infosessie smals research - gevoelige overheidsdata en de cloud - 03-04-2014

214
Kristof Verslype Smals Research www.smalsresearch.be Gevoelige Overheidsdata en de Cloud 3 april 2014

Upload: smals-vzw-asbl

Post on 22-Nov-2014

428 views

Category:

Internet


2 download

DESCRIPTION

Smals Research infosession by research consultant Kristof Verslype on Government use of Cloud Services and protection of sensitive information.

TRANSCRIPT

Page 1: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

Kristof Verslype Smals Research

www.smalsresearch.be

Gevoelige Overheidsdata en de Cloud

3 april 2014

Page 2: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

2/83

AG

EN

DA

De Cloud - Intro

Buitenlandse Overheden

Cloud Services Brokerage

Case: File Sync & Share

Afronding

Page 3: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

3/83

De Cloud - Intro

Page 4: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

4/83

One heavy client

Many mobile thin clients

Shift

Page 5: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

5/83

Enkele voorbeelden

Een virtuele server aanmaken om een product te testen

Het ontwikkelen van een web-toepassing Een office-pakket toegankelijk

vanaf elke computer met internet

Delen van gegevens tussen mijn PC, tablet en smartphone en delen met collega’s

Een e-Mailomgeving waar het personeel overal toegang tot heeft

Page 6: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

6/83

Eigenschappen

Bron: NIST Special Publication 800-145. The NIST Definition of Cloud Computing

Self-service

Broad network access

Rapid elasticity

Measured service

Resource pooling

Page 7: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

7/83

Public VS Private VS Community

Bedrijf A

Bedrijf B

Public cloud

Bedrijf D

Bedrijf E

Bedrijf F

Private Cloud

Community cloud

Page 8: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

8/83

Cloud Services Brokerage Wat?

Wat? › Waarom? › Functionaliteit › Hoe? › Markt › Samengevat

Page 9: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

9/83

Wat?

Een Cloud Service Broker levert meer-waarde als schakel tussen aanbieders en eindgebruikers van cloud diensten.

CSB

In public, community of private cloud

Werking en beschikbaarheid cloud diensten vallen buiten controle cloud service broker

Intern of extern

Page 10: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

10/83

Cloud Services Brokerage Waarom?

Wat? › Waarom? › Functionaliteit › Hoe? › Markt › Samengevat

Page 11: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

11/83

Spaghetti-architectuur

Afdeling A

Afdeling B

Overheidsdienst

Page 12: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

12/83

Spaghetti-architectuur

Afdeling A

Afdeling B

Overheidsdienst

Lijkt goedkoop

Page 13: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

13/83

Cloud Services Brokerage Functionaliteit

Wat? › Waarom? › Functionaliteit › Hoe? › Markt › Samengevat

Page 14: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

14/83

Catalogus

Public Cloud

Community Cloud

Private Cloud

Description

cloud-catalog.smals.be

Description

Description Description

• Aanbod gevalideerde cloud-diensten • Gebruiksvriendelijk

• Ondersteuning • Gepersonaliseerde catalogi • Abstractie achterliggende clouds

=> Vermijdt wildgroei, stimuleert compliancy

Overheids-

dienst

Page 15: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

15/83

User & Access Management

CSB

• (De)provisioning • Single sign-on • Integration LDAP, eID, SAML, …. • Policy enforcement

=> Verbetering UAM

Overheidsdienst

Page 16: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

16/83

Archivering

CSB

Overheidsdienst

• Eigen beleid rond archivering • Vb. Clouddienst levert geen langetermijngaranties • Vb. Wat bij faillissement dienst?

=> Beschikbaarheid data langetermijn

Page 17: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

17/83

Vercijfering

CSB

Overheidsdienst

• Gevoelige gegevens worden vercijferd vooraleer naar publieke cloud • Bestandsopslag & uitwisseling, e-Mail, …. => Verhogen confidentialiteit

Page 18: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

18/83

Monitoring / Reporting

CSB

Overheidsdienst

• Cloud-gebruikers • Data in transit (DLP) • Cloud-diensten (SLA’s) Verhogen inzicht/overzicht gebruik data Eventueel ingrijpen indien nodig Nuttig bij veiligheidsincident

Page 19: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

19/83

Technisch / Intelligence

Kennis v/d markt

Configuratie cloud-diensten

Integratie

• Cloud – Cloud

• Cloud – Legacy

Helpdesk

Vermijden vendor lock-in

• Vb. Door aanbieden uniforme API

Page 20: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

20/83

Financieël / Contractueel

Financieël

• Eén factuur voor alle cloud-diensten

• Chargeback

• Gebruik kredietkaart

• Indekken tegen wisselkoersen

Contractueel

• Raamcontracten (volumekorting)

• SLA’s gerespecteerd?

• Juridische vertegenwoordiging

Page 21: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

21/83

Smals als embryonale CSB

Online cursussen

voor artsen

• Integratie eID

• Monitoring & reporting

Security

• Marktstudie

• Lastenboekprocedure

• Facturatie

• Accreditatiegeneratie

• …

Andere

Page 22: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

22/83

Cloud Services Brokerage Hoe?

