Bij de overstap naar de cloud is het voor overheidsinstellingen cruciaal om potentiële veiligheidsrisico's zorgvuldig in te schatten. Principal Consultant Edwin Vos speelt hierin een belangrijke rol, door voor de Rijksoverheid de veiligheidsaspecten rondom implementaties van de cloud te analyseren.
Edwin werkt al sinds 1994 bij Nivo en was een van de eerste medewerkers. Hij hield zich bezig met tal van projecten voor onder meer banken en ministeries. Sinds 2003 voert hij vooral adviesopdrachten uit bij enterprises en verschillende ministeries en is hij betrokken bij cloudontwikkelingen voor de Rijksoverheid.
Terughoudend met public cloud
De afgelopen jaren zijn steeds meer bedrijven en organisaties gebruik gaan maken van public clouddiensten. Daarbij staan de infrastructuur en applicaties niet meer in een eigen datacenter, maar zijn ze ondergebracht bij een commerciële cloudprovider. Dat gold alleen niet voor overheidsinstellingen: zij bleven werken met vier overheidsdatacenters waarin de IT-infrastructuur van de ministeries werd ondergebracht. ‘Bij de overheid heb je natuurlijk te maken met gevoelige informatie’, legt Edwin uit. ‘De gedachte is lang geweest dat de cloud minder controle bood dan een eigen fysieke omgeving. Daarom bleef de overheid terughoudend. Tot 2022.’
Voordelen van de cloud
Die verandering kwam door een Kamerbrief van staatssecretaris Alexandra van Huffelen. De strekking daarvan was dat de overheid meer gebruik kan maken van de public cloud, als het maar op een veilige manier gebeurt. Vervolgens werd het voornemen uitgesproken om daar richtlijnen en maatregelen voor te definiëren. Dat ook de Rijksoverheid de public cloud omarmt, is volgens Edwin niet zo vreemd. ‘Met clouddiensten betaal je voor de services die je gebruikt. Je hebt niet meer zo'n heel landschap en mensen nodig om de IT-infrastructuur te beheren.’
Maar die overstap moet dus wel met beleid gebeuren. Zo staat er in het Rijkscloudbeleid dat een risicoafweging en een risicoanalyse gedaan moeten worden voordat een cloudoplossing kan worden gekozen. Aan Edwin de vraag om een methodiek te kiezen voor de risicoanalyse en de eerste risicoanalyses te begeleiden.
Risico's afwegen en analyseren
‘Bij een risicoafweging bepaalt een organisatie of ze de cloud in wil met een specifieke applicatie en welke voordelen dat oplevert. Daarna komt de vraag of het überhaupt mag’, legt Edwin uit. Zo mag staatsgeheime informatie bijvoorbeeld niet de cloud in. ‘Daarna volgt de risicoanalyse. Daarbij ga je bekijken welke risico's je loopt en welke dreigingen er zijn als je naar de cloud gaat.’ Het dreigingsvlak kan bestaan uit hackers, criminele organisaties en statelijke actoren, maar ook uit interne dreigingen. ‘De overheid heeft een overzicht van standaardmaatregelen die je moet nemen voor bepaalde informatie. Die kun je gebruiken, maar bij cloudoplossingen is een additionele risicoanalyse nodig om te bekijken welke extra maatregelen je moet nemen.’
Zelf verantwoordelijk voor veiligheid
Voordat je een risicoanalyse uit kunt voeren, moet een antwoord komen op vragen als: welke gegevens gebruiken we, welke gegevens worden in de cloud gezet en welke persoonlijke en gevoelige gegevens worden verwerkt. Edwin: ‘Als afnemer ben je zelf verantwoordelijk voor de informatie die je ergens neerzet. Commerciële leveranciers van cloud-infrastructuur als Microsoft, Amazon en Google hebben hun zaken op papier best goed voor elkaar. Maar als een kwaadwillende bij overheidsinformatie komt, lijdt de overheid daar schade aan en ben je zelf verantwoordelijk om voldoende maatregelen te nemen. Je kunt daarbij niet blind vertrouwen op die commerciële bedrijven.’
Het kiezen van een methodiek om een goede risicoanalyse te kunnen maken was voor Edwin een hele uitdaging: er zijn tal van methodieken beschikbaar, maar elk heeft zijn voor- en nadelen. Ze verschillen onder meer in prijs, gebruiksgemak, de mate waarin ze voor verschillende toepassingen te gebruiken zijn en de manier waarop ze risico's kwalificeren.
Eigen methode voor inschatten risico's
Uiteindelijk maakte Edwin een eigen template op basis van een combinatie van methodieken. ‘Deze is nu voor een aantal implementaties gebruikt om de risico's te analyseren. Een risico is daarbij altijd de kans dat iets zich voordoet maal de impact’, legt hij uit. ‘Dat kun je inschalen in laag, hoog en tussenliggende gradaties.’
Het is bijvoorbeeld belangrijk om te weten hoe groot de kans is dat iemand ongeoorloofd toegang tot je data krijgt. Vervolgens wil je weten hoe groot de kans is dat het gaat om een hacker of bijvoorbeeld om een statelijke actor. Die kans vermenigvuldig je met de impact. Edwin: ‘Daarna kijk je naar de maatregelen die zijn getroffen om zo'n incident te voorkomen. Zijn de data versleuteld, dan is de impact laag. Zo houd je een netto risico over met de kansen en de impact en kun je aan de hand daarvan een restrisico definiëren. Bijvoorbeeld dat een statelijke actor toch bij een sleutel kan komen om data te ontsleutelen. Zo pel je dat per risico helemaal af.’
Na de risicoanalyse
Die risicoanalyse voert Edwin niet alleen uit. ‘Daar zijn meestal zo'n tien mensen bij betrokken die uit allerlei disciplines van de organisatie komen. Bijvoorbeeld een expert vanuit de business, een projectleider en projectarchitect, domeinarchitect, informatiebeveiligingsspecialist, privacy officer’, somt hij op. ‘Tijdens de risicoanalyse kun je dan nog extra maatregelen voorstellen. Daarna stellen we een nota op en sturen die naar de businessverantwoordelijke van de applicatie met de belangrijkste risico's, de maatregelen die zijn genomen, de restrisico's en eventueel additionele maatregelen. Op basis van die nota stelt het projectteam samen met de begeleider van de risicoanalyse een advies op voor de bestuurder. Daar komt een acceptatie of een advies uit.’
Veel ervaring opgedaan
Edwin zal dit jaar nog voor een aantal cloudapplicaties een risicoanalyse uitvoeren, zodat deze op een verantwoorde manier naar de public cloud kunnen. ‘We hebben inmiddels flink wat kennis opgedaan. Het streven is om de risicoanalyse in de toekomst meer te stroomlijnen, door deze in verschillende fasen uit te voeren.’ Het gaat dan om een business-impactanalyse, een risicoanalyse en een laatste fase waarin bijvoorbeeld met een pentest wordt beoordeeld of de maatregelen die zijn voorgesteld zijn geïmplementeerd. ‘Aan de hand van de ervaringen die we opdoen, proberen we zo steeds dingen aan te passen.’