Privacy & de cloud in de praktijk: veiligheid

Show Notes

Hoe combineer je werken met én in de cloud met de bescherming van persoonsgegevens en de beveiliging van informatie? In de eerste aflevering van de podcastserie ‘Privacy & de cloud in de praktijk’ hebben we het met Bas de Natris (Coördinerend Adviseur Cloud Security, Directie CIO Rijk) onder andere over risicoanalyses, ketenverantwoordelijkheid en de noodzaak van twee exitplannen.

De podcastserie is mede mogelijk gemaakt door CIO Rijk. 

Transcript

Bas de Natris: Ik heb niet het idee dat er voortdurend allerlei Amerikaanse opsporings- en inlichtingendiensten in onze data zitten, maar het kan wél. Daar moeten we rekening mee houden.

Walter van Wijk: Dit is een aflevering in de podcastserie van CIP, met als titel 'Privacy & de cloud in de praktijk'. Hoe kun je veilig werken met en in de cloud zonder dat gegevensbescherming in het geding komt?

Bas de Natris: Waar je dit soort publieke clouddiensten van niet-Europese bedrijven inzet, moet je goed kijken wat het risico is.

Walter van Wijk: Mijn naam is Walter van Wijk. Ik ben van het CIP. Te gast dit keer is Bas de Natris, sinds april senior adviseur Cloud Security bij het ministerie van Binnenlandse Zaken en Koninkrijksrelaties. We hebben het vandaag over veiligheid in de cloud. Bas, misschien kan je toelichten hoe de cloud werkt.

Bas de Natris: Sommige mensen zeggen, "the cloud is just somebody else's computer". Dat is flauw, er zijn meer dingen die op een computer van een ander draaien. De cloud is een verzameling IT-diensten die ergens anders draait. In veel gevallen ook niet eens in Nederland. Daarbij kan je diensten afnemen op een makkelijke, volledig geautomatiseerde manier. Je betaalt naar gebruik. Wil je het gebruiken, dan pak je het. Stop je ermee, dan stopt ook de factuur. De dienstverlening is helemaal gestandaardiseerd en op afroep beschikbaar. Dat maakt het makkelijk. De cloud begon ooit met alleen simpele diensten. Het is inmiddels voor een developer de grootste bouwmarkt of gereedschapswinkel die je je kan voorstellen.

Walter van Wijk: Je praat alsof je een product presenteert. Je bent ook niet voor niets afkomstig uit de private sector vóór je bij BZK ging werken. Dat herken ik, maar ik ga toch een bochtje maken naar de veilige en verantwoorde kant. De redacteur van deze podcast heeft als slogan voorbereid dat de veiligste manier van werken met de cloud is om niet te werken in de cloud. Gewoon op je eigen computer of server, maar nooit verbonden met het touwtje de wolken in. Heeft hij een punt?

Bas de Natris: Daar heeft hij zeker een punt, maar het antwoord is genuanceerder. Als je een eigen computer hebt die in een ruimte staat waarin niemand anders komt en die computer is niet verbonden met het internet of een netwerk, dan wordt het moeilijk om data die in die computer staan of verwerkt te hacken. Dan moet je fysiek inbreken. Je kan een alarmsysteem of een waakhond ernaast leggen. Dat is niet de praktijk. Ook eigen systemen zijn vaak in grote mate verbonden met netwerken, het internet, omdat we dat nu eenmaal gebruiken. Dan wordt het antwoord genuanceerder. Is het veiliger in de cloud bij een van de grote hyperscalers of een andere cloudleverancier? Dat kan.

Bas de Natris: Je kan ongelooflijk veilig werken in de cloud. Misschien veiliger dan op je eigen systeem, maar dat hangt ook af van wat je zelf aan skills in huis hebt. Heb je de mensen om een eigen datacenter, eigen servers, eigen software, heel goed te beveiligen? Dan kan je daar een heel eind mee komen. Als je dat niet hebt, dan kan de publieke cloud een betere optie zijn, maar ook daar moet je heel veel doen aan security. Het argument dat je de kennis en kunde niet hebt om het veilig te doen en dus naar de publieke cloud gaat, vind ik gevaarlijk. Ook daar ben je niet automatisch veilig. Je moet er veel zelf voor ontwerpen en inrichten en monitoren en managen.

