Nieuws

De cloud is niet alleen commodity

“Als een bank in de cloud kan werken, waarom wij dan niet?” “Wij zijn geen IT-bedrijf; wij zouden onze systemen niet zelf moeten beheren.” Klinkt bekend? Klopt, het zijn citaten uit iBestuur-artikelen over de cloud en de overheid. Die uitspraken roepen vragen op. En hoe kun je nou een digitale organisatie worden en tegelijkertijd een van je belangrijkste bedrijfsmiddelen buiten de deur zetten?

Beeld: Marijn van Bekkum

Eveneens in iBestuur wijst Marc van Hilvoorde (plaatsvervangend CIO Rijk) op de spraakverwarring rond het begrip cloud. Hij kondigt óók aan dat de Rijksoverheid met een cloudvisie komt. De VS was zoals wel vaker wat eerder en liet al in 2011 een officiële definitie van cloudcomputing opstellen. We zijn inmiddels ver voorbij ‘other people’s computers’ (zoals Oracle-CEO Larry Ellison de cloud in eerste instantie definieerde). Daarbij is tegenwoordig niet de technologie, maar vooral het kennispeil van organisaties een van de belangrijkste uitdagingen, zo blijkt uit het jaarlijkse onderzoek van Right-Scale naar cloudgebruik. Kortgezegd hebben cloudtoepassingen de volgende vijf kenmerken: ze zijn direct te gebruiken, ze zijn onderdeel van een gedeelde pool van IT-voorzieningen, ze zijn direct verkrijgbaar zonder tussenkomst van een persoon of organisatie, ze zijn snel en onbeperkt schaalbaar en tot slot zijn ze transparant in gebruik en kosten. Een paar jaar later formuleerde de Europese Commissie een vergelijkbare definitie onder de naam Cloud Service Level Agreement Standardization Guidelines.

Daarnaast heeft de IT-industrie verschillende deployment modellen geïntroduceerd: private clouds, publieke clouds en hybride clouds. De naam ‘publieke cloud’ is enigszins misleidend. Bij cloud draait het om ‘online’, ‘tegen betaling’ en ‘voor iedereen verkrijgbaar’, waarbij de hardware wordt gedeeld met derden. Het gebruik wordt echter tussen klanten gescheiden en per klant gecontroleerd. ‘Private cloud’ is in feite geen ‘zuivere cloud’, omdat hierbij selfservice – een van de vijf elementen uit de definitie van cloud – vaak ontbreekt. Private cloud kun je dan ook beter beschouwen als een vorm van outsourcing van een eigen datacenter.

En om het nog ingewikkelder te maken zijn er zowel cloudaanbieders (met Amazon Web Services, Microsoft Azure en Google als marktleiders) als ook zogenaamde managed cloud service providers (mcsp’s). Dit zijn IT-dienstverleners die hun klanten toegang bieden tot een gigantisch aanbod aan cloudgebaseerde diensten en producten, gericht op zaken als integratie, geautomatiseerd beheer en innovatieve technologieën. Kortom, het geheel – cloudaanbieders, cloudoplossingen en -diensten, platformen – is te beschouwen als een snelgroeiend ecosysteem. Alleen Amazon al lanceert jaarlijks vele honderden nieuwe cloudgebaseerde diensten.

Tot zo ver de spraakverwarring, die in de praktijk leidt tot adepten en criticasters, en waarbij ‘risico’ vaak gebagatelliseerd respectievelijk overdreven wordt. Bij gebruik van cloud staat hardware, met daarop software en data, niet langer binnen de muren van je eigen organisatie. Daarom spelen bij cloud – samen met connectiviteit en data – geopolitieke aspecten een rol. De vraag ‘wie kunnen en mogen er bij’ wordt daarbij vaker gesteld dan de vraag ‘wie kan er niet bij’. Het is vermoedelijk te laat, maar dit zijn drie overwegingen voor de Rijksoverheid om mee te nemen bij het finaliseren(of interpreteren) van de nieuwe cloudvisie.