Wat? › Waarom? › Functionaliteit › Hoe? › Markt › Samengevat

Page 23: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

23/83

CSB Enablers

Een bekende speler:

Een CSB enabler levert technologie en ondersteuning om een CSB op te zetten

http://www.jamcracker.com/

Page 24: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

24/83

Twee cases

=> 2 x telco

Page 25: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

25/83

Cloud Services Brokerage Markt

Wat? › Waarom? › Functionaliteit › Hoe? › Markt › Samengevat

Page 26: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

26/83

Een markt in expansie

2013 (in miljard $)

2018 (in miljard $)

Jaarlijkse groei

Cloud brokers 1,57 10,5 46,2%

Cloud broker enablers 0,225 2,03 55,3%

Bron: Market & Markets, Maart 2013

“Omzet 100 miljard voor CSB + CSB Enablers jaarlijks tegen eind 2014”

“Tegen 2015 zal minstens 20% van alle cloud-diensten via CSBs afgenomen worden.”

December 2012

Oktober 2013

Page 27: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

27/83

27

Catalo

g

SSO

Ad

vies

Co

ntract

Beh

eer

Finan

cieel

Migratie

Integratie

Co

nfig

Mo

nito

ring

Cloud services

Telenet CloudOffice

X

X

MS Exchange + anti-virus/-spam, kalender, Nomadesk Teamserver

Belgacom BeCloud

X

X MS Exchange, Sharepoint, Lync, Office

CloudBrokerz.nl X X X X No restrictions given

CloudSherpas X

X

X

X

X

X

X

Focus op Google & Salesforce

Vordel X

X X X X No restrictions given

Apperio X

X

X

Focus op Google, Salesforce & Amazon

Dell X

X

X

SalesForce

CSC X No restrictions given

Accenture X No restrictions given

Enkele cloud brokers…

Page 28: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

28/83

CSB Enablers - Cool Vendors

Page 29: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

29/83

Cloud Services Brokerage Samengevat

Wat? › Waarom? › Functionaliteit › Hoe? › Markt › Samengevat

Page 30: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

30/83

Samengevat...

Personeel neemt initiatief, zonder nodige overleg

CSB positieve impact op security

Onvolwassen markt met sterke groei

Term CSB niet altijd even scherp afgebakend

Traditionele service providers (vb. telco’s) nemen de rol van CSB op

Page 31: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

31/83

Spaghetti-architectuur

Afdeling A

Afdeling B

Overheidsdienst

Page 32: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

32/83

Overheden Buitenland

Page 33: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

33/83

Besproken

Vermeld

USA

Page 34: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

34/83

Overheden Buitenland Nederland

Nederland › Frankrijk › Duitsland › UK › USA › Andere › Conclusies

Page 35: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

35/83

April 2011

"Het kabinet kiest er daarom voor om een gesloten Rijkscloud in eigen beheer in te richten als een voorziening die generieke diensten levert binnen de Rijksdienst. Deze voorziening wordt ingericht binnen een eigen beveiligd netwerk en wordt beheerd door een eigen, rijksbrede organisatie.“

Brief aan de Kamer op 20 april 2011

Page 36: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

36/83

September 2012

CloudNL

20.000 ambtenaren!!!

Ah nee, toch niet…

Page 37: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

37/83

20.000 ambtenaren!!!

Ah nee, toch niet…

September 2012

CloudNL ?

Page 38: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

38/83

Juni 2013

- Rijkswaterstaat - Dienst Justitiële Inrichtingen, - Inspectie SZW Opsporing, - Dienst Terugkeer en Vertrek, - Rijksinstituut voor Volksgezondheid en Milieu, - Koninklijk NL Meteorologisch Instituut - Planbureau voor de Leefomgeving, - College ter Beoordeling van Geneesmiddelen, - Centraal planbureau - Sociaal en Cultureel Planbureau.

Datacenter in eigen

beheer, zoals AIVD,

is verstandiger!

Page 39: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

39/83

Maarten Hillenaar hoofd van de afdeling ICT bij de overheid

Alle informatie over grote projecten, maar bijvoorbeeld ook de camera's en de

bediening van de matrixborden boven de snelweg gebeurt via dit datacentrum. Je

moet qua hoeveelheid niet meer aan gigabyte denken, we hebben het hier

eerder over 70 terabyte.

Page 40: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

40/83

Consolidatie Data Centers

64 Eigen beheer

Extern

2

2 +

Page 41: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

41/83

Ambitieuze plannen teruggeschroefd

Datacenters in eigen land

Consolidatie

Kritiek wegens niet alles in eigen beheer

Cloud in kinderschoenen

Cloud 1st strategie

Wat bij overname nationale spelers?

Nederland: Conclusies

Page 42: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

42/83

Overheden Buitenland Frankrijk

Nederland › Frankrijk › Duitsland › UK › USA › Andere › Conclusies

Page 43: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

43/83

Frankrijk, 2012

Vorming 2 consortia

Door Door

https://www.numergy.com/ https://www.cloudwatt.com/

Page 44: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

44/83

Frankrijk

• Numergy: Tier 3+

• CloudWatt: Tier 4

Data centers in Frankrijk

• Franse bedrijven: 2/3 = € 150.000.000

• Staat: 1/3 = € 75.000.000

PPS (per consortium)

• Overheidsinstellingen

• Bedrijven

Doelgroep

• Cloudwatt: Cloudwatt-box - File Sync & Share

• Numergy: gevirtualiseerde omgevingen

• Zie volgende slides…

Aanbod (wordt uitgebreid)

Page 45: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

45/83

Page 46: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

46/83

Page 47: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

47/83

Page 48: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

48/83

2 x PPS met Franse bedrijven

Datacenters in Frankrijk

Staat investeert vrij veel geld (150m €)

Aanbod gevirtualiseerde server-omgevingen & FSS

Soevereine cloud staat vrij ver

Partnerships binnen EU (vb. Numergy met Belgacom)