Walter van Wijk: Het klinkt alsof er heel veel nuances te benoemen zijn. Je doet een verrassende uitspraak dat het soms veiliger is om in de cloud te werken. Laten we een niveautje dieper gaan. In welke situatie is het vanuit veiligheidssperspectief een goede oplossing of goed idee om met de cloud te werken en wanneer juist niet?

Bas de Natris: Een voorbeeld is een toepassing die mogelijk kwetsbaar is voor die DDoS-aanvallen. Op het moment dat er een DDoS-aanval op mij afkomt en ik op een van de grote cloudproviders draai, heb ik een paar voordelen. Er zit daar een team dat gaat bijstaan. Je kan eventueel het antwoord op de DDoS-aanval inzetten door een scale-out te doen naar duizenden instances. Dat kost ook wel wat geld.

Walter van Wijk: Om wat te doen? Sorry?

Bas de Natris: Uit te schalen. Je gaat meer computerresources inzetten, zodat je die aanval, die overload aan transacties kan verwerken. Die cloudprovider kan ook een hele wasstraat voor je inrichten, waardoor allerlei aanvalstechnieken überhaupt niet meer bij je server komen. Dat kan je in theorie ook allemaal zelf doen, maar dan moet je wel die infrastructuur, mankracht en software hebben.

Walter van Wijk: Het klinkt alsof je als organisatie een soort risicoanalyse moet doen op wat je kan, wat je moet en hoe haalbaar en realiseerbaar dat is.

Bas de Natris: Ja.

Walter van Wijk: Wie bepaalt dat uiteindelijk? Wie moet zo'n risicoanalyse maken, beoordelen en de klap erop geven in een organisatie?

Bas de Natris: Dan heb je het over verschillende mensen. De risicoanalyse maak je over het algemeen met iemand die een behoorlijke technische achtergrond heeft. Veel risico's komen voort uit of ga je oplossen met behulp van techniek. De risicoanalyse begint bij het belang van de data en van het proces dat ondersteund wordt door die toepassing. Anders kan je geen risicoanalyse maken. Als je niet weet of hoe belangrijk iets is kan je die risicoanalyse niet goed neerzetten. Je begint bij het proces, het belang van het proces en van de data die erin zitten. Dan ga je technisch kijken hoe je dat moet beschermen.

Bas de Natris: Het besluit om het op de publieke cloud te draaien kan je gebruiken om een aantal risico's dicht te zetten. Gelijktijdig creëert het een aantal nieuwe risico's, die je niet zou hebben als je in je eigen datacenter draait. Er komt ineens een partij bij zoals Microsoft, Amazon of Google, die een enorme impact heeft. Enerzijds is die impact positief, want ze brengen heel veel kennis, kunde, ervaring en beveiliging in die er al is.

Walter van Wijk: En schaalgrootte.

Bas de Natris: En schaalgrootte. Aan de andere kant is het wel iemand die ook met zijn tengels aan jouw spullen kan gaan zitten. Ze zullen in alle toonaarden ontkennen dat ze dat doen, maar ze kunnen het wel. Daarmee is het een risico dat je ineens moet gaan meenemen.

Walter van Wijk: Jij hebt ook aan de leverancierskant gezeten. Je hebt in de praktijk ervaren wat voor soort functionarissen daarbij betrokken zijn. Heb je het dan over een CIO, een CISO, een functionaris gegevensbescherming of een privacy officer? Daar hebben we het nog niet over gehad.

Bas de Natris: Ja. Die heb je allemaal nodig. Je hebt die privacy officer onder andere nodig om te helpen inschatten wat voor persoonsgegevens we hebben, wat het risico is als die bloot zouden komen of vrijgegeven zouden worden aan een andere partij, op straat komen te liggen of onderschept worden. Je hebt een CIO nodig om te kijken hoe dit past in de IT-strategie en het risicobeleid. Je hebt de owner, de eigenaar van de data, van het proces nodig. Die kan aangeven dat als dit fout gaat, hebben we een reputatierisico. Als het proces niet meer werkt, hebben we enorme schade of juist niet. Je hebt al die partijen nodig. Je hebt een FG nodig om te kijken of we nog voldoen aan de wet of doen we iets dat er te dicht langsgaat?

