image

Staatssecretaris: overheidsgebruik Amerikaanse cloud is strategisch risico

woensdag 16 oktober 2024, 12:19 door Redactie, 17 reacties

Het gebruik van Amerikaanse clouddiensten door de overheid brengt aanvullende strategische risico’s met zich mee, zo stelt staatssecretaris Szabo voor Digitalisering. "Door de concentratie van informatie bij enkele aanbieders is er een verhoogde dreiging op inbreuken. Dit risico zou in samenhang beoordeeld moeten worden", aldus de bewindsman in een Kamerbrief over de evaluatie van het Rijksbreed Cloudbeleid (pdf).

In 2022 maakte het kabinet bekend dat de Rijksoverheid voortaan ook van commerciële clouddiensten gebruik mag maken. Tot dan toe mochten overheidsinstanties alleen eigen clouddiensten gebruiken. Nederlandse overheidsdiensten kiezen steeds vaker voor clouddiensten. Eind vorig jaar is er begonnen met een evaluatie van het cloudbeleid. In deze evaluatie worden niet alleen Europese ontwikkelingen gemonitord, maar is er ook overleg met andere Europese landen.

Volgens Szabo bevestigt een eerste analyse van de gegevens het al bestaande beeld dat er in meerdere processen gebruikgemaakt wordt van de grote cloudaanbieders. "Dit kan mogelijk leiden tot een ongewenst afhankelijkheid en zou bij een verstoring bij een van deze aanbieders een gevolg kunnen hebben voor de continuïteit van overheidsprocessen. Dit moet nader onderzocht wordt om te beoordelen hoe groot die afhankelijkheid en het risico zijn om vervolgens een aanpak uit te werken om het risico te verminderen."

De evaluatie van het cloudbeleid is uitgevoerd door de Auditdienst Rijk (ADR). Ook die wijst naar het gebruik van Amerikaanse clouddiensten. "Een belangrijke casus op het gebied van public cloud is de (digitale) werkplek voor de Rijksoverheid met functionaliteit zoals bijvoorbeeld tekstverwerking, e-mail, chat etc. Op het moment verkeert de Rijksoverheid in een transitiefase waarbij voor een groot deel stapsgewijs wordt overgegaan naar onder meer MS 365, de public cloudoplossing van Microsoft voor de werkplek. Hiermee wordt de on-premises werkplek van de Rijksoverheid verplaatst naar de public cloud. De eerder in deze samenvatting genoemde bevindingen, bijvoorbeeld op het gebied van soevereiniteit en marktconcentratie, zijn ook zeker relevant voor deze casus."

De ADR stelt dat in de risicoafwegingen bij het gebruik van cloudproviders minder aandacht is gemaakt voor risico's op het gebied van marktconcentratie en soevereiniteit. "Het risico is dat op het beschouwingsniveau van individuele organisaties binnen de Rijksoverheid de veronderstelde praktische voordelen van public cloud al snel groter zijn dan de strategische risico’s (met kleine kansen maar grote gevolgen) op het gebied van marktconcentratie en soevereiniteit waardoor deze in de meeste gevallen geaccepteerd worden."

Volgens de ADR is het voor de Rijksoverheid een relevante vraag in hoeverre zij bij grootschalige inzet van public clouddiensten voor het uitvoeren van essentiële overheidstaken zich in economische en geopolitieke zin (te) afhankelijk maakt van Amerikaanse cloudproviders. Staatssecretaris Szabo stelt dat voor het eind van dit jaar herzieningsvoorstellen worden opgesteld voor het Rijksbreed Cloudbeleid, zodat in de eerste helft van volgend jaar het hernieuwd rijksbrede cloudbeleid kan worden vastgesteld. Daarnaast wordt er een proces gestart te komen tot een nieuw cloudbeleid met als uitgangspunt dat dit zal gelden voor de gehele overheid.

Reacties (17)
16-10-2024, 12:38 door Anoniem
En desalniettemin gaan we het gewoon doen...
16-10-2024, 12:44 door Anoniem
Het grote probleem bij het gebruik van cloud-provider,
is de veronachtzaming van het onderhoud van het daarachter liggende.

Men kan niet alleen op cloud-providers, waar dan ook, vertrouwen.

Iets uit handen geven, heeft altijd consequenties.

#laufer
16-10-2024, 12:45 door Anoniem
In hoeverre telt de rechtsgeldigheid/adequaatheid van het Data Privacy Framework voor de transfer van (gevoelige) persoonsgegevens van EU burgers nog mee in deze cloud transitie? De DPF wordt al door meerdere partijen onder de aandacht van het Europese Hof van Justitie gebracht.
16-10-2024, 13:32 door Anoniem
Door Anoniem: En desalniettemin gaan we het gewoon doen...
Het gebeurt al.
16-10-2024, 15:28 door Anoniem
Door Anoniem:
Door Anoniem: En desalniettemin gaan we het gewoon doen...
Het gebeurt al.