Frankrijk: Conclusies

Page 49: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

49/83

Overheden Buitenland Duitsland

Nederland › Frankrijk › Duitsland › UK › USA › Andere › Conclusies

Page 50: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

50/83

Duitsland, 2011

Hans-Peter Friedrich, toenmalig

minister Binnenlandse Zaken (CSU)

Veilige, Duitse

Bundescloud nodig voor

regeringsinstellingen 12/2011 2 initiatieven

Page 51: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

51/83

Duitsland

http://www.deutsche-wolke.de/

Officieel voorgesteld op Cebit 2011

“Cloud made in Germany”

• Datacenters in Duitsland

• Uitbating & beheer: Duitse bedrijven

Transparantie

• Open standaarden, formaten, interface

• Volledige stack open source

Ontdubbeling over datacenters

• Bestaande infrastructuur

Page 52: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

52/83

Duitsland

Aanbod (via resellers)

« wordt uitgebreid »

Page 53: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

53/83

www.trusted-cloud.de

Gestart in 2011

• “Ontwikkelen en testen van innovatieve, veilige en rechtsconforme cloudcomputing-oplossingen”

100 miljoen €

• 50% gov, 50% privé

• Overwegend Duitse bedrijven

Doelgroep

• KMO’s

• Gezondheidszorg

• Publieke sector

Project

Page 54: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

54/83

TRESOR

Aanbod (in ontwikkeling)

• KMO’s (9)

• Gezondheidszorg (3)

• Publieke sector (2)

Pilootproject voor certifiëring clouddiensten

Juridisch luik

Activiteit

Page 55: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

55/83

Uitbouw nationale cloud

Aanbod in ontwikkeling

Investering overheid (50m €)

Focus op SaaS. Mindere mate IaaS

Duitsland: Conclusies

Page 56: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

56/83

Overheden Buitenland UK

Nederland › Frankrijk › Duitsland › UK › USA › Andere › Conclusies

Page 57: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

57/83

http://gcloud.civilservice.gov.uk/

Catalogus geaccrediteerde clouddiensten

Volledige publieke sector

Kansen nationale spelers

Aanbod

• 800 aanbieders

• 7,000 diensten

Business via G-Cloud

• £92,7m tot 28/01/14 (sinds begin 2012)

• 70% KMO’s

• Meeste contracten consultancy

Page 58: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

58/83

Page 59: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

59/83

IL6 Top Secret

IL5 Secret

IL4 Confidential

IL3 Restricted

IL2 Protect

IL0 No impact

IL1 Unclassified

Non protectively marked

Google,

Amazon

Salesforce Microsoft

Azure,

Office 365

SCC

Skyscape

Atos

Lockheed Martin

GSAE

Amerikaanse bedrijven reageren

• Oracle wil IL3 en bouwt datacenter in UK

• Salesforce gelijkaardig

Accreditaties

Government-

Managed cloud

Page 60: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

60/83

• Business Impact Level (« BIL » of « IL »)

BIL 3.3.4

Availa

bility

Inte

grity

Confid

entia

lity

BIL 3

Page 61: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

61/83

Pan Government Accreditation

=► Do it once

Page 62: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

62/83

• Accreditatie

“BIL 33x services will be delivered through PSN Direct Network Service

Providers (DNSPs) and will not be offshored outside the UK. “

“Usage of cloud services at BIL4 and above for Confidentiality should be

implemented through private cloud services“

“11x/22x makes extensive use of suitably scoped ISO/IEC 27001 certification “

Page 63: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

63/83

Defence, International Relations, Security and Intelligence

Public Order, Public Safety and Law Enforcement

Trade, Economics and Public Finance

Public Services

Critical National Infrastructure (CNI)

Personal / Citizen

Bepalen gevoeligheid gegevens a.d.h.v. zes tabellen

Page 64: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

64/83

Page 65: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

65/83

Catalogus cloud-diensten op G-Cloud

Verfijnd classificatiemodel voor diensten en data

Protect data blijft in UK, Confidential data gov-managed

Pan-government accreditatie

Omzet vooral via consultancy

Cloud first strategy

Conclusies

Page 66: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

66/83

Overheden Buitenland USA

Nederland › Frankrijk › Duitsland › UK › USA › Andere › Conclusies

Page 67: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

67/83

Verenigde Staten

Cloud 1st strategy

Cloud Store stopgezet (~G-cloud)

Federal Data Center Consolidation Initiative (FDCCI)

• 3000 -> 1800 in 2015(-40%)

• D.m.v. cloud principes

• Ook nieuwe datacenters (vb. Utah Data Center)

Page 68: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

68/83

Verenigde Staten

Wel extra maatregelen

• Extra security

• FISMA accreditatie, ITAR, FedRAMP

• Logisch en fysiek gescheiden omgeving

Nationale spelers ~ wereldspelers

Gebruik commerciële diensten

Page 69: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

69/83

Overheden Buitenland Andere

Nederland › Frankrijk › Duitsland › UK › USA › Andere › Conclusies

Page 70: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

70/83

Verbod gebruik

Google Apps

Verbod gebruik Google Apps

Verbod forwarden naar gMail

Page 71: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

71/83

Overheden Buitenland Conclusies

Nederland › Frankrijk › Duitsland › UK › USA › Andere › Conclusies

Page 72: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

72/83

1st

Strategy

Soevereine clouds in opbouw

Confidential data stays inside the country

Conclusies

Page 73: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

73/83

De soevereine cloud…

Page 74: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

74/83

World economy Europe

Toekomst

Page 75: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

75/83

« Vertrouwen is goed, controle is beter »

Wat gebeurt echt met gegevens in de cloud? Vb. Onthullingen Snowden

Page 76: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

76/83

Page 77: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

77/83

Ook andere landen bouwen inlichtingendiensten verder uit

http://www.spiegel.de/politik/deutschland/internet-ueberwachung-bnd-will-100-millionen-investieren-a-905938.html

Hans-Peter Friedrich, toenmalig

minister Binnenlandse Zaken (CSU)

Natuurlijk moeten onze

inlichtingendiensten op

internet aanwezig zijn 06/2013

« BNC (Bundesnachrichtendienst) wil 100 miljoen € investeren om het Internet af te luisteren »

Der Spiegel, 06/2013

Page 78: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

78/83

Afhankelijkheid andere landen

?

