Public cloud en de Rijksoverheid in de praktijk
We kunnen niet meer om het onderwerp heen: public cloud zoals aangeboden door onder andere Microsoft (Azure), Amazon (AWS) en Google (GCP) wordt door de Rijksoverheid steeds meer gebruikt. De komende jaren zullen we tijdens onze onderzoeken steeds vaker informatiesystemen tegenkomen die gebruik maken van de public cloud en gevraagd worden om hier iets van te vinden.
Kennissessie
Daarom is het belangrijk dat we als Auditdienst Rijk meer kennis op doen over dit onderwerp en de ontwikkelingen op het niveau van de Rijksoverheid blijven volgen. Op deze manier zijn we steeds beter in staat om risico’s gerelateerd aan public cloud zichtbaar te maken en handelingsperspectief te bieden aan onze opdrachtgevers. Reden genoeg voor de sector IT van de Auditdienst Rijk om een kennissessie over Public cloud en de Rijksoverheid in de praktijk te organiseren. Deze kennissessie werd gehost door Juline Wilkinson en Tobias Schaap. Ook bij deze goed bezochte editie waren enkele externe genodigden aanwezig.
Wat speelt er rondom public cloud?
Er is op dit moment veel discussie gaande omtrent het gebruik van public cloud bij de overheid. De afgelopen jaren ziet men een exponentiële groei in het aanbod en gebruik van public clouddiensten. Ook de Rijksoverheid wil de potentiële voordelen benutten en heeft in 2022 het Rijksbreed cloudbeleid bijgesteld, zodat dit mogelijk werd. Overheidsdiensten mogen nu onder bepaalde voorwaarden de public cloud gebruiken en hier wordt fors gebruik van gemaakt.
Hiermee is een verandering in gang gezet voor de informatievoorziening van de Rijksoverheid die wellicht qua impact kan worden vergeleken met de introductie van het internet in de jaren negentig. Het is hierbij essentieel dat er een continue afweging gemaakt wordt tussen de voordelen en nadelen van het gebruik van public cloud. Bij voordelen kun je denken aan snelle beschikbaarheid van innovatieve diensten en (bijna) oneindige schaalbaarheid van dataopslag.
Tegelijkertijd zijn mogelijke nadelen de toenemende privacyrisico’s en toename in de afhankelijkheid van een zeer beperkt aantal grote tech-bedrijven van buiten de Europese Unie. Met name in de huidige context van groeiende geopolitieke instabiliteit zorgt dit voor een interessante discussie. Los van deze strategische overwegingen en het komende kamerdebat wordt public cloud steeds meer in de praktijk gebruikt binnen de Rijksoverheid.
Ervaringsdeskundigen aan het woord
Drie sprekers hebben ons inzicht gegeven in de concrete toepassing van public cloud binnen de Rijksoverheid en wat hier qua voorbereiding (en afweging) voor nodig is.
Erik Sloot en Jaap de Goeij van het Cloud Center of Excellence (CCoE) van SSC-ICT hebben ons meegenomen in wat zij als grote ICT-dienstverlener van de Rijksoverheid aan public clouddiensten aanbiedt en wat een organisatie zelf moet doen om hier verantwoord gebruik van te kunnen maken. De afgelopen 2 jaar is hard gewerkt aan het opzetten een 'winkelcentrum' (tenant), waarin de interne afnemers een 'winkelruimte' (landingzone) kunnen inrichten. Dit alles binnen 1 MS Azure tenant. Het Cloud Security Framework dat SSC-ICT gebruikt om de cloud veilig te kunnen gebruiken biedt de garantie van een in basis BIO-compliant ingerichte landingzone. De 'winkelier' blijft zelf verantwoordelijk voor de inrichting en het gebruik van de 'winkelruimte'.
Julien Spronck, de CISO van de Dienst Justitiële Inrichtingen, deelde ongezouten en in geheel eigen stijl, zijn ervaringen met een recent public cloud traject dat heeft geresulteerd in een ‘Software as a Service’-oplossing voor een bedrijfsvoeringssysteem. Kernpunten die wij als Auditdienst Rijk menemen uit zijn zeer interessante presentatie zijn dat een groot deel van de uitdagingen liggen in de manier waarop de governance is ingericht: wat is de visie? wie is verantwoordelijk? wat zijn de kaders? en hoe verhoudt het CIO-stelsel zich tot het bevoegde gezag? Er veel onbenutte kansen in samenwerking tussen de verschillende IT serviceproviders in- en extern zijn, waarbij de meetlat op het gebied van de informatieveiligheid uiteraard gelijk zou moeten zijn.
Meer info: