Het ministerie van Justitie en Veiligheid koos ervoor een deel van haar ICT-infrastructuur onder te brengen in de publieke cloud van Microsoft. Strategisch adviseur informatiebeveiliging Arjan Deij en senior analist Chris Eyzenga leggen uit wat Trusted Cloud betekent en waarom bestuurders moeten wennen aan de markt als hostingpartner van de overheid.
Wie de cloud wil visualiseren tekent geen wolk, maar een verzameling genetwerkte dozen waarin software draait op eigen hardware (private cloud) of die van een ander (public cloud)
Wie op internet inlogt op het zakelijk netwerk om de agenda in te zien, doet dat in de cloud. Software die via het netwerk gebruikt kan worden om bestanden te maken en te bewerken: in de cloud. Met elkaar Teamsen, Zoomen of Webexen: allemaal diensten die draaien in de cloud. Via een internetverbinding maken we contact met servers en databases die ergens ter wereld in een of meerdere datacenters staan. Wie de cloud wil visualiseren tekent geen wolk, maar een verzameling genetwerkte dozen waarin software draait op eigen hardware (private cloud) of die van een ander (public cloud).
“De cloud die wij hebben uitgekozen is misschien wel veiliger dan de eigen omgeving.”
Afwegingskader
JenV startte in 2021 met een trusted cloud in de publieke cloud van Microsoft Azure. Dit is een verlengstuk van de eigen ICT-infrastructuur; servers en netwerken waarvan JenV-organisaties gebruik kunnen maken voor bepaalde diensten.
Voordat een online omgeving het predicaat trusted cloud kan krijgen, moet ze aan een reeks voorwaarden en voorschriften voldoen. Die staan allemaal beschreven in het Cloud afwegingskader van de afdeling Informatievoorziening en Inkoop van JenV. Ze zijn van toepassing op afname en gebruik van IaaS (infrastructure as a service), SaaS (software as a service) en PaaS (platform as a service). Alles is gericht op het waarborgen van de onafhankelijkheid, zelfbeschikking en beveiliging van JenV wat betreft de inzet van clouddiensten.
Bijvoorbeeld: om aan Europese wet- en regelgeving te kunnen voldoen, blijven de data binnen de Europese landsgrenzen. Data moeten geclassificeerd en gerubriceerd zijn en voorzien van het juiste beveiligingsniveau. In geval van de trusted cloud is dat departementaal vertrouwelijk. Deij: “Ik durf te stellen dat de cloud die wij hebben uitgekozen misschien wel veiliger is dan de eigen omgeving. Maar ik begrijp ook dat deze stelling bestuurlijk nog even moet doorsijpelen”.
Naar een regierol
Niet dat JenV achterover kan leunen. Eyzenga zegt: “Een veilig product moet je ook veilig houden. Dat betekent dat we niet alleen de buitenste randen van onze cloudomgeving beveiligen tegen ongeautoriseerde toegang en gebruik, maar ook de inrichting en het beheer.” De uitvoering daarvan ligt bij de cloudleverancier, volgens de wensen en eisen van het ministerie. Deij legt uit: “Als ministerie gaan we daardoor van een uitvoerende rol naar een regierol. De organisatie maakt afspraken met de cloudleverancier hoe de dienstverlening eruit moet zien. Dashboards en monitoring maken naleven van de afspraken meetbaar.”
“Het tempo van de ontwikkelingen is voor ons als overheid niet meer bij te benen.”
Dat is een uitkomst voor de complexe organisatie van JenV, waar de onderliggende organisaties verschillende gradaties van autonomie hebben. Zij kunnen dus zelf afspraken maken met, in dit geval met Microsoft, over de uitvoering van de dienstverlening binnen de kaders van JenV trusted cloud.
Oude dametjes
Uitbesteden van beheer betekent een verandering van rol voor de traditionele technische en functionele beheerders. Het is niet langer hun taak om software en hardware actueel te houden, de virusscanners, de patches, de beveiliging in het algemeen. “Zij kunnen zich bijvoorbeeld meer gaan richten op de ontwikkeling en uitrol van applicaties”, zegt Eyzenga. Deij vult hem aan: “Juist de uitbesteding van die beheerstaken maakt de public cloud een veilige plek. Het tempo van de ontwikkelingen is voor ons als overheid niet meer bij te benen.” Eyzenga vervolgt: “Niet elke beheerder kent elk plekje in de hele infrastructuur en in plaatsen waar je nooit komt gaan muizen zitten. De cloudleverancier kent alle hoeken en gaten.” Hij gaat geruststellend verder dat de traditionele rol blijft voor de legacydiensten die in de eigen datacenters van JenV draaien. “Dat zijn oude dametjes die nog jarenlang meegaan.”
Dit artikel is onderdeel van het katern ‘Plan van aanpak Informatiebeveiliging 2.0, dat iBestuur produceerde in opdracht van het ministerie van Justitie en Veiligheid. Het werd gepubliceerd in iBestuur #44 en uitgebracht als E-zine.
De publieke cloud lijkt mij een mooie kans voor overheden. Daarbij herken ik de snelheid van ontwikkelingen en de moeite die overheidsinstanties hebben met het volgen ervan, maar ook onvoldoende gespecialiseerde (IT-)medewerkers kunnen vinden.
Wel valt of staat het met de details. Om die reden ben ik benieuwd of het “Cloud afwegingskader” van de afdeling Informatievoorziening en Inkoop van JenV in te zien is?