Staatssecretaris: overheidsgebruik Amerikaanse cloud is strategisch risico
Het gebruik van Amerikaanse clouddiensten door de overheid brengt aanvullende strategische risico’s met zich mee, zo stelt staatssecretaris Szabo voor Digitalisering. "Door de concentratie van informatie bij enkele aanbieders is er een verhoogde dreiging op inbreuken. Dit risico zou in samenhang beoordeeld moeten worden", aldus de bewindsman in een Kamerbrief over de evaluatie van het Rijksbreed Cloudbeleid (pdf).
In 2022 maakte het kabinet bekend dat de Rijksoverheid voortaan ook van commerciële clouddiensten gebruik mag maken. Tot dan toe mochten overheidsinstanties alleen eigen clouddiensten gebruiken. Nederlandse overheidsdiensten kiezen steeds vaker voor clouddiensten. Eind vorig jaar is er begonnen met een evaluatie van het cloudbeleid. In deze evaluatie worden niet alleen Europese ontwikkelingen gemonitord, maar is er ook overleg met andere Europese landen.
Volgens Szabo bevestigt een eerste analyse van de gegevens het al bestaande beeld dat er in meerdere processen gebruikgemaakt wordt van de grote cloudaanbieders. "Dit kan mogelijk leiden tot een ongewenst afhankelijkheid en zou bij een verstoring bij een van deze aanbieders een gevolg kunnen hebben voor de continuïteit van overheidsprocessen. Dit moet nader onderzocht wordt om te beoordelen hoe groot die afhankelijkheid en het risico zijn om vervolgens een aanpak uit te werken om het risico te verminderen."
De evaluatie van het cloudbeleid is uitgevoerd door de Auditdienst Rijk (ADR). Ook die wijst naar het gebruik van Amerikaanse clouddiensten. "Een belangrijke casus op het gebied van public cloud is de (digitale) werkplek voor de Rijksoverheid met functionaliteit zoals bijvoorbeeld tekstverwerking, e-mail, chat etc. Op het moment verkeert de Rijksoverheid in een transitiefase waarbij voor een groot deel stapsgewijs wordt overgegaan naar onder meer MS 365, de public cloudoplossing van Microsoft voor de werkplek. Hiermee wordt de on-premises werkplek van de Rijksoverheid verplaatst naar de public cloud. De eerder in deze samenvatting genoemde bevindingen, bijvoorbeeld op het gebied van soevereiniteit en marktconcentratie, zijn ook zeker relevant voor deze casus."
De ADR stelt dat in de risicoafwegingen bij het gebruik van cloudproviders minder aandacht is gemaakt voor risico's op het gebied van marktconcentratie en soevereiniteit. "Het risico is dat op het beschouwingsniveau van individuele organisaties binnen de Rijksoverheid de veronderstelde praktische voordelen van public cloud al snel groter zijn dan de strategische risico’s (met kleine kansen maar grote gevolgen) op het gebied van marktconcentratie en soevereiniteit waardoor deze in de meeste gevallen geaccepteerd worden."
Volgens de ADR is het voor de Rijksoverheid een relevante vraag in hoeverre zij bij grootschalige inzet van public clouddiensten voor het uitvoeren van essentiële overheidstaken zich in economische en geopolitieke zin (te) afhankelijk maakt van Amerikaanse cloudproviders. Staatssecretaris Szabo stelt dat voor het eind van dit jaar herzieningsvoorstellen worden opgesteld voor het Rijksbreed Cloudbeleid, zodat in de eerste helft van volgend jaar het hernieuwd rijksbrede cloudbeleid kan worden vastgesteld. Daarnaast wordt er een proces gestart te komen tot een nieuw cloudbeleid met als uitgangspunt dat dit zal gelden voor de gehele overheid.
is de veronachtzaming van het onderhoud van het daarachter liggende.
Men kan niet alleen op cloud-providers, waar dan ook, vertrouwen.
Iets uit handen geven, heeft altijd consequenties.
#laufer
Ja inderdaad het gebeurt al, daarom is het goed om dit te blijven beoordelen en is het fijn dat de staatsecretaris hier terecht op wijst. Dat is ook de manier om dingen aan te kaarten en wellicht aangepast te krijgen. Het kabinet leest geen comments op security.nl.
Dus heel goed dat dit gedaan wordt, of het wat gaat opleveren is natuurlijk de vraag. We zitten allemaal diep in de cloud leveranciers en er wordt volop gelobbyd in Den Haag neem ik aan, dus we zijn er niet zomaar uit. Een alternatief is er nog niet echt, tenzij we alle eitjes in het KPN mandje stoppen. De overheid heeft wel eigen datacenters, maar niet een platform als M365.
Er komt wel een leuk oud spreekwoord bij me op: Zoals de waard is vertrouwt die zijn gasten.
Maar probeer dat maar duidelijk te maken aan de collega's.
Nee, in de M365-cloud is veel makkelijker. En als het niet mag dan moeten ze het maar blokkeren is de mening.
Dan zal er wel 1 of ander contract zijn waarmee de overheid zich veilig waant, maar dat is het niet.
De rijksoverheid weet van veel kunstmatige intelligentie (AI) niet of die naar behoren werkt. Voor meer dan de helft van de AI-systemen die het Rijk gebruikt, zeggen overheidsorganisaties dat de kansen nog niet zijn afgewogen tegen eventuele risico’s. Bovendien is er een prikkel om risico’s laag in te schatten. Dat blijkt uit een focusonderzoek van de Algemene Rekenkamer onder 70 overheidsorganisaties.
https://www.rekenkamer.nl/publicaties/rapporten/2024/10/16/focus-op-ai-bij-de-rijksoverheid
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.