Volledige cloudsoevereiniteit is moeilijk te realiseren. Bovendien is het geen wettelijke norm. Twee instanties, – de Rijksinspectie Digitale Infrastructuur en de Duitse BSI – laten hier in recente publicaties hun licht over schijnen.
Rijksinspectie Digitale Infrastructuur (RDI)
De Rijksinspectie Digitale Infrastructuur (RDI) stelt in een paper dat digitale weerbaarheid via de Cyberbeveiligingswet het echte doel moet zijn, niet Europese of nationale cloudsoevereiniteit. Organisaties moeten vooral digitale autonomie bereiken: grip op hun afhankelijkheden, data, processen en continuïteit.
De herkomst van de cloudleverancier is minder relevant dan de mate van regie, vindt de RDI. Een niet‑Europese cloud kan acceptabel zijn als risico’s beheerst zijn; een Nederlandse cloud kan onacceptabel zijn als grip ontbreekt. Zo stelt de Rijksinpectie, die sinds dit jaar toezicht houdt op de Cyberbeveiligingswet. Deze implementatie van NIS2 verplicht organisaties om grip te hebben op hun digitale afhankelijkheden.
Volgens de RDI moet de digitale autonomie centraal staan:
• Heeft de organisatie zelf regie op welke clouddiensten op welke wijze worden ingezet en met welk doel;
• En op welke wijze worden de risico’s beheerd.
De inspectie noemt drie thema’s uit de Cyberbeveiligingswet die extra relevant zijn bij het gebruik van clouddiensten:
1. Risicoanalyse en beveiliging van informatiesystemen;
2. Beveiliging van de toeleveranciersketen;
3. Effectiviteit van beleid en procedures.
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Ook in Duitsland trekt de autonomie van de cloud veel aandacht. Het Duitse federale bureau voor informatiebeveiliging (BSI) heeft criteria gepubliceerd om de soevereiniteit van clouddiensten te beoordelen. Dat helpt met name beheerders van kritieke infrastructuur en diensten. Want voor hen is het lastig een oordeel te vormen over oplossingen van niet-Europese cloudproviders.
Het BSI stelt dat op dit gebied veel beloftes worden gedaan, maar dat de criteria vaak onduidelijk zijn. ‘Is een cloudoplossing soeverein als deze technisch veilig binnen de EU wordt beheerd? Of onafhankelijk is van de infrastructuur van een Amerikaans bedrijf?’ Volgens het BSI is technische it-beveiliging één ding, maar technische soevereiniteit is niet altijd een perfect op elkaar afgestemde reeks vereisten.
Veel discussie is er over de dreiging dat leveranciers permanent toegang kunnen houden tot de systemen en gegevens van hun klanten. Dit roept de vraag op naar digitale soevereiniteit, met name als het gaat om clouddiensten.
Met de C3A (Criteria enabling Cloud Computing Autonomy) heeft het BSI een actiekader gepresenteerd dat de soevereiniteitskenmerken van clouddiensten transparant maakt. De C3A-criteriacatalogus biedt transparantie, richtlijnen en de mogelijkheid om clouddiensten te selecteren op basis van criteria die relevant zijn voor de specifieke toepassing. De C3A dienen als leidraad voor actie en creëren transparantie, maar hebben geen wettelijke werking.
De C3A kunnen worden gebruikt door zowel cloudproviders als cloudklanten. Cloudproviders kunnen via een audit aantonen dat ze aan de criteria voldoen. Cloudklanten kunnen het raamwerk gebruiken om de vereisten voor hun eigen gebruikssituatie te identificeren en zo hun gewenste mate van soevereiniteit te bepalen. Het BSI zal in een volgende stap een richtlijn voor C3A-audits publiceren.
Weer eentje in het kader: waar praten we over.
Wat is nou digitale soevereiniteit ?
“grip te hebben op hun digitale afhankelijkheden.”
“Criteria enabling Cloud Computing Autonomy”, leidraad maar geen wettelijke werking.
En nou ?
Het wordt er niet makkelijker op.
Ik mis een begrip dat een aantal jaar geleden zo populair was in Computable: ontzorgen.
Was voorheen ontzorgen het doel van cloud. Het idee was dat iedere partij doet waar ze beste in zijn: Hyperscaler dus infrastructuur,
backups, security. Nu is dat juist het probleem. Die macht kan ook misbruikt worden.
En vertrouw je je eigen organisaties wel ?
“Werken in het kloppend hart van de digitale overheid
De lijnen bij Logius zijn kort en binding met je collega’s is belangrijk. De cultuur van Logius is informeel en collegiaal. Maar wat onze collega’s het meest kenmerkt is dat ze trots zijn op wat ze doen: ze werken elke dag aan het verbeteren van de digitale overheid voor heel Nederland. Werken bij Logius is werken voor Nederland.”
Van Oordt sprak zijn zorg uit als Privacy Ambtenaar …
De RDI is weer een toonbeeld van Nederlandse ambtelijke incompetentie die zich achter een papieren werkelijkheid verschuilt en denkt dat je met inventariseren en ik kaart brengen de risico’s kan beheersen. Deze toko moet onmiddellijk opgeheven worden.
De Duitsers doen het iets beter maar komen niet tot de onvermijdelijke conclusie dat soevereiniteit alleen gegarandeerd kan zijn als zowel de software en de hardware volledig van Europese bodem komen en de datacentra op Europese bodem staan beheerd en eigendom zijn van Europese bedrijven.
De overheden zoeken weren nieuwe bal waar ze hun hondjes achteraan kunnen laten hollen. Grijpvastheid, kleur en grootte moet nog even geloofwaardiger worden. Wat willen we eigenlijk?
Vervolgens kijken wat er zoal terugkomt aan BTW en Loonbelasting, met verlengde betaaltermijnen de liquiditeit een beetje in de gaten houden en streven naar zoveel mogelijk mensen aan het werk houden. Innovatie en concurrentie moeten ze er maar een beetje bij doen als ze dat leuk vinden. Van het baasje hoeft het niet. Efficiëntie is een vies woord. Als een leverancier aan vraag als volkomen overbodig of zelfs onwenselijk gaat wegpraten, zoek je zo snel mogelijk een andere leverancier op. Het geld was er immers al voor.
Innovatie en zo moet je niet aan concurrentie onderhevig latten zijn. Ja, bij TNO, NWO en onderzoeksgroepen van universiteiten misschien mits ze zoveel mogelijk samenwerking gezocht en gevonden hebben.
Iedereen blij.
Oeps, sorry voor het niet nalezen van het bovenstaande. Slordig.
Alles het gevolg van een overheid die veel en veel teveel geld heeft en zich gewoon als een rijke oom denkt te moeten opstellen om zich te handhaven. Niks dienstbaarheid. Geld? Was dat door de overheid uitgegeven schuldpapier? Weten ze niks meer van.
Er zit een juridisch verschil tussen Europese cloud providers en cloud providers die onder de EU wetgeving vallen. Verder is de EU een concreet rechtsgebied met regels zoals AVG, NIS2, etc. Maar deze EU-jurisdictie zegt nog niks over soevereiniteit want deze is noodzakelijk voor regulering maar onvoldoende voor de soevereiniteit en kan deze zelfs beperken.
Daarom fijn dat RDI stelt dat digitale weerbaarheid via een Cyberbeveiligingswet het echte doel moet zijn en niet Europese of nationale cloud soevereiniteit. Dus laten we in de discussie de piketpaaltjes verplaatsen naar het afbouwen van afhankelijkheid om zoals Dino al zegt het ontzorgen om te keren.
De cloud biedt mogelijkheden en geen wonderen zit op die lijn als we kijken naar de regievoering. De Computable-expertsessie tijdens Infosecurity 2012 was zijn tijd ver vooruit door het standpunt dat controle beter is dan vertrouwen. De waarde van audits kwam met het voorbeeld van Diginotar naar voren, het toetsingskader voor de compliance gaat tenslotte om het temmen van papieren tijgers.
De onthechting waar Henri K. het over had ging niet om de fysieke servers maar over een verlies aan kennis aangaande de kritische infrastructuur. Zonder het netwerk geen cloud en zonder data geen business. Informatiebeveiliging gaat niet om het knuffelen van de servers maar de data welke portabel is gemaakt met virtualisatie.
Hierin is het vraagstuk over soevereiniteit bijzaak door de kosten want of je nu in de Amerikaanse of een Europese hoek van de vendor lock-in geverfd bent maakt niks uit als we de politiek er buiten laten. We kunnen ons namelijk druk maken om de kleur van het fietsenhok maar de fabriek staat in brand als we kijken naar de soevereiniteit van het netwerk.
Met de fabriek bedoel ik de edge welke vaak kritischer is dan de kantoorautomatisering die naar de cloud verplaatst is. De samenleving valt niet stil wanneer een digitale identiteit faalt maar wanneer de digitale transacties ophouden te bestaan. Plan B van andere ruilmiddelen werkt uiteindelijk beter voor alle Nederlanders als deze niet belast is via een Amerikaanse provider.
Het probleem is dat de VS de soevereiniteit van landen vertrapt door alle data op te eisen van Amerikaanse dochteronderneming in het buitenland en zelfs niet-Amerikaanse bedrijven die zaken doen in de VS.
Het enige wat de EU kan doen is wetten maken die het ongeoorloofd delen van data met de VS strafbaar maken en de directie gevangenisstraf riskeert als dit toch gebeurt. Dan zullen veel Amerikaanse bedrijven waarschijnlijk de EU vrijwillig verlaten of diensten hier opschorten.