Bas de Natris: Je hebt al die partijen nodig om te komen tot een afgewogen oordeel. Je hoeft niet alle aspecten iedere keer apart te doen. Veel zaken doe je één keer en heel goed, zols het inrichten van de cloud. Dat is je baseline en daar kan je op bouwen. Komt er een toepassing die meer of hogere eisen stelt op beschikbaarheid, integriteit of vertrouwelijkheid, dan moet je weer in de diepte duiken. Zit het in dezelfde orde, dan hoef je niet alle analyses elke keer opnieuw te doen. Een goede risicoanalyse is een serieus stukje werk. Het aftekenen ligt wat mij betreft uiteindelijk in een commerciële organisatie op directieniveau. In de overheid kom je eerder bij het bestuur.

Bas de Natris: Als er risico's zijn, een groot deel daarvan kunnen we mitigeren, maar er blijven er ook een paar open. Dat is bijna altijd het geval. Dan vind ik dat geen acceptatie die op IT-managementniveau genomen moet worden.

Walter van Wijk: Dat is strategisch en de uiteindelijke eindverantwoordelijkheid ligt bij de bestuurder in kwestie.

Bas de Natris: Ja. Je moet je altijd afvragen wie er in de overheidssferen naar de Tweede Kamer mag als het fout gaat, of wie er in het achtuurjournaal mag opdraven. Ik bedoel niet de woordvoerder. Dat is degene die moet accepteren dat op dat moment zijn reputatie wellicht eraan gaat.

Walter van Wijk: Om er een oneliner van te maken, privacy en informatiebeveiliging in de cloud blijft chefsache.

Bas de Natris: Ja. Dat is absoluut bestuursniveau.

Walter van Wijk: Dit gaat over het willen delen van gegevens, van data, want waarom zou je anders in de cloud verbonden zijn? Je wil dingen makkelijker maken voor partijen om je heen of voor medewerkers binnen je organisatie of een combinatie daarvan. In ieder geval niet alleen op je eigen eilandje zitten met je eigen privé glasvezelverbinding. Dat is velen niet gegeven. Je wil dingen delen. Stel dat ergens dat licht op groen is gegaan, dat impact assessment, die risicoanalyse is doorlopen. Als je 'ja' zegt en je gaat ermee beginnen, wat voor soort checklist heb je dan? Heb je dan voldoende aan een inkoopafdeling die in veel gevallen maar beperkt ter zake kundig is op dit technische onderwerp? Hoe is jouw ervaring daarmee? Hoe is jouw visie daarop?

Bas de Natris: Je hebt in principe drie stromen die parallel lopen. Het ene is het contractuele/juridische deel, een technisch deel en een operationeel deel. Aan de contractkant ga je merken dat het met dit soort cloudproviders slecht onderhandelen is. Ze leveren standaard dienstverlening en willen over het algemeen ook een standaard contract.

Walter van Wijk: Tenzij je dat, zoals SLM Rijk, af en toe voor de hele Nederlandse overheid kan doen, waar Europa in meekijkt. Dan heb je in één keer een moment om dat wel te doen.

Bas de Natris: Ja, maar dan moet je groot zijn.

Walter van Wijk: Dat zijn de meesten niet.

Bas de Natris: De meesten zijn dat niet. SLM Rijk is dat wel. Daar kan je op meeliften. Dat is fantastisch, zij hebben concrete verbeteringen ten opzichte van een standaard contract. Dan ga je de techniek in. Dan heb je mensen nodig die veel verstand hebben van security, maar ook van cloud. Het komt op details aan. Je kan op de cloud heel veilig werken, want het biedt heel veel tools, middelen om je applicaties, je data goed te encrypten, te isoleren, de toegang goed te beveiligen, alles te loggen, er allerlei signalen op te zetten. Als dit of dat gebeurt, wil ik een waarschuwing hebben of blokkeer maar.

Walter van Wijk: Het klinkt allemaal heel technisch.

Bas de Natris: Het is heel technisch. Je moet dat heel goed ontwerpen en bijhouden. We noemen dat vaak ook een landing zone die je bouwt. Zo'n landing zone is na één, anderhalf, twee jaar verouderd. Dan moet je hem weer upgraden, gebruikmaken van de nieuwste inzichten, je verweren tegen de nieuwste bedreigingen.

Walter van Wijk: Je kijkt niet alleen maar bij het kiezen van de leverancier naar hoe je het gaat inrichten. Je moet het ook bijhouden. Het leveranciersmanagement door de hele looptijd van een contract heen, de samenwerking heen, is heel belangrijk.

