Use of the public cloud in the security domain

Door de Covid-19 uitbraak is er een enorme versnelling ontstaan in het thuiswerken. Tegelijkertijd zijn clouddiensten als Microsoft Teams in gebruik geëxplodeerd. Ook in het veiligheidsdomein is thuiswerken en video-vergaderen het nieuwe normaal geworden. Het gebruik hiervan brengt nieuwe vragen over de veiligheid met zich mee, zeker in beschermde omgevingen zoals die in het veiligheidsdomein gebruikt worden. Tegelijkertijd is dit de kans om serieus werk te maken van de publieke cloud in het veiligheidsdomein.

Vrijwel elke grote organisatie in Nederland maakt inmiddels gebruik van publieke clouddiensten. Dit varieert van het gebruik van Microsoft Office 365 tot het gebruik van business applicaties als Salesforce. Deze organisaties hebben een bewuste keuze gemaakt om delen van hun infrastructuur en applicaties op een andere manier te gebruiken. Dit biedt deze organisaties legio voordelen, zoals minder kosten en verhoging van de snelheid om te veranderen.

Een sector die weliswaar duidelijk achterloopt is het publieke veiligheidsdomein. Er heerst hier nog steeds angst voor de publieke cloud. Argumenten die je regelmatig hoort zijn; “het is niet veilig en ik heb geen controle over mijn gegevens meer”, “het mag niet van de wet” en vergelijkbare uitspraken. De laatste jaren is er echter een kentering te zien. Ook in het veiligheidsdomein moeten veel organisaties op de kosten letten en een uitgebreide on-premise ICT-omgeving is kostbaar. Bovendien komen er steeds meer diensten op de markt die speciaal ontworpen zijn voor het gebruik in het veiligheidsdomein. Daarnaast lezen we regelmatig berichten over de enorme kosten die de noodzakelijke ICT-vernieuwing met zich meebrengt bij de politie, het OM en de Rechtspraak. Een manier om deze kosten te beperken en tegelijkertijd sneller te vernieuwen is meer gebruik te maken van publieke clouddiensten.

Reactief of proactief
Een kenmerk van het veiligheidsdomein is dat er vooral reactief wordt gewerkt. Als er ergens brand is wordt deze geblust, als er een woninginbraak is wordt er een politieauto op afgestuurd. Veel minder wordt er proactief gewerkt waarbij voorkomen wordt dat er brand ontstaat. Omdat het reactief werken in de haarvaten van deze organisaties zit, is dit ook zichtbaar in de ICT-organisatie. Het blijft moeilijk om vooruit te denken, een strategie te ontwikkelen voor de langere termijn en deze langetermijnstrategie ook te bewaken en uit te voeren. Het vergt lef en doorzettingsvermogen, maar ook cultuurverandering om dit voor elkaar te krijgen. Proactief denken en ernaar handelen zijn belangrijk om de gewenste en noodzakelijke versnelling door te voeren.

Rekkelijken en preciezen
Er is een strijd gaande tussen de preciezen die elke vorm van opslag en gebruik van data buiten de eigen organisatie afwijzen en de rekkelijken die, onder voorwaarden, het gebruik van de publieke cloud omarmen. Wie gaat deze strijd winnen en welke argumenten zijn er voor en tegen het gebruik van de publieke cloud?

Waarom niet?
Laten we eens op een rijtje zetten welke argumenten er tegen het gebruik van publieke clouddiensten zijn. Het eerste en ook belangrijkste argument is privacy. Veel organisaties verwerken privacygevoelige gegevens en zijn er niet van overtuigd dat deze gegevens veilig zijn als ze buiten de deur worden opgeslagen. Men is bang dat een cloud-leverancier deze gegevens kan inzien, of erger nog, deze gegevens kan misbruiken of kan verliezen.
Een tweede argument dat ik hier wil noemen is de wet- en regelgeving. De Wpg, AVG en Archiefwet zijn hierbij leidend. In deze wetten wordt geregeld hoe een organisatie om moet gaan met de informatie die tot haar beschikking staat. Zo moet bijvoorbeeld de verwerkingsverantwoordelijke altijd een risico- analyse doen en adequate maatregelen nemen om de risico’s te mitigeren.

Waarom wel?
Welke argumenten zijn er voor het gebruik van publieke cloudiensten? Een belangrijk argument om meer gebruik te maken van publieke clouddiensten zijn de kosten. Het opslaan en verwerken van data kan door een cloud-leverancier voor een fractie van de kosten gedaan worden door zijn schaalgrootte en efficiënte inrichting. Het inrichten, onderhouden en beheren van een eigen netwerk, servers, opslag, applicaties en dergelijke is een kostbare aangelegenheid en is nauwelijks een core business te noemen voor de meeste organisaties in dit domein.

Een ander argument om delen van de informatievoorziening uit te besteden naar de publieke cloud is het beheer. Het is voor de veiligheidssector heel lastig om adequaat beheer op de applicaties en data te doen. Het ontbreekt aan voldoende kennis en vacatures zijn moeilijk in te vullen.

Een laatste argument is veiligheid. Publieke cloud-leveranciers hebben hun omgevingen op een zeer hoog beveiligingsniveau ingericht en doen er alles aan om dit ook zo veilig mogelijk te houden. Zij voldoen aan internationale standaarden en tonen dit ook aan door middel van audits op de omgeving. Dit in tegenstelling tot sommige organisaties in het veiligheidsdomein die worstelen met het veilig houden van hun verouderde omgevingen.

Hoe kan het veilig?
De publieke cloud kan veilig gebruikt worden als er voldaan wordt aan een aantal voorwaarden. Als eerste moet je als organisatie het ‘zero trust’ model omarmen waarbij je er vanuit gaat dat de infrastructuur gecompromitteerd is. Dit betekent in de praktijk dat ‘security by design’ meer is dan alleen PowerPointpresentaties, het moet overal in terugkomen. Dit vergt een andere manier van denken en handelen. Ook hier heeft het veiligheidsdomein last van haar verleden. Het is niet meer voldoende om een gewapende bewaker voor de deur te zetten en dan te denken dat je veilig bent. Nee, je zult moeten investeren in een identity & data-driven security-aanpak waarbij je uitgaat van één identiteit en op basis van rollen, attributen en condities die wel of geen toegang biedt tot data en applicaties. Microsegmentering en virtualisatie van de netwerken is hierbij essentieel. Dit om te voorkomen dat aanvallers andere delen van de infrastructuur kunnen bereiken.

Cloudstrategie
Elke organisatie in het veiligheidsdomein moet een cloudstrategie ontwikkelen. Met een goede strategie bereik je meerdere doelen die er gezamenlijk voor zorgen dat je als organisatie beter en sneller kan innoveren tegen lagere kosten.

Elke strategie begint bij het goed begrijpen van de strategische doelstellingen. Hoe sluit de visie op de cloud aan bij de bedrijfsdoelstellingen? Hoe gaat het gebruik van de cloud bijdragen aan het doel van de organisatie? Structureer en prioriteer de te bereiken doelen en breng de risico’s en uitdagingen in kaart.
Een volgende stap is het beoordelen van de impact op de organisatie. Dit start met het goed in beeld hebben van het bestaande applicatielandschap, infrastructuur en van de operationele praktijk. Zorg voor een goede business case. Breng in kaart wat de huidige kosten en de baten zijn en maak een inschatting van het toekomstige gebruik waarbij ‘pay as you go’ modellen een grote rol spelen om de kosten te beperken.

Een heel belangrijke stap is het doen van een ‘Cloud Ready Assessment’. Het is essentieel om goed in kaart te brengen op welk niveau van readiness de organisatie staat en wat er moet gebeuren om veilig publieke clouddiensten te gaan gebruiken.
Het gaan gebruiken van de (publieke) cloud is een digitale transformatie. Bij elke transformatie hoort sterk leiderschap en een vooruitziende blik op het vlak van de organisatie en van de technologische ontwikkelingen. Het is hierbij essentieel dat CIO’s en ICT-directeuren een team om zich heen hebben of organiseren dat enthousiast is over het vooruitzicht op veranderingen. Het betrekken van strategische partners is hierbij noodzakelijk om de organisatie zo te positioneren dat deze klaar is voor de toekomst.

Cloud security
De traditionele ICT-wereld kende andere beveiligingsrisico’s dan nu. In een cloud-omgeving gelden andere eisen en risico’s. IT-architecten gebruiken vaak en graag de analogie van een huis. Als het om cloud-beveiliging gaat dan kun je zeggen dat het gaat om de bescherming van alle spullen in het huis en minder van het huis zelf. En als je vervolgens kijkt naar alle spullen in het huis zijn er zaken die beter beschermd moeten worden dan andere. Unieke foto’s of kunstwerken wil je beter beveiligen dan de standaard inboedel. Kortom wat zijn de kroonjuwelen en welke risico’s loop ik als het fout gaat? Verlies ik data? Kan ik die terughalen? Wat zijn de risico’s als de data op straat ligt?

Er is helaas geen ‘one size fits all’ optie als het gaat om cloud- beveiliging. Datalekken kunnen op vele manieren ontstaan en elk van die manieren moet worden bekeken. ‘Voorkomen is beter dan genezen’ geldt ook hier. Anticipeer op de mogelijkheden en maak hierop beleid.

Technische maatregelen
Om data in de cloud te beveiligen is het noodzakelijk om op verschillende niveaus maatregelen te nemen. Zorg als eerst voor een goede oplossing tegen het lekken van data (Data Leakage Prevention, DLP). Veel softwaresuites bieden hiervoor oplossingen. Microsoft Office 365 kan bijvoorbeeld standaard al controleren op meer dan 80 veel voorkomende vertrouwelijke gegevens op financieel, medisch en persoonlijk gebied en aan de hand van regels de gegevens automatisch classificeren en voorzien van een label. Op die manier is het mogelijk om gevoelige data standaard te vercijferen of in sommige gevallen zelfs niet toe te staan dat deze data in de cloud wordt opgeslagen.

Je kunt ook nog een stap verder gaan door alle data die je in de cloud opslaat standaard te vercijferen. Dit kan met een eigen sleutel waardoor ook de cloud-leverancier nooit jouw data kan inzien. Onderdeel van het ‘zero trust’ model is multifactor- authenticatie wat een betrouwbare en laagdrempelige manier is om in te loggen. Hiermee voorkom je datalekken zonder de medewerkers te veel te belasten.

Toekomst
Het gaat razendsnel met de ontwikkelingen in de cloud. Elke dag komen er nieuwe oplossingen en applicaties beschikbaar. De grote cloud-leveranciers bieden complete DevOps-omgevingen aan waarmee ontwikkelaars snel oplossingen kunnen realiseren. De cloud biedt ondersteuning bij het gebruik van IoT, Big Data en AI-toepassingen. Ook het inzetten van virtuele desktops in de cloud is een relatief nieuwe ontwikkeling waarmee je overal je eigen werkplek tot je beschikking hebt.

Conclusie
Het veiligheidsdomein moet zo snel mogelijk naar de publieke cloud. Dit levert niet alleen kosten- en efficiencyvoordelen op, het versnelt de ontwikkeling van nieuwe functionaliteiten en helpt de organisaties in dit domein veiliger en beter hun werk te doen. Net als bij het gebruik van een eigen infrastructuur moet rekening worden gehouden met de gevoeligheid van de data en moeten adequate maatregelen genomen worden op technisch en organisatorisch vlak. Onder het motto ‘never waste a good crisis’ moet er nu doorgepakt worden om snel, goed en veilig publieke clouddiensten in te richten en te gaan gebruiken.