Voor iedere organisatie is informatiebeveiliging van groot belang, ook voor instellingen voor hoger onderwijs en onderzoek. Hoe pakken zij dat aan en hoe spelen zij in op cloud computing? Twee informatiebeveiligers aan het woord.
Het Erasmus MC heeft een grote, complexe ict-omgeving: 12.000 medewerkers, 2500 studenten, 9000 werkplekken en een groot aantal kritische applicaties. ‘Integriteit van de informatievoorziening is hier letterlijk van levensbelang', vertelt Security Officer Jan Willem Schoemaker. ‘Denk maar aan het nauwkeurig berekenen van de dosis medicijnen.' Ook stelt Erasmus MC hoge eisen aan de beschikbaarheid: voor sommige zorgapplicaties kan men zich geen uitval veroorloven en moeten er goede noodprocedures zijn. De vertrouwelijkheid van gegevens wordt eveneens streng bewaakt: het gaat tenslotte om patiënten, maar datzelfde geldt ook voor de persoonsgegevens van medewerkers en studenten. ‘Daarom houden we regelmatig acties om het beveiligingsbewustzijn te vergroten', legt Schoemaker uit.
Expliciete eisen
Schoemaker vindt cloud computing uit oogpunt van kostenbesparing en flexibiliteit een interessante ontwikkeling. Erasmus MC betrekt bijvoorbeeld rekencapaciteit uit de cloud. ‘Voor wetenschappelijk onderzoek zijn we aangesloten op Life Science Grid. Daardoor kun je bijvoorbeeld veel sneller omvangrijke rekenopdrachten uitvoeren. We hebben uiteraard eerst goed onderzocht hoe dat grid is beschermd.'
Momenteel kijkt Erasmus MC naar alternatieven voor collaboration. Uitbesteding in de cloud is een van de opties. ‘Maar we stellen expliciete eisen op het gebied van beschikbaarheid, integriteit en betrouwbaarheid. Het is nog maar de vraag of een cloudleverancier daaraan kan voldoen. Bovendien is er de EU-richtlijn die aangeeft dat vertrouwelijke gegevens niet zomaar buiten de EU mogen worden verwerkt. In al die aspecten moet je je grondig verdiepen.'
Safe harbour
De Universiteit Utrecht (ruim 7000 medewerkers, bijna 30.000 studenten) implementeert momenteel Gmail van Google voor haar studenten. Corporate Information Security Officer René Ritzen: ‘Met Gmail kunnen we de studenten tegen minder kosten meer functionaliteit bieden, met name opslagcapaciteit. Een heet hangijzer was wel de privacybescherming. Hoewel Google geen garantie geeft over de plaats van opslag, conformeert het bedrijf zich wel aan de EU safe harbour privacy principes. Dat houdt in dat Google een bij de EU passend beschermingsniveau biedt. Voor e-mailverkeer van studenten vinden we dat voldoende. Zij kunnen hun mail overigens ook laten forwarden naar een andere provider. Voor e-mail van medewerkers willen we wél minimaal de garantie dat deze in de EU wordt opgeslagen.'
Privéfoto’s
Voor iedere nieuwe dienst bekijkt de UU kritisch of ze deze zelf zal leveren of dat deze wordt uitbesteed of uit de cloud gehaald. ‘Aandachtspunten bij die afweging zijn de beveiliging en privacyaspecten van gegevens en de (on)mogelijkheden van integratie met andere diensten. Uitbesteding en cloud computing stellen hogere eisen aan de regie van het IT-landschap', zegt Ritzen. ‘Misschien is voor meer gevoelige informatie een Nederlandse edu-cloud voor het hele (hoger) onderwijs en onderzoek de oplossing.'
Los van corporate keuzes voor cloud computing, gebruiken studenten en medewerkers dergelijke diensten ook uit zichzelf. ‘Omdat we daar weinig zicht op hebben, besteden we veel aandacht aan bewustwording. Daarvoor maken we zoveel mogelijk gebruik van Cybersave Yourself campagnemateriaal.'
Dit artikel verscheen eerder in SURF magazine.
Activiteiten SURF op gebied beveiliging
SURF besteedt ruim aandacht aan beveiliging, door het bundelen van expertise, door kennisdeling en het ontwikkelen van hulpmiddelen. Daarnaast coördineert SURFnet de Cybersave Yourself campagnes, die studenten en medewerkers beter bewust maken van de gevaren van internet. SURF werkt tevens aan een audit voor instellingen. Dit is een instrument dat in 2009 bij enkele instellingen op proef is gebruikt. Deze audit geeft een indicatie hoe een instelling ervoor staat op het gebied van informatiebeveiliging, identity management en incident management, en hoe zij het doet ten opzichte van anderen.
Hoe veilig is cloud computing?
Net als bij eigen ict-diensten moet bij cloud computing worden gelet op de aspecten continuïteit, vertrouwelijkheid, integriteit en controleerbaarheid. Maar omdat je bij cloud computing het operationeel beheer uit handen geeft, is het extra belangrijk om te weten wat een leverancier doet of garandeert. Vandaar dat hierover later dit jaar een checklist verschijnt. Hier alvast een voorproefje:
– Continuïteit: wie maakt back-ups, wat gebeurt er bij calamiteiten (faillissement, brand), hoe krijg je je gegevens terug bij contractbeëindiging;
– Vertrouwelijkheid: om welke gegevens gaat het, hoe belangrijk zijn die voor de organisatie, waar worden privacygevoelige gegevens opgeslagen, welk recht is daar van toepassing;
– Integriteit: hoe erg is het als onbekenden informatie wijzigen, welke informatie moet extra worden beschermd of zelfs in de eigen ict-omgeving blijven;
– Controleerbaarheid: hoe kan worden gecontroleerd dat afspraken met de dienstverlener worden nagekomen.
Kijk ook eens voor de checklist op cloudsecurity.org. Helpt je vast een heel eind op weg.