Bas de Natris: Ja. Vervolgens krijg je het operationele stuk. Wie kan er met zijn tengels bij? Wie moet er met zijn tengels bij? Dat wil je zoveel mogelijk inperken, waarbij mensen een rol krijgen. We praten vaak over role-based access, waarin je precies die rol toesnijdt wat iemand mag of moet kunnen doen, maar niet meer. Wat zie je dan? Voor allerlei noodsituaties gaan we een break glass proces inzetten.

Walter van Wijk: Een wat?

Bas de Natris: Een break glass, alsof je het ruitje van de brandmelder indrukt. Dan krijgt iemand ineens meer rechten, omdat hij iets urgent moet kunnen oplossen. Dat is fantastisch en goed om te hebben. Je zal maar gehackt worden en niemand van je aanwezige medewerkers heeft de bevoegdheid om er iets aan te doen. Dat is prachtig om te hebben. Soms zie ik dat zo'n break glass procedure drie keer per maand wordt ingezet. Dan is er iets niet goed. Dan heb je je rollen niet goed gedefinieerd. Een break glass procedure moet een noodsituatie zijn.

Walter van Wijk: Je noemt een aantal grote leveranciers. Is het zo dat ze heel erg van elkaar verschillen op dit soort terreinen, zowel qua informatiebeveiligingskant en securitykant als privacybeschermingskant?

Bas de Natris: Ik heb bij een van die grote drie gewerkt. Toen kon ik een schitterend verhaal vertellen waarom die ene veel beter was dan die andere twee. Als je er nu van een afstandje naar kijkt, hebben ze allemaal hun specialiteiten, hun smaken, maar grosso modo maakt het niet heel veel uit.

Walter van Wijk: Je verrast mij een beetje met de mogelijkheid om alternatieven serieus te bekijken. Zijn er ook organisaties die serieus een alternatief hebben gekozen en daarmee werken?

Bas de Natris: Ja. Een aardig voorbeeld vind ik kantoorautomatisering, dat is een specifieke cloudtoepassing. De typische tekstverwerking, spreadsheets, presentatieprogramma's, e-mail. We gebruiken allemaal dezelfde software van dezelfde grote Amerikaanse partij. Heel veel mensen denken dat het niet anders kan. Dat is de enige die er nog over is. Er is misschien nog een tweede, ook een Amerikaan. SURF, de club van het hoger onderwijs in Nederland, is de afgelopen maanden druk bezig geweest met het implementeren van een oplossing uit Duitsland. Die heet Nextcloud. Dat is verwarrend, want het is software die je bij Nextcloud haalt en die door hen ondersteund wordt.

Bas de Natris: Die implementeer je zelf op je eigen systemen, of je zoekt er een hostingpartij bij. Zij bieden samenwerken in documenten, e-mail, word processing, tekstverwerking, alles wat je nodig hebt om documenten te maken, samen te werken in documenten, ze op te slaan, ze te zoeken. Alles zit daarin. Is het helemaal gelijkwaardig aan Microsoft? Misschien niet. Het is misschien een aantal jaren terug in de tijd, maar het is een uitstekend systeem en de praktijk wijst ook aan - kijk naar SURF - dat het werkt.

Walter van Wijk: Binnenkort is het toegankelijk voor alle universiteiten, hbo's en andere partijen die bij SURF zijn aangesloten.

Bas de Natris: Ja. Ze hebben het zelf gedaan, getest. Het is geen pilot, maar voor eigen gebruik. De ervaringen zijn voldoende goed dat ze twee of drie weken geleden hebben aangekondigd dat iedereen uit het hoger onderwijs die dit ook wil mag komen. Dan gaan we je helpen die neer te zetten.

Walter van Wijk: Je zit nu bij de overheid en vertegenwoordigt ook het overheidsbelang hierin. Hoe groot zijn de zorgen, gezien het feit dat het vaak buitenlandse aanbieders zijn? Hoe terecht zijn die zorgen?

Bas de Natris: Ik vind die zorgen terecht. We hebben een veranderende geopolitieke situatie. De relatie tussen Europa, tussen Nederland en de Verenigde Staten is veranderd. Ik heb niet het idee dat er voortdurend allerlei Amerikaanse opsporings- en inlichtingendiensten in onze data zitten. Maar het kan wel en daar moeten we rekening mee houden. Waar je dit soort publieke clouddiensten van niet-Europese bedrijven inzet moet je goed moet kijken wat het risico is, wat je daarvan kan mitigeren en waar de mogelijkheid om zaken te mitigeren ophoudt. Er zitten ook grenzen aan wat je kan doen. Dan kom je op het punt dat je moet overwegen of je dat een acceptabel risico vindt. Ook al is het maar heel klein. Of breng je het terug inhouse, in een van de eigen overheidsdatacenters of zoek je een Nederlandse of een Europese leverancier?

Walter van Wijk: Ga daar eens op door. Hoe haalbaar en realistisch zijn die andere leveranciers op dit moment?

Bas de Natris: Ook daar is er nuance. Wat hyperscalers bieden is geen rocketscience. Het is technologisch ongelooflijk knap. Niet alleen wat ze allemaal gebouwd hebben, maar ook de schaal waarop ze dit 24/7, 365 dagen per jaar in de lucht weten te houden, is ongelooflijk. Dat gaan we niet even nadoen.

Walter van Wijk: Dat vraagt ook een investering in capaciteit. Is die er elders al?

Bas de Natris: Voor een deel wel en voor een deel hoeft dat niet. Een cloudleverancier biedt misschien honderden services aan, maar waarschijnlijk zijn er maar 10 of 20 voor jou van belang. Heel veel van die diensten zijn ook ergens anders te kopen. Je zal het wel meer bij elkaar moeten brengen. Het betekent vaak meer werk in het zoeken naar een leverancier. Er ligt nog geen panklaar uitonderhandeld contract door SLM Rijk. Het is in de voorbereiding, het selecteren van de juiste leverancier, een contract afsluiten ermee, al meer werk. Dat is jammer. Dat moeten we oplossen. Maar voor veel zaken, zoals het draaien van een aantal containers zijn er prima leveranciers die dat uitstekend voor je kunnen doen.

Walter van Wijk: Dat is hoopvol nieuws. We hebben het over allerlei verantwoordelijkheden ten aanzien van veiligheid en ook ten aanzien van gegevensbescherming. Van de leverancier wordt verwacht om allerlei dingen goed te regelen. Je blijft zelf als gebruikende inkoper in de organisatie zelf verantwoordelijk voor datgene wat je doet en met wie je dat doet. Hoe zie je dat terug in de praktijk en wordt dat serieus genoeg genomen door de gebruikers?

Bas de Natris: Bij een deel van de organisaties die ik spreek in het kader van mijn werk absoluut. Zij hebben een goed zicht op wat ze doen, een goed begrip van wat de meeste providers het shared responsibility model noemen. Shared klinkt leuk, maar eigenlijk zegt het model wat de lagen zijn waarbij de cloudprovider verantwoordelijk is voor de veiligheid. Die heeft dan ook de exclusieve verantwoordelijkheid voor de veiligheid. Je kan daar zelf niets aan doen. Je kan niet zeggen dat je extra security wil rond je datacenter, want dat doen ze zelf. Ze gaan je niet eens vertellen waar het datacenter is. Ze zeggen het ongeveer. Het ligt in Frankfurt. Ga maar zoeken.

Bas de Natris: Er is een stuk dat je zelf moet doen. Wat dat laatste betreft, merk ik bij sommige andere gebruikers wel eens: ik draai op het platform van leverancier A, B of C. Die geeft miljarden uit aan security. Ik ben daar veilig. Ja, die onderlaag is best veilig. Aan de andere kant moeten ze miljarden uitgeven, want die drie grote hyperscalers zijn de drie meest aantrekkelijke targets voor elke hacker die op deze planeet rondloopt. Als je daarin weet in te breken, heb je ineens potentieel toegang tot de meest leuke geheimen die je maar kan vinden, de meest waardevolle geheimen, de meest interessante geheimen.

Walter van Wijk: Of je bent disruptief op grote schaal, wat ook interessant kan zijn.

Bas de Natris: Dat is hartstikke leuk. Als je dat weet plat te leggen, sta je in hackerskringen hoog aangeschreven. Zij moeten veel doen, maar je moet zelf ook veel doen. Het draaien op de cloud betekent dat je die cloud security goed moet inrichten. Ook dat is niet altijd even makkelijk. Van de goede cloud engineers, goede cloud architecten met echt verstand van security en hoe je dat in de praktijk goed neerzet, zijn er geen dertien in een dozijn.