Ja inderdaad het gebeurt al, daarom is het goed om dit te blijven beoordelen en is het fijn dat de staatsecretaris hier terecht op wijst. Dat is ook de manier om dingen aan te kaarten en wellicht aangepast te krijgen. Het kabinet leest geen comments op security.nl.

Dus heel goed dat dit gedaan wordt, of het wat gaat opleveren is natuurlijk de vraag. We zitten allemaal diep in de cloud leveranciers en er wordt volop gelobbyd in Den Haag neem ik aan, dus we zijn er niet zomaar uit. Een alternatief is er nog niet echt, tenzij we alle eitjes in het KPN mandje stoppen. De overheid heeft wel eigen datacenters, maar niet een platform als M365.
16-10-2024, 17:47 door Anoniem
Je hebt gelijk maar geen geluk.
16-10-2024, 18:04 door Anoniem
Wat ik uit de hoek van de VS hoor op securitygebied, hartstikke handig natuurlijk, af en toe. Ook als het over Chinezen gaat. Of Russen. (Over de Mossad hoor je ze trouwens nooit, klein detailpuntje.) Maar goed, kun je elkaar helpen en steunen, prachtig.

Er komt wel een leuk oud spreekwoord bij me op: Zoals de waard is vertrouwt die zijn gasten.
16-10-2024, 18:29 door Anoniem
De overheid heeft wel eigen datacenters, maar niet een platform als M365.
Je kan M365 gebruiken zonder je documenten daar op te slaan.
Maar probeer dat maar duidelijk te maken aan de collega's.
Nee, in de M365-cloud is veel makkelijker. En als het niet mag dan moeten ze het maar blokkeren is de mening.
Dan zal er wel 1 of ander contract zijn waarmee de overheid zich veilig waant, maar dat is het niet.
16-10-2024, 21:29 door Anoniem
Focus op AI bij de rijksoverheid
De rijksoverheid weet van veel kunstmatige intelligentie (AI) niet of die naar behoren werkt. Voor meer dan de helft van de AI-systemen die het Rijk gebruikt, zeggen overheidsorganisaties dat de kansen nog niet zijn afgewogen tegen eventuele risico’s. Bovendien is er een prikkel om risico’s laag in te schatten. Dat blijkt uit een focusonderzoek van de Algemene Rekenkamer onder 70 overheidsorganisaties.

https://www.rekenkamer.nl/publicaties/rapporten/2024/10/16/focus-op-ai-bij-de-rijksoverheid
16-10-2024, 22:37 door Anoniem
Op het moment verkeert de Rijksoverheid in een transitiefase waarbij voor een groot deel stapsgewijs wordt overgegaan naar onder meer MS 365, de public cloudoplossing van Microsoft voor de werkplek.
Dan duurt het niet lang voordat al onze gegevens op straat liggen of versleuteld zijn.
Wat is er met open source tenzij beleid gebeurd? https://www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/open-source/beleid/
17-10-2024, 00:06 door Anoniem
Door Anoniem:
De overheid heeft wel eigen datacenters, maar niet een platform als M365.
Je kan M365 gebruiken zonder je documenten daar op te slaan.
Maar probeer dat maar duidelijk te maken aan de collega's.
Nee, in de M365-cloud is veel makkelijker. En als het niet mag dan moeten ze het maar blokkeren is de mening.
Dan zal er wel 1 of ander contract zijn waarmee de overheid zich veilig waant, maar dat is het niet.

Zo moeilijk is het niet om vm’s met een complete desktop of vdi aan te bieden vanuit twee data centra en dan de data centraal te verzamelen op Nederlandse servers. Binnen de vdi kunnen dan de desktop applicaties van ms office en share point aangeboden worden. Alleen voor teams moet er oplossing worden gezocht, maar voor die draak van een applicatie (governance gewijs) is vast een betere oplossing.
17-10-2024, 07:08 door Anoniem
Wel segmentatie van bijvoorbeeld netwerk om potentiële schade te beperken, maar dan wel alles het liefst in 1 systeem?
Het lijkt wel op het perpetuum mobile van centraliseren vs decentraliseren.
Verandering (daarheen en weer terug) is de enige constante.
17-10-2024, 08:53 door Anoniem
Op 17 oktober 2024 treedt de nieuwe Europese netwerk- en informatiebeveiliging richtlijn (NIS2-richtlijn) in werking. De Europese NIS2-richtlijn wordt geïmplementeerd in nationale wetgeving, de Cyberbeveiligingswet (Cbw). Naar verwachting zal de Cbw in het derde kwartaal van 2025 in werking treden.

