Inloggen Geen profiel? Registreer hier.

To cloud or not to cloud...

Auteur Bericht
Onbekende Gebruiker
#1 — 17/02/2016 09:40
Collega's, Cloudleveranciers, Vlaamse toezichtscommissie,

Microsoft doet de laatste tijd veel pogingen om hun cloud oplossingen aan te bieden voor gemeenten, zelfs in samenspraak met leveranciers als CEVI, Cipal, ... Natuurlijk doen wij, systeembeheerders en veiligheidsconsulenten van de lokale overheden moeilijk met vragen over informatieveiligheid, privacy, e.d.. Bij hoog en bij laag beweert Microsoft dat hun systemen voldoen aan alle Belgische en Europese regels die van toepassing zijn en dat ze zelfs ook in overleg zijn met verschillende instanties zoals Vlaamse toezichtscommissie, ksz, ... om te voldoen aan alle mogelijke regels en wetten. (Moet niet gemakkelijk zijn voor Microsoft...)

En dan komt vandaag een brief van de VTC binnen bij de gemeenten die zich zorgen maakt over het feit dat een aantal gemeenten de overstap naar het MS cloudaanbod overwegen en dat ze dat eigenlijk ten sterkste afraden.
Vroeger haalden ze argumenten naar boven ivm de locatie van de data die zich binnen Europa moest bevinden (ten alle tijden, ook als je vanuit Amerika tijdens je verlof eens je mail zou willen checken). Ondertussen is dat probleem van de baan en dus hebben ze nu een nieuw tegen-argument (ik citeer):
De Toezichtscommissie wil al meegeven dat ze ervan uit gaat dat 2-factor authenticatie een minimum is voor de toegang tot persoonsgegevens en hier wordt waarschijnlijk niet aan voldaan bij veel cloudtoepassingen.
Multi-factor authenticatie is al sinds februari 2014(!) beschikbaar binnen Office365...

Ik ben benieuwd wat het volgende argument tegen Office365 zal zijn...
 
 
x 2
Posts
2
Organisaties
Vlaamse Toezichtscommissie
#2 — 23/02/2016 10:01
Beste V-ICT-OR leden,

We verzamelen de reacties op de brief, bespreken die en koppelen terug.

Toch al een paar opmerkingen bij deze post:
- MS is nog nooit in overleg gegaan met de VTC (tenzij het debat op Shopt-IT van een paar jaar geleden een overleg kan genoemd worden)
- de problematiek van de Amerikaanse firma's is nog helemaal niet van de baan !! (lees ook de presentatie bij de tool van SMALS)
- de 2-factor eis geldt voor alle toepassingen met persoonsgegevens en is niet specifiek op MS gericht (en dat iets beschikbaar is maakt niet dat het ook geïmplementeerd wordt, bv ook encryptie)

Tenslotte als achtergrond: de VTC heeft gereageerd op vragen van veiligheidsconsulenten en hoopt dat ze de besturen met de brief kan sensibiliseren.

Wordt vervolgd.
Vriendelijke groeten.
 
x 1 x 1
Onbekende Gebruiker
#3 — 11/03/2016 20:29
 Beste mevrouw Teughels,

Al geruime tijd volg ik de thematiek rond ICT-veiligheid: de introductie van de (verplichte) veiligheidsconsulenten binnen de lokale besturen, de Vlaamse Toezichtscommissie, de privacycommissie CBPL, het KSZ, rijksregister, de POD-mi, etc... en de rol van de lokale besturen hierin. Uiteraard heb ik als ICT-beheerder een rol op te nemen, samen met mijn veiligheidsconsulent. De rol van de veiligheidsconsulent is echter een adviserende rol. Samen met hem/haar stellen we een veiligheidsplan en beleid op, waarbij de besturen het advies in de meeste gevallen ook ter harte zullen nemen, vermoed ik. En dat weet u uiteraard allemaal wel.

En dan is er het hele cloud verhaal...

En dat is waar de adviserende rol van de veiligheidsconsulent onvoldoende blijkt te zijn. De cloud-problematiek blijkt vervat in een kluwen juridische context waarvan niemand weet wat er mee moet gebeuren. Dat de standpunten onderling tussen bovengenoemde instanties botsen, dat de veiligheidsconsulenten amper weten hoe er mee om te gaan, dat er communicaties voortvloeien zoals bovenvermelde brief, enz.. Dat besturen dan teruggrijpen naar de enige houwvast die ze hebben: hun verplichte veiligheidsplan en beleid (sedert 02/15) en daaromtrent berekende beslissingen nemen, kan men bezwaarlijk kwalijk nemen.

En toch is er de brief van de VTC, die (laat mij het maar benoemen) enigszins zorgwekkend te noemen is:

- Waarom ontvangen sommige besturen deze communicatie per brief, en andere weer niet? 
- Waarom is dit schrijven zo specifiek gericht op de Microsoft-cloud oplossing: Office 365? Alsof dit de enige aanbieder is?
- Hoe komt het dat deze evaluatiemodellen voor cloud-oplossing niet breder gekend zijn? Waarom etaleert men dat niet in de ruimere zin dan? (persoonlijk had ik hier nog nooit van gehoord, en nadat ik me wat verder informeer: ik ben heus niet alleen) - sta me toe hoe men verwacht dat individuele besturen die cloud-modellen autonoom gaan invullen. Ik heb ze bekeken en ik kan u verzekeren dat dit niet zo maar even eenvoudig in te vullen is. Om maar de subjectiviteit van bepaalde vragen te willen onderstrepen. 
- U stelt dat Microsoft nooit in overleg gegaan is met de VTC, maar zijn ze ook ooit uitgenodigd om dat te doen? Ik verneem van Microsoft nochtans dat er overleg geweest is met het KSZ... op regelmatige basis zou dit in het verleden gebeurd zijn. (Ik ben persoonlijk op een gezamenlijk informatieveiligheidsconsulenten overleg geweest waarop Microsoft toch effectief aanwezig was...)
- Waarom haalt men heel specifieke functionaliteiten aan, zoals 2-factor authenticatie als zijnde een minimum (een minimum!?), waarbij zoals Michiel correct aanhaalt, dit al enige tijd wel effectief toegankelijk is?

Los van bovengenoemde punten: iedere instantie op zichzelf verkondigt zijn standpunt, en neemt stelling. Er is een structureel probleem rondom de ganse cloud-thematiek. Er is nood aan een definitief standpunt  van de bovengenoemde bevoegde instanties. Het is evengoed nodig dat dit standpunt duidelijk gedragen kan worden door de individuele informatieveiligheidsconsulenten en dat lokale besturen van daaruit verder kunnen werken, zonder vrees op een communicatie zoals voorgaande. Indien noodzakelijk kan men met de grotere cloud-providers convenanten afspreken en vastleggen. 

De communicatie loopt fout. Dit moet een werkbaar gegeven kunnen worden voor de lokale besturen, zelfs in het daglicht van Safe Harbor, PrivacyShield de Patriot Act edm.

Nog een kanttekening. Op enkele overlegmomenten die ik heb bijgewoond, heb ik op bepaalde momenten ronduit regelrechte onjuistheden gehoord (soms heel flagrant en zelfs beschamend trouwens). Die onjuistheden worden vaak ingegeven vanuit niet-technische profielen die specifieke technologieën of technieken onvoldoende begrijpen. De dag van vandaag is het echter cruciaal om bepaalde technologieën correct te begrijpen en interpreteren. Het laten bijstaan door een technisch ICT-profiel die deze technologieën op de juiste manier kan interpreteren en communiceren, is bijna cruciaal geworden om finaal correcte (en juiste!) beslissingen te kunnen nemen of informatie te leveren. Dat is toch een absoluut minimum lijkt me. 

Overigens: is het niet correct dat de Vlaamse Overheid zelf grootgebruiker is van O365, of vergis ik mij? 

Steeds bereid tot open dialoog.

Met vriendelijke groeten,

Sven Willemen
 
x 5 x 1
Onbekende Gebruiker
#4 — 31/03/2016 10:49
u kan ook heel wat informatie vinden op onderstaande links betreffende de regelgeving en security/privacy voorwaarden van Microsoft
O365.
https://www.privacyassociation.org/news/a/eus-green-light-on-microsoft-cloud-services-is-selling-point
http://trust.office365.com
 
Posts
2
Organisaties
Vlaamse Toezichtscommissie
#5 — 15/04/2016 15:49
Beste V-ICT-ORleden, zoals beloofd hierbij het algemene antwoord van de VTC nav de reacties (die ons ook via andere wegen bereikten) op de brief van VTC over de cloud . Te vinden op onze website via
http://vtc.corve.be/infoveiligheid.php > thema's > cloud
 
Onbekende Gebruiker
#6 — 25/04/2016 10:31
Aan de VTC.

Met de nodige nieuwsgierigheid heb ik jullie reacties gelezen op bovenstaande forumpost en andere reacties op de omzendbrief betreffende cloudoplossingen. Helaas bleef ik op het einde op mijn honger zitten.

Wat ik vooral onthouden heb uit deze brief, en dit werd hierboven ook al aangehaald, is dat er blijkbaar onvoldoende kennis is bij de VTC over de "cloud" mogelijkheden die er op vandaag bestaan. Zou het niet beter zijn om de nodige kennis hierover op te doen in plaats van steeds negatief te adviseren over nieuwe oplossingen die onvoldoende gekend zijn. Ik begrijp dat jullie als "toezichtcommissie" kritisch moeten zijn, maar er is een verschil tussen "kritiek" en "afbreken". Kritiek kan je pas geven als je zelf de nodige kennis over het onderwerp hebt.

Plots lees ik in de brief iets interessants: 
De optie van samenwerking lijkt ook de beste weg om verder te gaan. De lokale overheden zijn te klein om afzonderlijk voldoende garanties af te dwingen bij de grote aanbieders. Bovendien zijn cloudoplossingen maar voordelig als het om voldoende grote schaal gaat.
Er verschijnt weliswaar een glimlach op mijn gezicht en ik denk bij mezelf: Hier komt de oplossing... Helaas, meer dan deze "quote" is er niet te zien. Oplossingen blijven uit... 

De afsluitende conclusie slaat dan weer (al is het heel zachtjes) de nagel op kop: 
Er moeten nu dringend stappen worden gezet naar een veilige en solide oplossing voor de datacenterproblematiek van de lokale overheden.
Geen enkele lokale overheid die dat zal tegenspreken, integendeel! De lokale overheden willen vooruit en gaan er ook voor, maar waarom moeten wij, met de beperkte middelen en kennis die we hebben, steeds alles zelf uitzoeken? Om dan met een naar ons inziens mooie oplossing naar buiten te komen die dan vervolgens door hogere instanties afgebroken wordt op basis van ongegronde argumenten wegens te weinig vakkennis. Waarom komen jullie niet naar ons toe met praktische, up-to-date en bruikbare informatie? Biedt ons oplossingen aan in plaats van alle oplossingen die wij aanbrengen steeds af te breken.

Ik ben een positief en hoopvol persoon, dus ik blijf in blijde verwachting op verbetering...
Michiel Peene
 
x 3