin met ‘moet draaien onder een juridisch mandaat om naleving en veiligheid te waarborgen’ beschrijft exact 1 van de grootste problemen die ook iemand als Bert Hubert voorziet: De Amerikaanse wetgeving waar een bedrijf als Microsoft onder valt, voldoet domweg niet aan onze Europese en nationale normen (en regelgeving) voor zaken als opslag en verwerking van (bijzondere en overige) persoonsgegevens.
Daarnaast schrijft het rijksbrede cloudbeleid uit 2022 wel een exit-strategie voor, maar dat is veel te magertjes (vooral ook op het gebied van transparantie) geformuleerd om een vendor lock-in op platformniveau te voorkomen. En in het geval van Microsoft is dat ook op cybersecuritygebied een extra risico, zo bleek onlangs weer.
En waar de Amerikaanse overheid zich daar nu wel eindelijk zorgen over begint te maken, en wij in Nederland en de EU door de enorme lobby onze ogen nu weer lijken te gaan sluiten. Zolang security primair vanuit een verdienmodel wordt opgezet en in de markt gezet en geïmplementeerd, zoals door Microsoft, zal het nooit de ‘veiligheid waarborgen’ in voldoende mate. Lees de review van de Cyber Safety Review Board over de Microsoft Exchange ‘Chinese hack’. De executive summary begint met het baseren van haar vernietigende conclusies met: ’the cascade of Microsoft’s avoidable errors that allowed this intrusion to succeed’. Zie https://www.cisa.gov/sites/default/files/2024-04/CSRB_Review_of_the_Summer_2023_MEO_Intrusion_Final_508c.pdf
@Fred Dat was ook niet mijn punt en helaas ontkom je met dit onderwerp niet aan abstracte frameworks.
Dat de Amerikaanse wetgeving niet voldoet aan Europese en nationale normen voor de opslag en verwerking van persoonsgegevens, betekent slechts op het EERSTE GEZICHT dat de naleving en veiligheid niet gegarandeerd kunnen worden volgens Europese standaarden. Daarom is het sowieso terecht dat overheden denken in dataportabiliteit (je data ook weer ongeschonden weg kunnen halen bij een provider), dus daarom biedt het rijksbrede cloudbeleid ook een exit-strategie. Alleen, die is onvoldoende gedetailleerd, wat nog steeds kan leiden tot vendor lock-in. Dit gebrek aan transparantie en de afhankelijkheid van één leverancier, zoals Microsoft, verhoogt de risico’s op cybersecuritygebied.
Tot zover zijn we het eens. Echter, de meeste mensen zijn niet bepaald bij met de laatste stand van zaken. Een belangrijk onderdeel van deze discussie is niet de techniek, maar de compliance.
Als de data belangrijk genoeg zijn, dan moet de compliance navenant zijn. Alleen, wie outsourced blijft WEL datavoortbrengingsketenverantwoordelijk (3x woordwaarde). Dit vraagt dus vooral kennis aan de kant van de klant (het Rijk). Terwijl een bedrijf als Microsoft wel degelijk onder de motorkap mag liggen van o.a. de Defensie industrie. Hun Zero Trust Framework gaat een paar slagen dieper dan de Basis Beveiliging.
Microsoft interpreteert dit zo: https://learn.microsoft.com/en-us/security/zero-trust/dod-zero-trust-strategy-intro (pluim voor iedereen die alles in een keer snapt. Zo niet? That’s my point)
Een ander compliance element is de wet- en regelgeving, waarbij EU regelgeving BOVEN nationale regelgeving gaat. Laat er nu een EU-U.S. Data Privacy Framework bestaan waaruit blijkt dat de Europese Commissie heeft geconcludeerd dat de Verenigde Staten een adequaat niveau van bescherming bieden dat vergelijkbaar is met dat van de Europese Unie voor persoonsgegevens die worden overgedragen onder het nieuwe kader. Dit betekent dus dat persoonlijke gegevens wel degelijk veilig kunnen stromen van de EU naar Amerikaanse bedrijven onder dit kader zonder aanvullende gegevensbeschermingswaarborgen. Het EU-U.S. Data Privacy Framework introduceert nieuwe bindende waarborgen om de zorgen van het Europees Hof van Justitie aan te pakken, zoals het beperken van de toegang tot EU-gegevens door Amerikaanse inlichtingendiensten tot wat noodzakelijk en proportioneel is. Hieronder vallen zogeheten Redress Mechanismen, waarmee EU-individuen toegang krijgen tot verschillende herstelmechanismen, waaronder een Data Protection Review Court (DPRC) dat onafhankelijk klachten kan onderzoeken en bindende maatregelen kan treffen, zoals het verwijderen van gegevens die in strijd met de nieuwe waarborgen zijn verzameld. Aan Amerikaanse zijde wordt de uitvoering en naleving van het nieuwe kader gemonitord door de Amerikaanse Department of Commerce en de US Federal Trade Commission, wat een extra laag van toezicht en handhaving toevoegt.