https://www.ncsc.nl/actueel/nieuws/2024/oktober/9/uitvoering-overgangsperiode-nis2-richtlijn-naar-cyberbeveiligingswet

https://www.digitaltrustcenter.nl/nieuws/gevolgen-niet-tijdig-omzetten-nis2-richtlijn-naar-nationale-wetgeving

https://www.nctv.nl/actueel/nieuws/2024/10/16/gevolgen-niet-tijdig-omzetten-nis2-en-cer-richtlijn
17-10-2024, 12:15 door Anoniem
Door Anoniem:
Door Anoniem:
De overheid heeft wel eigen datacenters, maar niet een platform als M365.
Je kan M365 gebruiken zonder je documenten daar op te slaan.
Maar probeer dat maar duidelijk te maken aan de collega's.
Nee, in de M365-cloud is veel makkelijker. En als het niet mag dan moeten ze het maar blokkeren is de mening.
Dan zal er wel 1 of ander contract zijn waarmee de overheid zich veilig waant, maar dat is het niet.

Zo moeilijk is het niet om vm’s met een complete desktop of vdi aan te bieden vanuit twee data centra en dan de data centraal te verzamelen op Nederlandse servers. Binnen de vdi kunnen dan de desktop applicaties van ms office en share point aangeboden worden. Alleen voor teams moet er oplossing worden gezocht, maar voor die draak van een applicatie (governance gewijs) is vast een betere oplossing.
Wordt er gezegd dat de Amerikaanse cloud een strategisch risico is, kom jij aan met Amerikaanse oplossingen. Probeer eens Europees te denken met LibreOffice, Jitsi en Nextcloud ipv al die miljarden aan Amerika over te maken. Investeer in lokale bedrijven!.
17-10-2024, 15:41 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
De overheid heeft wel eigen datacenters, maar niet een platform als M365.
Je kan M365 gebruiken zonder je documenten daar op te slaan.
Maar probeer dat maar duidelijk te maken aan de collega's.
Nee, in de M365-cloud is veel makkelijker. En als het niet mag dan moeten ze het maar blokkeren is de mening.
Dan zal er wel 1 of ander contract zijn waarmee de overheid zich veilig waant, maar dat is het niet.

Zo moeilijk is het niet om vm’s met een complete desktop of vdi aan te bieden vanuit twee data centra en dan de data centraal te verzamelen op Nederlandse servers. Binnen de vdi kunnen dan de desktop applicaties van ms office en share point aangeboden worden. Alleen voor teams moet er oplossing worden gezocht, maar voor die draak van een applicatie (governance gewijs) is vast een betere oplossing.
Wordt er gezegd dat de Amerikaanse cloud een strategisch risico is, kom jij aan met Amerikaanse oplossingen. Probeer eens Europees te denken met LibreOffice, Jitsi en Nextcloud ipv al die miljarden aan Amerika over te maken. Investeer in lokale bedrijven!.
Een groot deel van de overheid zit al vast aan M365. Andere oplossingen gaan niet gebruikt worden.
17-10-2024, 20:59 door Anoniem
Door Anoniem: Wel segmentatie van bijvoorbeeld netwerk om potentiële schade te beperken, maar dan wel alles het liefst in 1 systeem?
Het lijkt wel op het perpetuum mobile van centraliseren vs decentraliseren.
Verandering (daarheen en weer terug) is de enige constante.

Dat is licentie technisch veel duurder omdat Microsoft deze oplossing bewust onaantrekkelijk maakt.
24-10-2024, 15:19 door Anoniem
De meeste AI/KI websites zijn geblokkeerd dus de prive data is veilig: copilot.cloud.microsoft werkt bij ons niet.
Data opslag gebeurt in principe op Europese datacenters vanwege de het conflict tussen de Cloud-Act en de wet AVG..
https://www.ncsc.nl/actueel/weblog/weblog/2022/de-werking-van-de-cloud-act-bij-dataopslag-in-europa
De office documenten kunnen niet lokaal opgeslagen worden vanwege ransomware & phishing dreiging door statelijke actoren.Voorheen zaten die in een Citrix omgeving waarbij de lokale schijven op een fileserver stonden.
https://learn.microsoft.com/en-us/microsoft-365/community/should-i-store-my-files-in-teams-or-sharepoint-an-understanding-of-behind-the-scenes
Meeste overheden hebben geïnvesteerd in MS Sentinel en EDR/EPR producten
https://learn.microsoft.com/nl-nl/azure/sentinel/overview?tabs=azure-portal
https://www.microsoft.com/nl-nl/security/business/security-101/what-is-edr-endpoint-detection-response

Ze zijn aangesloten op een Cyber Defense Center/SOC2 als onderdeel van de NIS2 wetgeving en moeten voldoen aan de BIO 2.0 baseline.
Veel meer dan dat kan ik niet vertellen, maar deze gegevens zijn openbaar.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.