Walter van Wijk: De mythe 'ik gooi het over de schutting en het is geregeld en wij zijn een zorg kwijt', is maar erg beperkt waar.

Bas de Natris: Die is beperkt waar. Die is waar voor die onderlaag, het datacenter, de power, de netwerken. De fysieke security is perfect geregeld. Een heleboel andere zaken zijn goed geregeld. Als je het gebruikt om computerservices af te nemen, moet ik sommige mensen daar ook eens aan herinneren. Het operating system is jouw verantwoordelijkheid. Dat neem ik toch af? Ja, dat is een kale Linux-versie. Je kan meestal wel kiezen uit meerdere smaken, maar als je die wil hardenen, zorgen dat er allerlei securityrisico's worden uitgehaald, dat je ook alleen maar de componenten gebruikt die je nodig hebt, moet je dat zelf doen. Ik merk dat dat nog wel eens wordt vergeten.

Walter van Wijk: Veel details waar je concreet op detailniveau afspraken over moet maken. Waar ligt welke verantwoordelijkheid? Hoe bewaken we die? Hoe meten we die en hoe beoordelen we die?

Bas de Natris: Ja.

Walter van Wijk: Die hyperscalers die veel gebruikt worden zijn interessant voor hackers. Zij moeten veel onder de oppervlakte houden vanuit veiligheidsredenen. Hoe kan je als gebruiker beoordelen of de leveranciers daadwerkelijk hun beloftes nakomen? Of zelfs preventief dingen doen die ze zouden moeten doen?

Bas de Natris: Dat is een lastige. Ook daar hebben we als Rijk een klein voordeel dat SLM ook auditrechten onderhandeld heeft. Een normale gebruiker van hyperscalers mag niet komen kijken of het goed is. Het Rijk mag dat wel. Er zijn nog andere sectoren. De Europese Centrale Bank heeft afgedwongen dat ook financiële instellingen dat mogen. De rest van Nederland niet. Om enige zekerheid te hebben, laten de hyperscalers één à twee keer per jaar een auditrapport opstellen door een gerenommeerde auditor, meestal een van de grote vier. Dat rapport is voor geïnteresseerden, voor klanten te krijgen.

Walter van Wijk: Op afroep beschikbaar en daar moet je dan op leunen.

Bas de Natris: Daar moet je op leunen. Dat is een behoorlijk dik rapport, want dat beschrijft van alles. Hoe het werkt, hoe de security geregeld is, hoe de insurance geregeld is.

Walter van Wijk: Is dat een serieuze oplossing of is dat meer een façade?

Bas de Natris: Ja en nee. Dat is iedere keer mijn antwoord. Enerzijds zou ik willen dat we het meer serieus namen. Daar zit een reden achter. Het is over het algemeen een goednieuwsshow. Ik lees ze zo nu en dan. Dat is heel saai, want het rapport van zes maanden geleden is ongeveer hetzelfde als het rapport van nu en dat is weer gelijk aan het rapport van een jaar geleden en ga zo maar door. Er staat nooit in dat de auditor constateert dat iets niet goed is en zijn advies moest uitbrengen om dat te verbeteren. Enerzijds geeft dat ook het vertrouwen. Ze hebben het echt zo goed geregeld dat die auditor - laten we er maar van uitgaan dat die dat serieus aanpakt - niets kan vinden. Waarom vind ik dat je het toch moet lezen? Om twee redenen. Eén: er zal maar een keer wel wat erin staan.

Bas de Natris: Het is vervelend als je daarop gewezen moet worden door iemand anders die het gezien heeft. Het is jouw verantwoordelijkheid is om te checken of jullie leverancier nog voldoet aan de eisen die jullie eraan gesteld hebben en de kwaliteit die jullie ervan mogen verwachten. Ten tweede, cloudleveranciers komen met grote snelheid met allerlei nieuwe diensten. Op dit moment is het AI, maar op allerlei gebieden komen er in hoge vaart nieuwe diensten uit. Waarvan soms de eigen developers zeggen dat het prachtig is en het een probleem oplost. Dit moesten we zelf bouwen en onderhouden en nu is het out of the box beschikbaar. Met een klikje van een muis of met een call op een API kan ik erbij, kan ik het gebruiken. Het lost veel werk op. Fantastisch.