Dus het is wel degelijk zo dat de outsourcer verantwoordelijk blijft over zijn eigen data (niet de leverancier) en dat hij wel degelijk ZELF de kennis en kunde moet hebben om te checken of de boel goed is geïnstalleerd. Je kunt de dakdekker niet de schuld geven van de regen als je het dak open laat staan.
Zoals de High Security klanten van ook Amerikaanse cloud providers bewijst worden zij wel degelijk geacht om de boel goed dicht te kunnen zetten, maar dit soort miljardenbedrijven hebben duizenden medewerkers. Ze nemen jaarlijks tientallen bedrijven over. Het spelletje gaat wel wat verder dan Office.
Daarom ook spreekt in het CISA stuk over AVOIDABLE errors. Daarom mijn nadruk op COMPLIANCE. Daarom ook mijn enthousiasme voor EU Data Spaces (waaraan MSFT, Red Hat, AWS etc. ook gewoon mee kunnen doen): binnen een Data Space moet je volkomen helder hebben wat je juridisch mandaat is om iets met data te doen. Ben je Data Eigenaar? Leverancier? of Consument? Het komt met plichten!
Het antwoord op de vraag of Big Tech ‘eng’ is , is dus niet zwart-wit. Of wij in Nederland onze Business Continuiteit overeind kunnen houden ZONDER hun wereldwijde incasseringsvermogen en cybervoelsprieten wel. (NJET) Er is dus sprake van gerechtvaardigde zorgen over naleving en veiligheidsrisico’s vanwege de Amerikaanse wetgeving en commerciële belangen, maar het is ook waar dat de nieuwe EU-U.S. Data Privacy Framework al aanzienlijke verbeteringen en waarborgen heeft geïntroduceerd die moeten worden geëvalueerd op hun effectiviteit in de praktijk. Daartoe is het essentieel om de implementatie en naleving van deze nieuwe maatregelen nauwlettend te volgen en voor de betrokkenen om voortdurend bij te leren. Emotie is zinloos. Dit gaat om snappen wat je doet en om uiterst fijnmazige configuratie … die niet kan zonder de benodigde courante kennis van ALLE betrokkenen. Het is erg verleidelijk om een contract te tekenen (die heb ik thuis ook!), maar daarna begint het pas.
https://ec.europa.eu/commission/presscorner/detail/en/ip_23_3721
Het is inderdaad verbazingwekkend hoe overheidsorganisaties met de dag afhankelijker worden van Microsoft zonder eens heel grondig de consequenties op een rijtje te zetten en een bewust een integraal besluit te laten nemen door bestuur/directie (en niet IT want dit gaat over de continuïteit vd organisatie!).
– Veel (iedere?) overheidsclub gebruikt M365
– Steeds meer leveranciers bieden apps als SAAS aan en draaien steeds vaker op Azure. Dat melden ze lang niet altijd aan hun klanten.
– En dan heb je nog de echte Microsoft adepten, die verhuizen de resterende apps van hun rekencentrum naar Azure.
Microsoft levert ongekend goede dienstverlening en is onvoorstelbaar professioneel. Maar ook/ zelfs Microsoft is niet onfeilbaar, zie het rapport over enkele zeer heftige cyberincidenten (SolarWinds), het feit dat hun CEO 13 juni daarover bij Congress op het matje is geroepen. En zelfs die zeer professionele M365 en Azure diensten vallen wel eens uit.
Persoonlijk vindt ik het bijzonder onverstandig om alle (!) eieren in het Microsoft mandje te leggen. Maar wat ik echt niet begrijp is hoe overheidsorganisaties dat doen zonder een hele grondige risico-analyse, stevige maatregelen om die risico’s te mitigeren en een formeel besluitvormingstraject waarin de restrisico’s worden geaccepteerd worden.
Of heeft Microsoft de status van IBM in de jaren ’80 bereikt: You can’t get fired (als CIO) for buying IBM?
Voor wie dat denk: in de jaren ’80 kocht je IBM systemen en die draaiden in jouw rekencentrum, viel er iets uit had alleen jouw organisatie een probleem. M365 en Azure zijn clouddiensten, en Microsoft heeft de gehele overheid als klant. Dus als het een keer echt misgaat slaan we als overheid een modderfiguur van ongekende proporties, en ligt wel erg veel overheidsdienstverlening stil.
Zo naïef zijn we toch niet met zijn allen?