Inleiding
Het Verenigd Koninkrijk bouwt zijn G-Cloud uit. Ondernemingen kunnen er hun diensten in een centrale catalogus laten opnemen, waardoor de publieke (overheids) diensten makkelijker de weg vinden naar cloud-diensten. Deze tekst gaat in op de G-cloud en bespreekt daarbij hoe omgegaan wordt met gevoelige gegevens.
G-Cloud: Stand van zaken
De G-cloud werd in februari 2012 gelanceerd en kreeg initieel af te rekenen met heel wat kritiek (1, 2, 3) wat niet abnormaal is voor grote projecten.
Sinds zijn lancering is er via de G-Cloud een omzet van meer dan 63 miljoen pond geboekt, waarvan 10 miljoen in de laatse maand (oktober). 56% van de diensten wordt afgenomen bij KMO’s (61% qua volume). De grootste afnemer blijft de centrale overheid met 71% van de verkopen (70% qua volume). De bredere publieke sector is goed voor 29% van de verkopen (30% qua volume). Alle aankopen worden gepubliceerd. Daaruit blijkt dat het grootste gedeelte van de omzet nog steeds naar consultancy gaat.
De beschikbare diensten zijn te vinden in de CloudStore, waar ondertussen meer dan 7000 diensten door 800 aanbieders aangeboden worden. Er zijn vier grote categorieën: SaaS (Software-as-a-Service), PaaS (Platform-as-a Service), IaaS (Infrastructure as a Service) en SCS (Specialist Cloud Services). Dit laatste komt ruwweg neer op consultancy.
De afnemers van de diensten zijn meer dan 30.000 instellingen in de de publieke sector, gaande van federale overheidsinstellingen tot lokale scholen. De meeste diensten worden aangeboden op het PSN, een beveiligd overheidsnetwerk dat qua opzet te vergelijken is met het extranet van de sociale zekerheid in België.
Accreditatieprocedure
Bedrijven kunnen accreditaties bekomen voor hun cloud-diensten via een procedure bij de overheidsinstantie CESG[1]. Ongeveer om de zes maand is er een nieuw raamwerk waarin aanbieders nieuwe diensten kunnen registreren en oude kunnen herbevestigen of vernieuwen. Het meest recente raamwerk, G-Cloud 4, werd eind oktober gelanceerd. Er zijn steeds twee raamwerken op eenzelfde moment actief: het meest recente en zijn onmiddellijke voorganger. De diensten uit het vorige raamwerk worden dus nog steeds aangeboden, maar oudere diensten die niet herbevestigd werden verdwijnen uit de catalogus. Eens een dienst uit de catalogus verdwenen is, kunnen de instellingen die de dienst afnemen deze nog twee jaar lang gebruiken. Dergelijke raamwerken vormen het juridische kader. Een aanbieder van een dienst hoeft slechts eenmaal een offerte in te dienen waarna de gehele publieke sector de dienst kan afnemen. Bij elke nieuw raamwerk krijgen de aanbieders de gelegenheid om hun diensten te wijzigen, maar eens een dienst aangeboden wordt in een raamwerk, ligt de functionaliteit vast binnen dit raamwerk.
Eens de dienst op de G-Cloud aangeboden wordt, kunnen dus alle publieke diensten er gebruik van maken zonder zware administratieve overhead zoals een lastenboekprocedure. Als een dienst op de G-Cloud staat, betekent dit dat er reeds een (raam)contract is tussen de overheid en de aanbieder van de dienst.
De Categorieën
Uiteraard wordt rekening gehouden met het vaak confidentiële karakter van de gegevens waar de overheden mee omgaan. Als basis is er een classificatiesysteem bestaande uit 7 categorieën of Business Impact Levels, afgekort BIL of IL, lopend van IL0 (No impact) tot IL6 (Top secret).
Een volledige BIL bestaat uit drie getallen (vb. BIL 3.3.4); het eerste cijfer geeft de confidentialiteit aan, het tweede de integriteit en het derde de beschikbaarheid (CIA). Wanneer er verwezen wordt naar IL3-accreditatie, dan heeft men het doorgaans over BIL3.3.x, wat staat voor IL3-accreditatie voor zowel confidentialiteit als integriteit.
Accreditatieniveaus
Daar waar er vroeger een procedure nodig was per overheidsinstelling om gebruik te maken van een commerciële dienst, is er nu nog slechts één pan-government accreditatie nodig bij de G-Cloud.
Voor IL0 is er geen accreditatie vereist. Google en Amazon hebben op dit moment geen accreditaties en mogen dus enkel voor gegevens van IL0 gebruikt worden. Voor IL1 worden er niet langer accreditaties gegeven. Om IL1 gegevens te verwerken is bijgevolg een IL2 accreditatie nodig.
Een privébedrijf kan voor haar diensten een accreditatie voor ofwel IL2 (PROTECT) ofwel IL3 (RESTRICTED) aanvragen. Afhankelijk van het gewenste impact level moet een andere procedure doorlopen worden. IL2 accreditatie steunt op goede commerciële standaarden gebaseerd op ISO/IEC 27001 certifiëring door een erkende partij. IL3 accreditatie is gebaseerd op de HMG[2] Information Standards en vereist o.a. dat de gegevens in geen geval het Verenigd Koninkrijk verlaten en dat de dienst geleverd wordt via het PSN. De lijst van geaccrediteerde commerciële diensten is gepubliceerd. Microsoft Azure en Office 365 hebben momenteel een IL2 accreditatie. SCC, Skyscape, beiden Brits, hebben een IL3 accreditatie, net zoals het Amerikaans Lockheed Martin en het Franse Atos. Andere buitenlandse bedrijven zoals Oracle en SalesForce bouwen datacenters in het Verenigd Koninkrijk met het doel om hogere accreditaties te bekomen om zo toch in aanmerking te komen voor meer overheidsopdrachten, niettegenstaande de bezorgdheden in het Verenigd Koninkrijk betreffende de verwerking van gevoelige gegevens door Amerikaanse bedrijven.
IL4 (CONFIDENTIAL) is het hoogste niveau dat in de cloud aangeboden mag worden. Dit kan enkel in een private cloud die voldoet aan het Security Policy Framework (SPF). Enkel de overheidscloud GSAE (Government Secure Applications Environment) heeft momenteel een IL4 accreditatie. IL5- (SECRET) en IL6-gegevens (TOP SECRET) komen sowieso niet in de cloud.
Eens de dienst geaccrediteerd is, krijgt ze in de CloudStore de bijhorende badge zoals hieronder
Inschalen Gevoelige Gegevens
Om het veiligheidsniveau van gegevens te bepalen aan de kant van de overheidsinstelling, zijn er zes tabellen beschikbaar.
- Defence, International Relations, Security and Intelligence
- Public Order, Public Safety and Law Enforcement
- Trade, Economics and Public Finance
- Public Services
- Critical National Infrastructure (CNI)
- Personal / Citizen
Hieronder ziet u een uittreksel uit de tabel ‘Personal / Citizen’ tot (business)impact level IL4 voor het bepalen van de impact op de burger.
Deze tabellen worden rij per rij doorlopen door de persoon die de de riscoinschatting maakt, waarbij de essentiële vraag is wat de impact is indien de gegevens gecompromitteerd raken. Elke rij wordt van rechts naar links (hoge naar lage gevoeligheid) doorlopen voor zowel confidentialiteit, integriteit als beschikbaarbheid. De drie bekomen maxima bepalen het Business Impact Level van de gegevens.
Dit proces is een inschatting en geen exacte wetenschap.
Conclusie
Met de G-cloud heeft het Verenigd Koninkrijk een platform om publieke diensten gebruik te laten maken van clouddiensten, terwijl er toch veiligheidsgaranties zijn. Het Verenigd Koninkrijk heeft een interessant en vrij verfijnd classificatiesysteem, waarbij de iets gevoeligere gegevens het het land niet mogen verlaten, meer gevoelige gegevens binnen een private cloud van de overheid blijven, terwijl erg gevoelige gegevens sowieso niet in de cloud mogen komen.
[1] CESG (oorspronkelijk Communications-Electronics Security Group) levert ondersteuning aan overheidsinstellingen betreffende communicatieveiligheid. De CESG is onderdeel van de GCHQ (Government Communications Headquarters), de Britse inlichtingendienst die verantwoordelijk is voor het capteren en analyseren van elektronische informatiestromen.
[2] Her Majesty’s Government
Pingback: Hoe het Britse ministerie van Defensie omgaat met Persoonsgegevens | Smals Research
Dag Kristof Ik ben Smals gedetacheerd bij FOD SZ. Ik heb uw artikel gelezen “Cloud-strategieën bij buitenlandse overheden”. Uw presentatie voor KSZ was in december 2013, en u spreekt op dat moment van Microsoft Level 2 accreditatie Office 365. Maar, ik lees op Internet dat de FCO een Level 3 accreditatie heeft gekregen voor een Office 365 (Exchange, Sharepoint, Lync,…). Er staat ook dat het om PSN 360, en Office 365 in private cloud gaat. Ik begrijp dat level 3 zekerheid verschaft dat data niet op servers in het Datacenter Ierland terecht komen, want die worden verdubbeld in Amsterdam, en in geval major disaster kunnen data buiten Europa worden opgeslagen. Betekent dit nu dat Microsoft akkoord is gegaan om deze Microsoft producten in installeren in een Datacenter op servers waarvan zij niet zelf de eigenaar zijn, en waarover zij zelf niet het technisch beheer voeren ? Ik ben benieuwd of u hierover nadere informatie heeft. Zijn dit wellicht enkel Indianenverhalen ?