Bas de Natris: Het is schaalbaar. Ik hoef het niet meer te managen. Allemaal prachtig. Vaak wordt die service wordt uitgebracht, maar als je in dat auditrapport gaat kijken staat hij er vaak nog niet in. Meestal is dat een SOC 2-rapport of een ISAE 3402-rapport. Je moet op de blauwe ogen van de leverancier afgaan, dat het goed gebouwd is. Het is nog niet bekeken door die externe auditor. Hij heeft geen verklaring erover afgegeven. Mijn mening is dat je het op dat moment niet voor serieuze toepassingen moet inzetten. Je hebt geen third party-verklaring dat het deugt. Het zal best deugen, maar je weet het niet. Als er een developer aankomt die zegt dat wat ze nu hebben geleverd fantastisch is en we dat gaan gebruiken, gaan we eerst het laatste rapport downloaden.

Bas de Natris: Het staat er nog niet in. Laten we daar maar even op wachten. Geeft het je een harde zekerheid? Nee, als je die controls van die auditors leest, kijken ze soms of de tekst die we net geüpload hebben geëncrypt is. Ja? Niet leesbaar? Prima. Bij andere toepassingen is de uiteindelijke control dat ze aan de betrokken lead developer vragen of het zo geïmplementeerd is als de documentatie zegt. Dat geeft je maar een beperkte zekerheid, maar het is de enige zekerheid die je kan halen op dit moment.

Walter van Wijk: Jij noemt een heleboel nuances. Dat geeft mij de indruk dat quick and dirty in dit geval quick and risky is.

Bas de Natris: Ja.

Walter van Wijk: Je moet tijd en moeite erin stoppen. Ik heb nog een paar vragen in dit verhaal, Bas. De eerste is, als je zo'n keuze gaat maken voor een leverancier, gaat het vaak over het willen delen van data. Dan heb je vaak te maken met ketenpartners, zowel in de publieke als in de private sferen. In welke mate neem je dat soort partners mee bij het maken van je keus?

Bas de Natris: Dat hangt af van hoe innig je samenwerkt. Op het moment dat je partners op andere platformen zitten dan jouw voorkeur, maak je het weer complexer. Complexer betekent duur en meer risico's. Goed afstemmen. Zitten we allebei op dezelfde hyperscaler? Dan hoeven we niet via het internet met elkaar te communiceren, maar kunnen we een rechtstreeks lijntje leggen. Dan maak je zaken simpeler, eenvoudiger, meer secure, minder kosten. Die ketenpartners wil je er wel in betrekken, zij het dat je door hun keuzes niet je eigen security standaarden moet laten zakken. Zij willen nu eenmaal daar zitten, dus ik ook, vind ik een slecht argument.

Walter van Wijk: Maar een lichte inventarisatie kan zeker geen kwaad en doet het proces goed.

Bas de Natris: Ja.

Walter van Wijk: Een hele andere. Privacy enhancing technologies. Ik maak toch nog even het bruggetje naar privacy. Je had het net over encryptie. Een van de vormen van PET's is het encrypten van data. Wat voor kansen voor toepassingen van dit soort technologieën zie jij in de cloud?

Bas de Natris: De cloud maakt het heel makkelijk om zaken te encrypten. Er zijn meerdere diensten beschikbaar. Elke cloudprovider heeft dat wel. Daardoor kan je makkelijk data encrypten. Ons advies bij het encrypten is, ga je niet afvragen hoe gevoelig data zijn, die afweging wil je niet verkeerd maken. Encrypt ze. De extra kosten en handling zijn minimaal. Doe het. De meest makkelijke, gebruikersvriendelijke manieren van encrypten, zijn altijd encryptieoplossingen die de cloudprovider aanbiedt, waarbij de cloudprovider alle complexiteit voor je managet. Dat is hartstikke mooi, dat doen ze totaal geautomatiseerd, op enorme schaal, met mensen die er ook veel verstand van hebben. Ht betekent wel dat die cloudprovider nu toegang heeft tot de sleutel.

Bas de Natris: Sterker nog, afhankelijk van de oplossing is het zijn sleutel of soms is het een sleutel die exclusief voor jou wordt gebruikt, maar hij wordt nog steeds beheerd door de cloudprovider.

Walter van Wijk: Je geeft de sleutel uit handen of niet.

