18 januari 2011

Zowel het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA) als de Organisatie voor Economische Samenwerking en Ontwikkeling (OESO) waarschuwen overheden goed na te denken over het opslaan van data in de cloud. De ENISA geeft in een uitgebreid rapport richtlijnen voor Europese overheden en beschrijft een aantal aspecten die iedere overheid moet aanpakken. De lidstaten moeten nadenken of het mogelijk is wetten aan te passen om data op te slaan buiten de landsgrenzen zonder dat veiligheid of privacy van de gegevens van burgers, de nationale veiligheid en de economie onacceptabele risico's lopen. Daarnaast moet de vraag worden gesteld of het wenselijk is deze data in het buitenland op te slaan en of het risico op het verliezen van de controle over deze data opweegt tegen de voordelen van het verspreiden van de data over verschillende plekken. 'Effectively managing the security and resilience issues related to cloud computing capabilities is prompting many public bodies to innovate, and some cases to rethink, their processes for assessing risk and making informed decisions related to this new service delivering model', zo luidt het bijgaande persbericht.

ENISA wijst erop dat dat, hoewel gebruik maken van de cloud er voor zorgt dat data sneller wordt ontsloten voor burgers, de bijbehorende risico's ook groter worden. Daarom moeten overheden zich goed voorbereiden op een eventuele overstap naar het opslaan van data in de cloud. Het beste kunnen overheden een tienjarenplan maken en per dienst bekijken of de data wel de cloud in kan. 'Public Administrators should not assume that the successful deployment of an application in a cloud environment is automatically a positive indication for proceeding with many other deployments; the security and resilience requirements of each application should be examined carefully and individually and compared to the available cloud architectures and security controls. In this perspective, the ability of backtracking from the adoption of a cloud solution should be planned before moving to the cloud', zo waarschuwt de organisatie. ENISA raadt overheden aan gebruik te maken van een private cloud of een community cloud. Een private cloud is een omgeving voor data die wel nog wordt beheerd door de eigenaar ervan. Deze oplossing biedt op cloud-gebied de meeste controle over de data. Een communitycloud is bedoeld voor organisaties die de krachten bundelen, omdat ze dezelfde doelen voor ogen hebben. Ook in deze variant hebben de beheerders grote controle over data en beveiliging, dit in tegenstelling tot een publieke cloud. Vooral die controle is interessant voor overheden. Hoewel er veel risico's verbonden zijn aan het opslaan van overheidsdata in de cloud, zien zowel ENISA als OESO een behoefte. Ze gaan er ook vanuit dat er langzamerhand steeds meer overheden cloudoplossingen gaan gebruiken. 'Government agencies face considerable pressure to reduce the costs of their large-scale information systems. Outsourcing and the use of cloud computing is likely to become increasingly popular as a result over the next decade. Agencies need to carefully consider the implications for the resilience of the services they provide, identifying any new inter-dependencies that result and how they would deal with catastrophic failure of third-party services', merkt de OESO in een eigen rapport op. Contracten en Service Level Agreements moeten bepalingen bevatten over beschikbaarheid en aansprakelijkheid voor inbreuken op de beveiliging. Ook moeten er bepalingen in staan over de geografische locatie van gevoelige data en het niveau van toegang voor personeel van derden, zo vindt OESO. De vraag is of dat voldoende is. Ik heb daar eerder al hier en hier over geschreven, waarbij ik vooral nadruk heb gelegd op de af te sluiten contracten.