BIO Thema Clouddiensten - Samenvatting AIVD-standpunt en beleidsverkenning BZK

ID: CLD_TOEL SABB Hoofdstuk normenkader Status: Actueel Publicatiedatum: 29-10-2021 Redactionele wijzigingsdatum: 17-2-2022 Alle hoofdstukken bij BIO Thema-uitwerking Clouddiensten: BIO Thema Clouddiensten - Inleiding BIO Thema Clouddiensten - Risico's in relatie tot clouddiensten BIO Thema Clouddiensten - Bronverwijzing BIO Thema Clouddiensten - Beslisboom voor risicobeoordeling IV-diensten BIO Thema Clouddiensten - Toelichting objecten in het beleidsdomein BIO Thema Clouddiensten - Toelichting objecten in het uitvoeringsdomein BIO Thema Clouddiensten - Samenvatting AIVD-standpunt en beleidsverkenning BZK BIO Thema Clouddiensten - Toelichting SIVA-basiselementen BIO Thema Clouddiensten - Verantwoording BIO Thema Clouddiensten - Cloudbeveiligingsobjecten binnen het control-domein BIO Thema Clouddiensten - Voorwoord

In 2019 is de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) om een standpunt gevraagd over het gebruik van publieke clouddiensten voor gerubriceerde gegevens of vitale overheidsprocessen, waarvoor weerstand tegen statelijke actoren noodzakelijk is. Tevens heeft het Ministerie van Binnenlandse Zaken en Koninkrijkrelaties (BZK) een beleidsverkenning gedaan. De AIVD maakt overigens in haar standpunt geen onderscheid tussen Rijksdiensten en de andere overheden.

Hieronder volgen enkele citaten die de kern van het AIVD-standpunt weergeven, waarop ook de beleidsverkenning van BZK is gebaseerd.

NBV-standpunt Publieke Clouddiensten (citaten uit de brief AIVD, 09/09/2019)

Publieke clouddiensten bieden in de huidige situatie, geen controleerbaar afdoende weerstand tegen statelijke actoren omdat er nu nog onvoldoende zekerheid kan worden verkregen:

• dat de overheidsgegevens en -processen technisch en procedureel voldoende zijn afgeschermd tegen de clouddienstverlener, zijn onderaannemers en zijn medewerkers;
• dat de clouddienstverlener spionage-en sabotage-aanvallen van statelijke actoren betrouwbaar preventief kan afweren;
• dat de clouddienstverlener spionage en sabotage aanvallen van statelijke actoren betrouwbaar kan detecteren én hierop adequaat zal reageren;
• dat voldoende controle en toezicht mogelijk is op publieke clouddienstverleners.

Daarbij gebruiken publieke clouddiensten vaak het internet, zodat de toegang en beschikbaarheid extra zorg vragen. Kortom, op dit moment is er onvoldoende zekerheid dat publieke clouddienstverleners kunnen voldoen aan het Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie (VIR-BI) en de Baseline Informatiebeveiliging Overheid (BIO). Dit Nationaal Bureau Verbindingsbeveiliging (NBV)-standpunt is gebaseerd op de huidige stand van cloudtechnologie, statelijke cyberdreiging, nationale en internationale regelgeving en contractmogelijkheden. De ontwikkelingen op dit gebied gaan snel en het zal nodig zijn om dit standpunt periodiek, bijvoorbeeld jaarlijks, te heroverwegen.

Conclusie

In de huidige situatie is gebruik van publieke clouddiensten daarom niet geschikt voor gerubriceerde nationale informatie (Dep.V tot en met Stg.ZG), gerubriceerde EU- en NAVO-informatie en voor vitale overheidsprocessen waarvoor betrouwbare weerstand tegen statelijke actoren nodig is. Het gebruik van publieke clouddiensten is daarom ook ongeschikt voor Dep.V gerubriceerde informatie waarvoor betrouwbare detectie van statelijke actoren nodig is.

Als via risicoanalyse is vastgesteld dat geen weerstand tegen en geen detectie van statelijke actoren nodig is, dan kunnen publieke clouddiensten gebruikt worden. (Einde citaten uit de AIVD-brief.)

Verkenning Cloudbeleid voor Nederlandse Rijksdiensten (citaten uit brief aan CIO-Rijk, 16/09/2019)

Concept voor brede discussie

Dit document bevat een verkenning voor Cloudbeleid van de Nederlandse Rijksdienst. Doel van deze verkenning is om richting te geven aan het gebruik en verdere ontwikkeling van clouddiensten door departementen, en om ambities te formuleren, waarbij rekening wordt gehouden inzichten van de AIVD voor het omgaan met dreigingen door Advanced Persistent Threats (APT’s) zoals statelijke actoren. Uitgangspunt is dat clouddiensten moeten voldoen aan de voorwaarden van het algemeen beleid. Deze voorwaarden zijn in grote lijnen beschreven in de strategische i‐agenda voor de Rijksdienst 2019 ‐2021.

Overwegingen en beleidsvoornemen

Het cloudbeleid dient duidelijkheid te scheppen hoe veilig gebruik gemaakt kan worden van Private, Hybride en Public Clouddiensten door overheidspartijen. Omdat de Baseline Informatiebeveiliging Rijksdienst (BIR) inmiddels, formeel, in de Baseline Informatiebeveiliging Overheid (BIO) is overgegaan, wordt in het vervolg van dit document gesproken over BIO-BBN niveaus terwijl de focus van dit document (thans) de Rijkdienst betreft.

In dit hoofdstuk zijn in het kader van risicomanagement de mogelijke beleidslijnen uitgewerkt rond het toepassen van ‘Basis Beveiligingsniveau’ (BBN) 1, 2 en 3 voor diverse Cloudimplementatie-scenario’s. De BIR/BIO bepaalt op basis van eisen voor vertrouwelijkheid. Het onderscheid in drie BBN’s voorkomt dat voor eenvoudige systemen zonder vertrouwelijke informatie of zonder eigen voor hoge beschikbaarheid teveel administratieve last wordt opgeroepen. Terwijl de BIO zich met name richt op vertrouwelijkheid van gegevens, wordt in Nederland, gedreven door internationale ontwikkelingen, ook meer aandacht gevraagd voor de beschikbaarheid van ‘vitale systemen en processen’. In beide toepassingen is risicomanagement met een proportionele set aan maatregelen een logische aanpak.

Risicomanagement betreft het inzichtelijk en systematisch inventariseren, beoordelen en – door het treffen van maatregelen – beheersbaar maken van risico’s en kansen, die het bereiken van de doelstellingen van de organisatie bedreigen dan wel bevorderen, op een zodanige wijze dat verantwoording kan worden afgelegd over de gemaakte keuzes.

Uitgangspunten

Voor alle toepassingen geldt, dat zal moeten zijn voldaan aan geldende kaders. Versie 1 okt 2019, geeft aan dat aanpassingen worden meegenomen, zodra nieuwe inzichten daar aanleiding toe geven. Het streven is om deze jaarlijks te herzien, of zoveel eerder als ontwikkelingen daar aanleiding toe geven.

Met de voorgaande overwegingen en de input van veiligheidsexperts zijn de volgende beleidsvoornemens tot stand gekomen: Voor alle niveaus (zoals in de matrix geschetst) geldt de voorwaarde: er is een samenhangende risicoanalyse uitgevoerd, waarin rekening is gehouden met eisen voor vitale en kritieke processen en gevoelige data, en deze is opgevolgd. De restrisico’s zijn of gemitigeerd of zijn geaccepteerd door de eigenaar.

Conclusie: One Cloud doesn’t fit All.

Voorgenomen Cloudbeleid 1 oktober 2019 in matrix-overzicht

Betekenis van de nummers 1, 2, 3 en 4 in de matrix:

1. Er is voldaan aan:
   1. Er moet een samenhangende risicoanalyse voor vitale en kritieke processen en gevoelige data zijn uitgevoerd en de resultaten daarvan zijn opgevolgd.
   2. De uitkomsten zijn vastgelegd en (auditeerbaar) gecommuniceerd.
   3. De restrisico’s zijn door de systeem‐ of proces‐eigenaar geaccepteerd:
      1. Voor departementale processen: met input van de Chief Information Security Officer (CISO).
      2. Voor interdepartementale processen: met input van de CISO‐Rijk
2. Er dienen passende voorzieningen beschikbaar te zijn om activiteiten van APT's zoals statelijke actoren te kunnen signaleren en daarop in te grijpen. Dit betreft een set aan detectie voorzieningen en maatregelen, waarvan expert diensten (AIVD, Militaire Inlichtingen- en Veiligheidsdienst (MIVD) of Nationaal Cyber Security Centrum (NCSC)) hebben aangegeven dat deze zinvol zijn te opzicht van het risico dat het departement met de voorziening of proces loopt.
3. De verwerking van de (Dep.V) gerubriceerde BIO‐BBN2 gegevens is vóóraf door de Secretaris Generaal (SG) goedgekeurd.
4. Voor de goedkeuring van de SG, dient het expert advies van de AIVD over Clouddiensten (zie hierboven) expliciet te worden meegewogen. Daarin staat vermeld (citaat) “Het gebruik van publieke clouddiensten is daarom ook ongeschikt voor Dep.V gerubriceerde informatie waarvoor betrouwbare detectie van statelijke actoren nodig is” (einde citaten)