Exitstrategie voor cloud mist continuïteit, constateert Auditdienst Rijk

Het gaat om Microsoft 365, waar onder meer OneDrive onder valt. Ambtenaren kunnen daarmee bestanden opslaan in de cloud zodat ze er overal bij kunnen. Niet alleen een groot deel van de Rijksoverheid, maar ook "vele buitenlandse overheden en bedrijven wereldwijd" gebruiken Microsoft 365, schrijft de Auditdienst. Dat zorgt voor een "zeer grote verzameling vertrouwelijke data" die het aantrekkelijk kan maken om digitale "aanvalsmogelijkheden" op de dienst te ontwikkelen.

Succesvolle aanvallen via Microsoft

Dit betreft geen theoretisch gevaar. In de zomer van 2023 is gebleken dat Amerikaanse ministeries zijn gehackt via Microsofts cloudaanbod 365. Specifiek: via maildienst Outlook.com en de webmail van Exchange Online (OWA). De verantwoordelijk geachte Chinese hackersgroep heeft ook West-Europese overheden aangevallen, aldus Microsoft toen.

Later bleek dat die cyberaanval via Microsofts cloud een veel breder bereik had. De aanvallers hadden een interne cryptografische sleutel van de cloudaanbieder gestolen waarmee ze niet alleen toegang tot gehoste Exchange-mailaccounts konden krijgen. Ook andere Microsoft-diensten zouden 'in scope' zijn geweest van de cyberspionnen, zoals SharePoint, OneDrive en Teams.

Verder is eind 2020 een hackaanval op de 365-omgeving van het Amerikaanse ministerie van Justitie ontdekt, wat begin 2021 publiekelijk bekend is geworden. De daders hebben mails van Justitie gelezen, gaf het ministerie toen toe.

Dataroof bij Nederlandse politie

Dat Nederlandse overheidsgegevens niet per se veilig zijn voor buitenlandse mogendheden, werd begin deze maand duidelijk na een grote hack bij de politie. Die is "zeer waarschijnlijk" uitgevoerd door een ander land, denken de Nederlandse inlichtingendiensten AIVD en MIVD. Welk land dat zou zijn, wordt niet gedeeld.

De Auditdienst raadt het kabinet ook aan om te werken aan een betere ‘exitstrategie’ voor clouddiensten. Als de overheid plotseling weg wil bij Microsoft of een van de andere diensten die ze gebruikt, bestaat anders het risico dat sommige taken vastlopen. Bij een migratie speelt ook de kwestie van 'teruggave' van data aan de overheid én vervolgens vernietiging van die data bij de cloudaanbieder.

Exitstrategie niet goed uitgewerkt

De datakwestie lijkt wel op orde te zijn. "In de praktijk zijn in de contracten van de drie onderzochte diensten cloudexitbepalingen opgenomen over de teruggave van data aan de Rijksoverheid en vervolgens de vernietiging van data bij de public cloudprovider", schrijft de Auditdienst Rijk. Maar het ontbreekt echter aan "een volledige uitwerking van een exitstrategie gericht op de continuïteit van de ondersteunde bedrijfsprocessen". Dat is voor geen van de drie onderzochte diensten aangetroffen.

"Het risico is dat de huidige voorwaarden in het RPCB [rijksbrede public cloudbeleid 2022 - red.] en onderliggende documenten niet leiden tot een uitwerking van een exitstrategie op het gewenste niveau, waardoor bij een cloudexit de continuïteit van de ondersteunde bedrijfsprocessen van de Rijksoverheid niet voldoende is geborgd."

Nieuw cloudbeleid

De Auditdienst doet dan ook de aanbeveling om te onderzoeken "op welke wijze het onderwerp exitstrategie kan worden opgenomen in het RPCB zodanig dat (onderdelen van) departementen in staat zijn dit onderwerp voldoende effectief op te pakken". Daarbij moet ook worden nagegaan welke rijksbrede ondersteuning noodzakelijk is "en of het wellicht mogelijk is om op dit onderwerp (deels) centraal binnen de Rijksoverheid samen te werken".

Ook de Rekenkamer doet momenteel onderzoek naar het cloudgebruik van de overheid. Staatssecretaris Zsolt Szabó (Digitalisering) belooft de aanbevelingen van de Auditdienst Rijk en de Rekenkamer in de eerste helft van volgend jaar mee te nemen in nieuw beleid.

Daarnaast wordt gestart met het proces om samen met de medeoverheden tot een heel nieuw cloudbeleid te komen, schrijft Szabó aan de Kamer. Het uitgangspunt hiervan is dat het zal gelden voor de hele overheid.