1. Wetgeving

De Amerikaanse Cloud-wet (Clarifying Lawful Overseas Use of Data) is er om af te rekenen met de (rechts)onzekerheid die voorheen bestond over de vraag of ‘gegevensvorderingen’ (bijvoorbeeld om bij strafzaken de toegang tot elektronisch bewijs te verkrijgen) volgens Amerikaans recht extraterritoriale werking hebben. Praktisch gezien gaat het dan vooral om gegevens opgeslagen in de cloud – iets waar de drie Amerikaanse bedrijven Google, Amazon en Microsoft marktleiders in zijn. De Europese GDPR stelt strikte voorwaarden aan het beschikbaar stellen van elektronische gegevens aan onbevoegde derden. Een verdrag tussen de EU en de VS kan zorgen voor afstemming, iets waarvoor minister Grapperhaus (JenV) al geruime tijd pleit; en zo’n verdrag is ook precies wat met de Cloud-act wordt beoogd.

De vraag is of overheidsinformatie in deze juridische slangenkuil thuishoort en wat er in crisissituaties met overheidsdata gebeurt. In de kern is dit een risicovraagstuk. De overheid is net als iedere andere organisatie een bedrijf dat voor de continuïteit afhankelijk is van tal van applicaties. In crisissituaties is niet alles even belangrijk of zelfs relevant.

De snelheid waarmee big tech zich ontwikkelt, is aanzienlijk hoger dan de topsnelheid die de overheids-ICT kan halen. Overheden die voor de diensten van Google, Amazon en Microsoft kiezen, moeten rekening houden met toekomstige ingrepen van de Amerikaanse antitrust-autoriteit, omdat wereldwijd de discussie over de omvang en machtspositie van big-techbedrijven aanzwelt. Aan de andere kant zijn de VS nog gewoon een handels- en NATO-partner; vanuit dat perspectief lijkt het gebruik van diensten van Amerikaanse aanbieders geen beperkingen op te leveren. Uiteraard is het wel van belang om na te denken over alle mogelijke consequenties van zo’n keuze. Zo zou je kunnen besluiten om encryptiesleutels in eigen beheer te houden, zodat data ook in geval van een onderschepping door de VS niet leesbaar zijn. Het alternatief voor big tech is dat de EU de oprichting van een Europese cloudprovider stimuleert, waarin de krachten van de grootste Europese technologiebedrijven gebundeld zijn.

2. Cloud: commodity of toch weer maatwerk?

IT-afdelingen, laat staan overheden, kopen cloudcapaciteit zelden rechtstreeks in bij bijvoorbeeld Amazon. Meestal zit er een partij tussen: denk aan brede IT-dienstverleners zoals Capgemini, CGI of gespecialiseerde spelers zoals Solvinity. Daarbij kunnen opdrachtgevers profiteren van domeinkennis en inkoopvoordeel op het gebied van cloudcapaciteit. Vaak bieden de IT-dienstverleners ook eigen portals, diensten, scripts en methodes voor het toepassen van clouddiensten. Dat soort toepassingen stellen de IT-dienstverleners in staat hun diensten te standaardiseren, maar het zorgt er ook voor dat de Amazon-cloud van Capgemini niet hetzelfde is als de Amazon-cloud van CGI. Dat werkt door tot in bijvoorbeeld databases en in zelf ontwikkelde maatwerkapplicaties. Het kunnen wisselen van cloud, van managed cloud serviceprovider of van allebei is dus niet te regelen door het ‘standaardiseren van data’ – er bestaat eenvoudigweg nog niet zoiets als cloudportabiliteit. Er is – helaas of gelukkig – nog maar weinig ervaring opgedaan met cloudmigraties; cloudproviders die in de problemen komen, confronteren hun klanten in ieder geval met enorme tijdsdruk, hoge kosten en problemen met toegang tot en het ophalen van data.

3. Security wordt onbehapbaar

Cloudgebruikers plaatsen zichzelf niet alleen in een afhankelijke positie omdat serviceproviders hun eigen sausje over de publieke cloud gieten. Zowel cloudleveranciers als serviceproviders zijn gezien hun businessmodel verplicht om de hoogste eisen te stellen aan informatiebeveiliging. Met 17 procent van alle bij de Autoriteit Persoonsgegevens gemelde datalekken staat de voorbeeldrol van de overheid onder druk. Veel organisaties kunnen de ontwikkelingen op het gebied van informatiebeveiliging inmiddels niet meer bijbenen. Een van de gevolgen is dat de dienstverlening van cloudleveranciers opschuift en dat steeds meer organisaties hun security uitbesteden aan dienstverleners. Door gebruik te maken van publieke clouddiensten kan de overheid een beveiligingsniveau realiseren wat vele malen hoger is dan in het eigen datacenter ooit mogelijk zou zijn. Dat lijkt een onomkeerbaar proces. Is dat wenselijk en wat zijn de consequenties van die ontwikkeling?

Keuzes

Net als bij bedrijven moet ook de overheid niet alleen efficiënter met middelen omgaan, maar ook goed kunnen uitleggen hoe de beveiliging van data geregeld is. Bart Veldhuis, cloudarchitect bij Weolcan, vindt dat overheden moeten kunnen uitleggen op welke gronden besloten is om data wel of niet in de publieke cloud onder te brengen. “Voor standaardfunctionaliteit, waarbij geen gevoelige data worden verwerkt – denk aan ongemerkt of niet-gerubriceerd – is het gebruik van SaaS een uitstekend alternatief voor het eigen datacenter. Een migratie naar de cloud wordt vaak aangegrepen om de ‘technology debt’ op te lossen én om toegang te krijgen tot technologie waarmee de overheidsorganisatie sneller en beter kan inspelen op nieuwe ontwikkelingen die leiden tot nieuw beleid. Met andere woorden, je zet cloudtechnologie daar in, waar het kan bijdragen aan verbetering en vernieuwing van overheidsprocessen. Want de overheid loopt sterk achter in het onderhoud en de vernieuwing van het applicatielandschap.”

Strategie is vooruitkijken

In 2011 had de Rijksoverheid 61 datacenters. Consolidatie naar vier of vijf is het doel; de overheid zet in op voordelen op het gebied van beveiliging, beheer en energieverbruik. In datzelfde jaar vond minister Piet Hein Donner van Binnenlandse Zaken “externe clouddiensten, zoals die van Amazon, Salesforce en Google (…) volgens de regering niet geschikt voor gebruik door de Rijksoverheid.” Bezwaren die werden aangedragen: privacyrisico’s en onvolwassen aanbieders. In 2014 was die teneur veranderd en kwam er belangstelling voor gebruikersgemak, hogere prestaties en hogere kwaliteit tegen lagere beheerkosten. Op dit moment lijkt de nadruk te liggen op beveiliging en wendbaarheid ten behoeve van vernieuwing.

Bij het opstellen van een strategie kijk je per definitie naar de toekomst. Daarom hoort in iedere beslissing over het inzetten van cloud ook het opstellen van uitvoerige exitplannen, die onderdeel worden van dienstverleningscontracten. Daarin moet niet alleen aandacht zijn voor migraties (aanpak, vereiste acties, kosten, doorlooptijd), maar ook voor intellectueel eigendom van voorzieningen rondom cloudgebruik zoals het IP op automatiseringsscripts. Een tweede toekomstaspect is dat de cloudstrategie voorsorteert op het faciliteren van cloud daar waar nu nog on premise software wordt gebruikt. Dat model is uiteindelijk eindig. Met voorsorteren voorkom je dat je er niet klaar voor bent als softwareleveranciers gaan aankondigen dat een volgende versie alleen als SaaS wordt geleverd. Anticiperen en regie nemen hoort bij een cloudstrategie, ook die van de overheid.

Dit artikel staat ook in iBestuur magazine 32

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren