Verdieping Valorisatieketens: Basis voor de routekaart "Veilig werken in een onveilige cloud"
report
Bij de Rijksoverheid is een trend waarneembaar dat steeds meer wordt gewerkt in de ‘cloud’ [1, 2]. Omdat hierdoor beveiligingsrisico’s kunnen ontstaan, vraagt dit in de toekomst mogelijk om nieuwe sterkere beveiligingsmaatregelen voor veilige opslag van deze informatie. Op dit moment spelen de (internationale) multinationals die deze clouds aanbieden een belangrijke rol wat betreft de beveiliging van de opgeslagen informatie. Maar daar is vaak niet exact duidelijk of, en zo ja hoe, de data van klanten wordt beveiligd. Naast de mogelijke beveiligingsrisico’s die ontstaan door deze trend, komt ook de Nederlandse datasoevereiniteit steeds meer in het geding. Deze multinationals vallen vaak niet onder de Nederlandse wet- en regelgeving. Hierdoor kan een situatie ontstaan waarbij de dataeigenaar in land X de verzamelde data opslaat bij een cloud-provider in land Y. Vervolgens blijkt dan dat in land Y andere wet- en regelgeving geldt voor toegang tot de daar opgeslagen klantdata.
In de Nationale Crypto Strategie zijn acht thema’s geïdentificeerd. Eén van deze thema’s is “Crypto en Cloudbeveiliging”. In dit rapport wordt verslag gedaan van onze analyse over mogelijke oplossingsrichtingen voor de Rijksoverheid om vertrouwelijke informatie veilig op te kunnen slaan in de cloud. De volgende stap is om richting te geven aan het ontwikkelen van een beveiligingsproduct om vertrouwelijke informatie veilig op te slaan samen in de cloud met de Nederlandse industrie en kennispartijen voor de Nederlandse markt. De richting kan worden beschreven in een routekaart. In dit rapport wordt een plan van aanpak geschetst hoe te komen tot een routekaart voor het beveiligen van vertrouwelijke informatie in de cloud. Hierbij komt een aantal aspecten naar voren die verdere uitwerken behoeven:
a) De stip op de horizon is het vergezicht waar in een gezet aantal jaar naar toe wordt gewerkt. Een mogelijke stip voor dit onderwerp is dat over 1 á 2 jaar de medewerkers van de Rijksoverheid op een veilige manier vertrouwelijke informatie kunnen opslaan in de cloud. Na de fase waarin de gewenste functionaliteit is geïmplementeerd in een applicatie, volgt mogelijk een accreditatie-fase waarin de software geaccrediteerd moet worden.
b) In de valorisatieketen zitten de partijen die betrokken zijn bij productontwikkeling van fundamenteel onderzoek tot het daadwerkelijke gebruik van een product. Deze keten kan door middel van literatuur onderzoek en interviews in kaart worden gebracht. De partijen binnen de valorisatieketen kunnen grofweg ingedeeld worden in 1) kennisinstellingen, 2) ontwikkelpartijen, 3) eindgebruikers. Door de partijen te plotten op de vijf ontwikkelfases (Discovery/basic research, Technology development, Validation and demonstration, Integration and operationalization, Deployment) wordt duidelijk welke partij zich in welk stuk van het ontwikkeltraject bevindt.
c) Het is van belang de barrières binnen de valorisatieketen inzichtelijk te maken om hier in de ontwikkeling van de routekaart rekening mee te kunnen houden. Dit kunnen barrières zijn tussen de ontwikkelfases (‘valleys of death’) of meer fase overstijgend. Bij de ontwikkeling van cloud beveiligingsproducten is bijvoorbeeld de afzetmarkt klein en is samenwerking tussen de ontwikkelpartijen van groot belang voor de modulariteit van oplossingen. Dit zijn twee voorbeelden waar bij de ontwikkeling van producten rekening mee moet worden gehouden en die kunnen worden meegenomen in de stappen binnen de routekaart.
d) Om te komen tot de stip op de horizon wordt gewerkt aan bepaalde sporen binnen de routekaart. De vier mogelijke sporen waar langs gewerkt kan worden voor dit traject zijn a) de beveiliging van opslag in de cloud, b) veilig gegevens verwerken in de cloud, c) samenwerkingsverbanden tussen de stakeholders binnen de valorisatieketen en d) het instrumentarium wat hiervoor nodig is.
Voor het eerste spoor, beveiliging van de opslag in de cloud, geeft dit rapport drie mogelijke oplossingsrichtingen: 1) GAIA-X, 2) Dutch Secure Autonomous Cloud (DUSAC), 3) Client-side encryptie. In dit onderzoek is gekozen om oplossingsrichting nr. 3 gedetailleerder te onderzoeken aan de hand van drie cloud-providers (Amazon, Google en Microsoft) en enkele beveiligingsproducten uit de markt. Om te komen tot een eindoplossing wordt gekeken naar de functionaliteiten van bestaande producten en in hoeverre de Nederlandse markt kan zorgen voor een alternatief dat werkt voor de Rijksoverheid, en die aan alle beveiligingsaspecten voldoet en zorg draagt voor datasoevereiniteit.
Een uitstap naar het tweede spoor, veilig verwerken van gegevens in de cloud, wordt in dit rapport ook gemaakt. Echter wordt hier vooral een mogelijke uitdaging geschetst die de oplossingen voor een veilige opslag met zich mee kunnen brengen. Wanneer de data veilig wordt opgeslagen kan bijvoorbeeld als consequentie hebben dat bepaalde functionaliteit die de cloud aanbieder levert niet meer werkt (bijvoorbeeld het indexeren van documenten of datasets of het maken van back-ups). Dit is een nieuwe uitdaging waar in de routekaart rekening mee kan worden gehouden, bijvoorbeeld door dergelijke functionaliteit op een andere manier te implementeren
In de Nationale Crypto Strategie zijn acht thema’s geïdentificeerd. Eén van deze thema’s is “Crypto en Cloudbeveiliging”. In dit rapport wordt verslag gedaan van onze analyse over mogelijke oplossingsrichtingen voor de Rijksoverheid om vertrouwelijke informatie veilig op te kunnen slaan in de cloud. De volgende stap is om richting te geven aan het ontwikkelen van een beveiligingsproduct om vertrouwelijke informatie veilig op te slaan samen in de cloud met de Nederlandse industrie en kennispartijen voor de Nederlandse markt. De richting kan worden beschreven in een routekaart. In dit rapport wordt een plan van aanpak geschetst hoe te komen tot een routekaart voor het beveiligen van vertrouwelijke informatie in de cloud. Hierbij komt een aantal aspecten naar voren die verdere uitwerken behoeven:
a) De stip op de horizon is het vergezicht waar in een gezet aantal jaar naar toe wordt gewerkt. Een mogelijke stip voor dit onderwerp is dat over 1 á 2 jaar de medewerkers van de Rijksoverheid op een veilige manier vertrouwelijke informatie kunnen opslaan in de cloud. Na de fase waarin de gewenste functionaliteit is geïmplementeerd in een applicatie, volgt mogelijk een accreditatie-fase waarin de software geaccrediteerd moet worden.
b) In de valorisatieketen zitten de partijen die betrokken zijn bij productontwikkeling van fundamenteel onderzoek tot het daadwerkelijke gebruik van een product. Deze keten kan door middel van literatuur onderzoek en interviews in kaart worden gebracht. De partijen binnen de valorisatieketen kunnen grofweg ingedeeld worden in 1) kennisinstellingen, 2) ontwikkelpartijen, 3) eindgebruikers. Door de partijen te plotten op de vijf ontwikkelfases (Discovery/basic research, Technology development, Validation and demonstration, Integration and operationalization, Deployment) wordt duidelijk welke partij zich in welk stuk van het ontwikkeltraject bevindt.
c) Het is van belang de barrières binnen de valorisatieketen inzichtelijk te maken om hier in de ontwikkeling van de routekaart rekening mee te kunnen houden. Dit kunnen barrières zijn tussen de ontwikkelfases (‘valleys of death’) of meer fase overstijgend. Bij de ontwikkeling van cloud beveiligingsproducten is bijvoorbeeld de afzetmarkt klein en is samenwerking tussen de ontwikkelpartijen van groot belang voor de modulariteit van oplossingen. Dit zijn twee voorbeelden waar bij de ontwikkeling van producten rekening mee moet worden gehouden en die kunnen worden meegenomen in de stappen binnen de routekaart.
d) Om te komen tot de stip op de horizon wordt gewerkt aan bepaalde sporen binnen de routekaart. De vier mogelijke sporen waar langs gewerkt kan worden voor dit traject zijn a) de beveiliging van opslag in de cloud, b) veilig gegevens verwerken in de cloud, c) samenwerkingsverbanden tussen de stakeholders binnen de valorisatieketen en d) het instrumentarium wat hiervoor nodig is.
Voor het eerste spoor, beveiliging van de opslag in de cloud, geeft dit rapport drie mogelijke oplossingsrichtingen: 1) GAIA-X, 2) Dutch Secure Autonomous Cloud (DUSAC), 3) Client-side encryptie. In dit onderzoek is gekozen om oplossingsrichting nr. 3 gedetailleerder te onderzoeken aan de hand van drie cloud-providers (Amazon, Google en Microsoft) en enkele beveiligingsproducten uit de markt. Om te komen tot een eindoplossing wordt gekeken naar de functionaliteiten van bestaande producten en in hoeverre de Nederlandse markt kan zorgen voor een alternatief dat werkt voor de Rijksoverheid, en die aan alle beveiligingsaspecten voldoet en zorg draagt voor datasoevereiniteit.
Een uitstap naar het tweede spoor, veilig verwerken van gegevens in de cloud, wordt in dit rapport ook gemaakt. Echter wordt hier vooral een mogelijke uitdaging geschetst die de oplossingen voor een veilige opslag met zich mee kunnen brengen. Wanneer de data veilig wordt opgeslagen kan bijvoorbeeld als consequentie hebben dat bepaalde functionaliteit die de cloud aanbieder levert niet meer werkt (bijvoorbeeld het indexeren van documenten of datasets of het maken van back-ups). Dit is een nieuwe uitdaging waar in de routekaart rekening mee kan worden gehouden, bijvoorbeeld door dergelijke functionaliteit op een andere manier te implementeren
TNO Identifier
946993
Publisher
TNO
Collation
34 p.
Place of publication
Den Haag