Bas de Natris: Ja, en dan moet je je afvragen of je dat stukje extra risico neemt. Soms is het antwoord ja, want ik ben niet goed in staat om dat zelf te managen. Bij data die kritisch zijn, moet je investeren in het zelf beheren van die sleutel. Daar zijn oplossingen voor. Soms heb je ook derden partijen die dat kunnen doen, maar je mag best vraagtekens zetten bij de leverancier van je cloudplatform ook de beheerder van je sleutels laten zijn. Daar is alleen een genuanceerd antwoord op mogelijk.

Walter van Wijk: Hoe gevoelig de persoonsgegevens zijn of hoe vertrouwelijk de data wellicht zijn, is bepalend voor of je die tijd en moeite en financiën beschikbaar stelt om het op een andere manier te gaan doen.

Bas de Natris: Ja.

Walter van Wijk: Ter afronding. Je werkt fijn in de cloud, maar in de loop van de tijd merk je dat het niet (meer) veilig is. Dat kan technologische redenen hebben, te maken hebben met de continuïteit van je leverancier of met de regelgeving en de cultuur die in Amerika of op welke andere plek dan ook aan het veranderen is. Moet je altijd een exitplan hebben en hoe werkt dat dan?

Bas de Natris: Ja. Je moet altijd een exitplan hebben, omdat er altijd een reden kan zijn om te vertrekken. Ik vind de leverancier niet meer leuk, risico, alle voorbeelden die jij net ook al noemde. Je wil niet pas op dat moment gaan nadenken hoe dat moet. Dat wil je vooraf. Voordat je gaat, heb je al nagedacht over hoe je weer wegkomt. Dat plan hoeft niet tot een heel erg diep detailniveau, maar de grote lijnen moeten er staan. Waar ga ik dan heen? Hoe ga ik dat doen? Wie gaat wat doen? Wat we organisaties ook proberen mee te geven is dat ze twee exitplannen moeten hebben. Dat gaan we ook proberen in het beleid te krijgen. Eén exitplan is voor de geplande exit, waarbij je op een dag besluit weg te gaan, om wat voor reden dan ook, maar daar ga ik maanden over doen. Ik ga ergens een andere omgeving opbouwen, een nieuwe leverancier zoeken, noem maar op. Dan gaan we de data migreren en goed testen.

Walter van Wijk: Het andere is een crisisplan.

Bas de Natris: Het andere is een crisisplan. Ik wil hier heel snel weg. Misschien is het op dat moment niet meer beschikbaar. Dat kan zijn, want ook cloudproviders kunnen gehackt worden. De cloudprovider kan me nu niet helpen en ik moet iets. Dan wil je niet met lege handen staan, maar een crisisplan hebben. Dat betekent ook dat je je data ergens buiten die cloud beschikbaar moet hebben, want als je er niet meer bij kan, kan je er niet meer bij.

Walter van Wijk: Helder. Ter afronding één laatste vraag. Stel je voor dat ik bestuurder bij een overheidsorganisatie of een CIO of een CISO ben. Wat is jouw belangrijkste tip, jouw belangrijkste advies als ik zou overwegen om iets met de cloud te gaan doen?

Bas de Natris: Begin te kijken naar wie je intern, extern daarbij kan helpen. Het is een prachtig technologisch hoogstandje, waar veel dingen kunnen, maar dat brengt ook veel risico's met zich mee. Als je het verkeerd doet ook veel kosten. Ik heb voldoende partijen gezien. Je moet voldoende kennis en kunde en ervaring in huis hebben om dat weloverwogen op een goede manier te doen. Als je die kennis en kunde en ervaring niet hebt en er ook niet makkelijk over kan beschikken, is het een slecht idee.

Walter van Wijk: Kortom, de cloud biedt veel, maar is niet zo simpel als één wolkje in de lucht. Er zitten veel complexe factoren in.

Bas de Natris: Ja.

Walter van Wijk: Dank je wel, Bas de Natris, voor jouw inzichten en het delen ervan.

Bas de Natris: Graag gedaan. Dank je wel.

Walter van Wijk: Deze podcast is geproduceerd door het Centrum Informatiebeveiliging en Privacybescherming, het CIP. Het werd mede mogelijk gemaakt door het privacyteam van CIO Rijk. Luister ook de andere afleveringen in deze miniserie. Meer informatie kun je vinden op onze website cip-overheid.nl. Tot de volgende keer.