Page 79: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

79/83

Wat bij buitenlandse overname eigen nationale spelers?

Nationale belangen VS. vrijemarktprincipes

Page 80: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

80/83

Tegelijkertijd besparingsdruk

Grotere landen meer schaalvoordelen bij soevereine cloud

Page 81: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

81/83

En België

Verspreide initiatieven

• VDAB, VAPH

• Cloud policy SZ

• Synergieën SZ -> Community cloud

Nationale initiatieven?

• Fedict stootte op financiële obstakels

>> België loopt achter! <<

Page 82: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

82/83

Mogelijke rol Smals

Publieke Cloud Internationaal

Belgische cloud Commercieel

Gov. Cloud Gov. Managed

No Cloud

Smals als CSB Catalogus, UAM, monitoring,

advies, …

Smals als cloud aanbieder

Vb. File sync & Share, Virtuele servers

Publieke gegevens

Top Secret gegevens

Smals infrastructuur (mits certifiëring)

Suggesties?

Synergieën?

Page 83: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

83/83

Eindelijk…

« Was mich nicht umbringt, macht mich stärker » Friedrich Nietzsche, Duits filosoof

Page 84: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

1/126

File Sync & Share

Page 85: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

2/126

De Cloud - Intro

Buitenlandse Overheden

Cloud Services Brokerage

Case: File Sync & Share

Afronding

Wat?

Public Cloud

Private Cloud

End-Point Security

Nieuwe Dienst

Apps

AG

EN

DA

Page 86: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

3/126

File Sync & Share Wat?

Wat? › Public cloud › Private Cloud › Apps › End-Point › Nieuwe Dienst

Page 87: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

4/126

Zoals…

voor bedrijven/overheden = Enterprise File Sharing

Page 88: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

5/126

Direct Access (from everywhere)

Page 90: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

7/126

Directe toegang & Synchronisatie vaak complementair

Page 91: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

8/126

Delen

https://djcue346ivcf...

Jack

Joe

William

Averell

Page 92: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

9/126

Gebruiksvriendelijk Toegang &

beheer data

Overal toegang

Synchro-nisatie

Privé en enterprise

Client Mobiel, PC

en Web

Public, private,

community cloud

Page 93: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

10/126

10 Te vermijden….

Page 94: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

11/126

File Sync & Share

Directe toegang

Gebruiks-vriendelijk

Synchronisatie

Flexibel delen

Samengevat

Page 95: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

12/126

Model

Public Private

Community

Private persoon

Bedrijf

Page 96: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

13/126 Wat? › Public cloud › Private Cloud › Apps › End-Point › Nieuwe Dienst

File Sync & Share Public Cloud

Page 97: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

14/126

Page 98: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

15/126

Gevaren

Data exfiltration

• Wat indien medewerker weg (vb. naar concurrentie)

• Gehackte account (vb. door zwak paswoord)

Import malware

• Vb. Hacker plaatst bestand via Dropbox account op PC1

Geen controle

• Wie gebruikt welk FSS voor welke gegevens

• In hoeveel clouds staat onze gevoelige data?

• Data gelekt? Incident? -> Pers

(1) http://www.infosecurity-magazine.com/view/33422/attackers-using-dropbox-and-wordpress-to-target-disguise-and-distribute/

Page 99: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

16/126

« Ook voor enterprise use! »

Beperkingen…

Page 100: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

17/126

SSL

http://www.computerworld.com/s/article/9242384/Dropbox_takes_a_peek_at_files

“Secure Sockets Layer (SSL) & AES-256 bit encryption. Privacy policy and procedures”

Op te lossen?

- Dropbox? NSA? GCHQ? Anderen? => Confidentialiteit? - Afhankelijk andere landen => Beschikbaarheid?

►► Niet voor gevoelige data ◄◄

Veelal gelijkaardig voor concurrenten in publieke cloud.

Page 101: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

18/126

...

≠ Classic

Page 102: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

19/126 Bob Johan

Page 103: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

20/126

PK SK PK SK

Initialisatie Sleutels lokaal gegenereerd in BoxCryptor client

Bob Johan

Page 104: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

21/126

PK SK PK SK

Initialisatie Sleutels lokaal gegenereerd in BoxCryptor client Private sleutel password protected Beschermd sleutelpaar naar BoxCryptor cloud

PK SK PK SK

Bob Johan

Page 105: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

22/126

PK SK PK SK

PK SK

PK SK

Bob Johan

Uploaden bestand

Page 106: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

23/126

AES

PK SK PK SK

PK SK

PK SK

Bob Johan

Uploaden bestand Per file unieke AES sleutel gegenereerd

AES

Page 107: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

24/126

AES

PK SK PK SK

PK SK

PK SK

Bob Johan

Uploaden bestand Per file unieke AES sleutel gegenereerd

AES sleutel vercijferd met publieke sleutel user

AES PK

Page 108: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

25/126

PK SK PK SK

PK SK

PK SK

Bob Johan

AES

AES PK

Uploaden bestand Per file unieke AES sleutel gegenereerd

AES sleutel vercijferd met publieke sleutel user Vercijferde document + vercijferde sleutel naar Dropbox cloud

Page 109: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

26/126

PK SK

PK SK PK

PK SK PK SK

Bob Johan

AES

AES AES PK

AES AES PK

Delen File-key + publieke sleutel Johan gedownload door Bob

Page 110: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

27/126

PK SK PK SK

PK SK

PK SK

Bob Johan

AES

AES AES PK

PK AES PK

Delen File-key + publieke sleutel Johan gedownload door Bob

Bob decrypteert file-key

Page 111: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

28/126

AES

PK SK PK SK

PK

PK SK

PK SK

Bob Johan

AES

AES AES PK

AES PK

Delen File-key + publieke sleutel Johan gedownload door Bob

Bob decrypteert file-key Bob encrypteert file key met publieke sleutel Johan

Page 112: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

29/126

PK SK PK SK

PK SK

PK SK

Bob Johan

AES

AES AES PK

AES PK

AES

AES PK

Toegang gegevens Johan downloadt doc + geëncrypteerde file key

Page 113: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

30/126

PK SK PK SK

PK SK

PK SK

Bob Johan

AES

AES AES PK

AES PK

Toegang gegevens Johan downloadt doc + geëncrypteerde file key Johan decrypteert file key met zijn private sleutel

AES

AES PK

Page 114: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

31/126

PK SK PK SK

PK SK

PK SK

Bob Johan

AES

AES AES PK

AES PK

Toegang gegevens Johan downloadt doc + geëncrypteerde file key Johan decrypteert file key met zijn private sleutel Johan decrypteert doc met file-key

AES

AES

Page 115: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

32/126

Functionaliteit & gebruiksvriendelijkheid

• Delen blijft mogelijk

• Enkel toegang met BoxCryptor client

• Dropbox webclient onbruikbaar

• 2 accounts nodig (Dropbox & BoxCryptor)

Security

• Dropbox geen toegang tot gegevens

• Afhankelijkheid buitenland blijft

• Indien overal zelfde paswoord -> BoxCryptor toegang tot data?

• Beperkte enterprise-functionaliteit (volgende slide)

Conclusies

Page 116: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

33/126

33

Gecentraliseerd beheer

We willen integratie met eigen UAM i.p.v. beperkt user & policy mgt voor

elke cloud-dienst afzonderlijk

Page 117: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

34/126

Interessant concept, maar minder geschikt in onze context

Page 118: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

35/126

Uitgebreid enterprise management Geen client side encryptie

Eigen opslag mogelijk

Client side encryptie + Eigen opslag

Client-side encryptie + opslag bij bestaande FSS dienst

Page 119: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

36/126

Enkele bedenkingen bij public cloud FSS oplossingen

Page 120: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

37/126

FSS oplossingen vaak initieel consumer-oriented

Trachten nu enterprise functionaliteit toe te voegen

(incl. security)

Page 121: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

38/126

Er zijn oplossingen met extra security

Desondanks...

Page 122: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

39/126

Spanningsveld

Enterprise functionaliteit

Confiden- tialiteit

Gebruiks- vriendelijkheid

De drie elementen samen in de public cloud lijkt momenteel moeilijk

Public cloud

Hoe op te lossen?

Page 123: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

40/126 Wat? › Public cloud › Private Cloud › Apps › End-Point › Nieuwe Dienst

File Sync & Share Private Cloud

Page 124: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

41/126

Scenario: Delen Documenten

Cobaye Proefkonijn

Een CEO

~ OneDrive / DropBox / …

Gehost door Smals

Delen docs meetings

Tablet

Off-line toegang

Gebruiksvriendelijk

Page 125: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

42/126

Computer Secretariaat CEO

Tablet CEO

Server bij Smals

Page 126: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

43/126

Tablet CEO

Server bij Smals

Page 127: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

44/126

Tablet CEO

Server bij Smals

Page 128: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

45/126

Tablet CEO

Server bij Smals

Synchronisatie Bestanden worden automatisch gekopieerd naar server bij Smals

Page 129: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

46/126

Tablet CEO

Server bij Smals

CEO synchro- niseert zijn tablet met de server bij Smals

Page 130: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

47/126

Tablet CEO

Server bij Smals

CEO heeft offline toegang tot de bestanden op zijn tablet

Page 131: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

48/126

Tablet CEO

Server bij Smals

Secretariaat verwijdert

documenten

Page 132: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

49/126

Tablet CEO

Server bij Smals

Synchronisatie Bestanden worden automatisch verwijderd op server bij Smals

Page 133: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

50/126

Tablet CEO

Server bij Smals

Synchronisatie Bestanden

worden verwijderd op

tablet CEO

Page 134: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

51/126

CEO

Meeting Alfa

Meeting Beta

Organisatie B

Organisatie A

Gegeneraliseerd Scenario

Server-side repositories

Page 135: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

52/126

FSS Scenario’s

Beheren & delen documenten meetings

Foto’s en verslagen op verplaatsing (vb. werven) direct delen met team voor analyse

Alternatief voor uitwisselen van zware docs via e-Mail

Directeur synchroniseert zijn verschillende toestellen

Met welk product te realiseren?

Page 136: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

53/126

We testten…

Heeft goede referenties

Page 137: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

54/126 http://indico.cern.ch/getFile.py/access?contribId=82&sessionId=6&resId=0&materialId=slides&confId=214784

CERN koos voor Owncloud

Page 138: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

55/126

Architectuur

Database

LDAP

Storage

Application servers

Load- balancers

Courante producten

ondersteund

Alles dat mountable is

(zelfs Dropbox)

- WebDAV - Logging - Malware detection - Server-side encryptie - Apps (uitbreidingen)

Page 139: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

56/126

Community-based, geen SLA’s!

Page 140: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

57/126

De gebruiker

Owncloud PC Client

Network drive mapping

Web interface

Owncloud client app

app

Generieke client app

Sync/ Direct access

Direct access Sync Sync/

Direct access Direct access

Page 141: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

58/126

De gebruiker

Owncloud PC Client

Network drive mapping

Web interface

Owncloud client app

app

Generieke client app

Sync/ Direct access

Direct access Sync Sync/

Direct access Direct access

Page 142: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

59/126

Alles dat aan mij gedeeld is

Page 143: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

60/126

Kova zal mijn map /Confidentieel zien in zijn /Shared/Confidentieel

Page 144: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

61/126

Page 145: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

62/126

« Only share in your groups »

An

Bob

Charlie Dirk

Evelien

Frank Gerard

Helena

Isabelle

Jochen

Kris Leon

« Kan delen met »

Page 146: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

63/126

Page 147: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

64/126

Page 148: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

65/126

De gebruiker

Owncloud PC Client

Network drive mapping

Web interface

Owncloud client app

app

Generieke client app

Sync/ Direct access

Direct access Sync Sync/

Direct access Direct access

Page 149: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

66/126

Page 150: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

67/126

De gebruiker

Owncloud PC Client

Network drive mapping

Web interface

Owncloud client app

app

Generieke client app

Sync/ Direct access

Direct access Sync Sync/

Direct access Direct access

Page 151: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

68/126

Page 152: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

69/126

Gebruiksvriendelijkheid

Server

•Eenvoudige basisinstallatie

•Flexibel

•Apps (uitbreidingen) niet steeds matuur

PC client

•Wizard

•Flexibler & complexer dan Dropbox

Web interface

•Spartaans

•Bevat wel alle functionaliteit

•Gebruik recente browser

App (iOS, Android)

•Minimale functionaliteit

• Intuïtief

Page 153: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

70/126

Ervaringen

• Evolueert snel

Matuur

• Uitgebreide functionaliteit om te delen

• Prullenmand

• Vorige versies

Sommige functionaliteit enkel in web client

• Standaard MySQL tot 2500 actieve gebruikers

• VPN & Reverse proxies ok

Technisch

Page 154: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

71/126

Demo

Page 155: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

72/126

Demo - Scenario

Rechten op map « Raad van Bestuur » Geen rechten op map « Directiecomité »

geeft rechten aan

+

+

voegt documenten toe aan map « Directiecomité »

consulteert documenten

verwijdert documenten

ziet documenten niet meer

Admin

CEO

Secr.

0.

1.

2.

3.

4.

5.

Page 156: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

73/126

Video te downloaden op www.smalsresearch.be

Page 157: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

74/126

Video te downloaden op www.smalsresearch.be

Page 158: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

75/126

Video te downloaden op www.smalsresearch.be

Page 159: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

76/126

Video te downloaden op www.smalsresearch.be

Page 160: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

77/126

Video te downloaden op www.smalsresearch.be

Page 161: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

78/126

Conclusie

• Ook open source

• Uitgebreid getest

• Evaluatie positief

Degelijke private cloud FSS oplossingen

• Veiliger dan huidige wildgroei

• Misschien niet even veilig als wereldspelers

• Evenmin dezelfde schaal/specialisatie -> kost

• Toegang door buitenlands overheden moeilijker

Vergelijking

Page 162: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

79/126 Wat? › Public cloud › Private Cloud › Apps › End-Point › Nieuwe Dienst

File Sync & Share Apps

Page 163: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

80/126

We bekijken…

1) Client apps voor toegang bestanden op server 2) Viewers apps om documenten te bekijken

Client app gebruikt standaard geïntegreerde viewer

Client app gebruikt viewer apps

Page 164: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

81/126

Client apps

Page 165: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

82/126

We bekeken reeds

Nu volgt kort

FolderSync Owncloud

GoodReader

Generische client

Owncloud client

Client Apps

Page 166: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

83/126

Page 167: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

84/126

Page 168: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

85/126

Page 169: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

86/126

Page 170: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

87/126

OS Sync Direct

access

Cache Share Convi

vialité

Flexi

bilité

File name

length

Viewers €

Dropbox

2.3

No Yes Yes link +++ - Extern Free

Owncloud

1.5

Selected

files

Yes Yes No +++ - - Extern 0,79

Owncloud

3.1.1

No Yes Yes link +++ - - Intern /

(extern)

0 79

FolderSync

2.5

Yes No nvt No + ++ +++ extern 2,29

GoodReader

3.19

Yes Downlo

ad only

nvt No ++ +++ ++ Intern /

(extern)

4,49

Documents

4.4

Yes Yes nvt No ++ + +++ Intern Free

Docs@Work

5.8

Downloa

ded files

Yes No No +++ - - Intern 10€

/UY

Client Apps Vergeleken

Page 171: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

88/126

Clients: Custom - Generiek

Config.

+++ ++ + Accounts

(gelijktijdig)

Delen

(met link)

Generic client

Page 172: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

89/126

Kies in functie van je voorkeuren & vereisten

- Directe toegang Vs. synchronisatie - Meerdere accounts Vs. 1 account

Page 173: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

90/126

Viewer apps

Page 174: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

91/126

Enkele Viewer Apps

Kingsoft Office

AstralPad

Smart Office 2

ThinkFree

Kingsoft Office

OfficeSuite

Microsoft Office

Kingsoft Office

GoodReader

Documents

We

ergave

kwalite

it do

cs B

eter

Slech

ter

Microsoft Office

Page 175: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

92/126

Page 176: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

93/126

Aandachtspunten

Weergavekwaliteit Annotatie PDFs

Editeren Documenten Weergavesnelheid

• Quasi perfecte weergave • Documenten laden traag • Editeren enkel indien een Office 365 abo

Vb.

>> Gebruik bij voorkeur PDF <<

Page 177: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

94/126

Conclusie

Diverse Client apps & viewer apps

mogelijk

Fijn, maar daarmee is onze tablet nog niet veilig…

Page 178: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

95/126 Wat? › Public cloud › Private Cloud › Apps › End-Point › Nieuwe Dienst

File Sync & Share End-Point Security

Page 179: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

96/126

Probleemstelling

Password:

Access granted!

1234

Toegenomen risico compromitteren gevoelige data Gebrek aan controle door bedrijf problematisch

Gevoelige data

Page 180: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

97/126

Containerization

Mobile Device

Moni- toring

Manag- ement

Support

Security Data Con- tain- ment

Mobile Device Management (MDM)

Page 181: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

98/126

Mobile Device Management (MDM)

Page 182: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

99/126

Functionaliteiten

Inventaris

Security policies

Monitoring

Provisioning

App control

Lock & wipe

Mgt. Dashboard

Page 183: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

100/126

Functionaliteiten

Page 184: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

101/126

Functionaliteiten

Page 185: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

102/126

Architectuur

VSP Sentry

Lotus Notes, Exchange, …

FSS

Sentry

Enkel gekende devices toegang

dienst

Internet

Intern netwerk

Controle devices

Page 186: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

103/126

Containerization

Containerization uitbreidingen

Docs@Work Web@Work Apps@Work

Gegevens verlaten afgeschermde omgeving op mobiel toestel niet

• Niet: openen met andere apps

• Niet: uploaden naar cloud dienst

• Niet: versturen per mail

• Geen knippen-plakken

• …

Page 187: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

104/126

Page 188: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

105/126

WatchDocs TODO

http://www2.watchdox.com/

File Sync & Share + Containerization

Document-oriented

Integreert met Outlook, Sharepoint, …

Monitor document access

• Next slide

WatchDox Cloud of WatchDox Virtual Appliance

Page 189: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

106/126

Page 190: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

107/126

« We gebruiken AES-256 »

« Alles is in elke situatie veilig »

Volledig ecosysteem nodig!

Page 191: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

108/126

Veilige Server Infrastructuur

Secure connection

MDM

Een ecosysteem

Container

(Alternatieve oplossing laat alle internetverkeer via bedrijfsgateway passeren)

Page 192: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

109/126 Wat? › Public cloud › Private Cloud › Apps › End-Point › Nieuwe Dienst

File Sync & Share Nieuwe Dienst

Page 193: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

110/126

Werkstation (=PC of Draagbare PC)

Werkstation + VPN Privé mobiel toestel (=Tablet/smartphone)

Netwerk Extranet Extranet Internet

Beheer ISZ ISZ ?

Authenticatie 1) Bios pwd 2) Windows pwd (+policy)

1) Bios pwd 2) Windows pwd (+policy) 3) eID (met PIN)

?

P(verlies) Laag Medium Hoog

Security Toestellen SZ

Sterkere security nodig voor mobile devices

Page 194: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

111/126

Voorbeeld Mobiel toestel zonder

gecentraliseerd beheer

Mobiel toestel met

gecentraliseerd beheer

Mobiel toestel met gescheiden

omgevingen (Isolatie / VDI)

Publieke gegevens Site KSZ

Interne bedrijfsgegevens

Interne strategie, agenda, contacten, mail Te bepalen

Vertrouwelijke bedrijfsgegevens

Boekhoudplan, DRP

Te bepalen

Persoonsgegevens Persoonlijk dossier HR Te bepalen

Sociale persoonsgegevens

gegevens RR

Medische gegevens

Medische gegevens

Policy Mobiele Toestellen SZ

Bron: Gebruikerspolicy voor mobiele toestellen. Versie 3.0, 22 januari 2014, ISMS

Page 195: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

112/126

Extranet Sociale Zekerheid Internet

ISZ

A

ISZ

B

VPN

Page 196: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

113/126

Beyond Social Security

Extranet SZ

FedMAN

=> Volwaardige dienst voor alle federale overheidsdiensten

Page 197: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

114/126

Overheids- dienst A

Delen binnnen en tussen instellingen

Overheids- dienst B

Overheids- dienst C

Groep Alfa

Groep Beta

Groep Gamma

Page 198: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

115/126

Conclusie

In progress. Smals werkt aan uitbouw veilige FSS dienst om vertrouwelijke gegevens te delen binnen en tussen overheidsinstellingen

Next step. Containerization binnen SZ voor verwerking persoonsgebonden gegevens op tablet

Vraag. Kan de FSS dienst aangeboden worden buiten extranet SZ en FedMAN?

Page 199: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

116/126

Afronding

Page 200: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

117/126

Conclusies

CSB kan security verhogen bij gebruik cloud diensten

Buitenlandse overheden houden gevoelige data intern

FSS: public cloud Vs. private cloud

Ecosysteem (infr, connectie, end-point, data)

Smals werkt aan FSS dienst

Page 201: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

118/126

Herwin de controle!

Community cloud

CSB

Private cloud

Cloud-anarchie

Page 202: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

119/126

Verandert constant ongevraagd

Is niet transparant

Kan oplossen & verdwijnen

FE

IT

EN

De public cloud...

Page 203: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

120/126

Geïnfiltreerd door overheden?

Minder veilig dan de groten?

Duurder? Goedkoper?

VR

AG

EN

Meer samenwerking → Meer schaalvoordelen!

Een eigen cloud is...

Page 204: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

121/126

Vandaag OK ≠ morgen OK (rekenkracht, veronderstellingen) Door jou verwijderd ≠ effectief verwijderd Applicatie heeft vaak de data in clear-text nodig

Cryptografie evolueert

En sommige data moet erg lang beschermd blijven...

Page 205: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

122/126

Sociale Zekerheid Veiligheidspolicy’s voor o.a.

https://www.ksz-bcss.fgov.be/nl/bcss/page/content/websites/belgium/security/security_04/security_04_02.html

Mobiele toestellen

Cloud computing services

=> Must read! <=

Page 206: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

123/126

Risicoanalyse

Wat is de aarde en gevoeligheid van de gegevens?

Wat is de impact bij compromitteren van de data

Tot wanneer blijft de data gevoelig?

Welke zijn de contractuele voorwaarden?

Volstaan juridische garanties

Is afhankelijkheid van het buitenland tolereerbaar

....

Page 207: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

124/126

Match?

Next steps…

Data

Overheids-

dienst

Cloud Provider

Matur- iteit?

Aard? Gevoelig-

heid?

Security?

Page 208: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

125/126

Artikels

– De Stille machtsgreep van de Cloud

– Hoe het Britse Ministerie van Defensie omgaat met persoonsgegevens

– Hoe de G-Cloud (VK) omgaat met Gevoelige Gegevens

Rapporten

– Cloud Strategieën bij Buitenlandse Overheden

Quick Reviews

– FolderSync

– GoodReader

sm

als

Re

se

arc

h.b

e

In voorbereiding

– Open Source Review: ownCloud 6

– Infosessie Cloud Security

– Studie SaaS-Enablement (infosessie?)

Page 209: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

126/126

MET DANK AAN…

ONDERZOEK SMALS Koen Vanderkimpen

Tania Martin Bert Vanhalst Vandy Berten Renzo Lylon Paul Stijfhals

Johan Vercruysse

INFORMATIEVEILIGHEID SMALS Alex Slaets

Johan Costrop

ICT SERVICE DESK SMALS Merijn De Mil Paul D’Hooghe

Christophe Wijns

CPT SMALS Grégory Ogonowski

KLANTENBEHEERDERS SMALS Diane Puttaert

Donald Dekeyser

PRECALCUL SMALS Paul Demaerel

INTERNE AUDIT SMALS Marc Vael

PROEFKONIJNEN Secretariaten Smals Management Smals

Secretariaat Frank Robben Frank Robben

www.smalsresearch.be [email protected]

Page 211: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

128/126

App. A: Gebruikerspolicy voor mobiele toestellen SZ

Categorie Beschrijving Publieke gegevens Als publieke gegevens worden alle gegevens beschouwd die openbaar zijn, algemene bekendheid hebben of vrij

van vertrouwelijke inhoud zijn. Alle overige categorieën zijn bijgevolg “Niet-publieke gegevens”. De gevoeligheidsklasse van publieke gegevens is “unclassified”. Voorbeeld: voor het algemene publiek toegankelijke website.

Interne Bedrijfsgegevens Interne bedrijfsgegevens zijn alle gegevens waarvan het gebruik beperkt moet worden intern in het bedrijf. Deze gegevens zijn niet bestemd voor publieke bekendmaking zonder voorafgaande goedkeuring door de directie. De gevoeligheidsklasse van deze gegevens is “sensitive unclassified”. Voorbeeld: Interne telefoonlijst.

Vertrouwelijke Bedrijfsgegevens

Vertrouwelijke bedrijfsgegevens zijn alle gegevens die te maken hebben met de werking van de instelling – het overheidsbedrijf - en die binnen de context van de instelling - en mogelijk ook specifieke partners - een vertrouwelijk karakter hebben. Deze gegevens zijn niet bestemd voor mededeling zonder voorafgaande goedkeuring door de directie. De gevoeligheidsklasse van deze gegevens is “classified”. Voorbeelden: Verslag van het directiecomité; boordtabellen.

Persoonsgegevens Gegevens die betrekking hebben op een natuurlijke persoon die is of kan worden geïdentificeerd. Alle persoonsgegevens hebben een vertrouwelijk karakter en zijn gebonden aan de richtlijnen uit de privacywet. De gevoeligheidsklasse van deze gegevens is “classified”.

Sociale persoonsgegevens “Sociale gegevens van persoonlijke aard” zijn alle persoonsgegevens die nodig zijn voor de toepassing van de sociale zekerheid met betrekking tot een natuurlijke persoon. Sociale gegevens die geen persoonsgegevens zijn dienen minstens als vertrouwelijke bedrijfsgegevens te worden behandeld. De gevoeligheidsklasse van deze gegevens is “classified”.

Medische persoonsgegevens

“Sociale gegevens van persoonlijke aard die de gezondheid betreffen” zijn alle sociale persoonsgegevens waaruit informatie kan afgeleid worden over de vroegere, huidige of toekomstige gezondheidstoestand, uitgezonderd louter administratieve of boekhoudkundige gegevens over geneeskundige behandelingen of verzorgingen. De behandeling, uitwisseling en bewaring van deze gegevens moet gebeuren onder toezicht en verantwoordelijkheid van een geneesheer. De gevoeligheidsklasse van deze gegevens is “secret”.

Privé gegevens Deze speciale categorie betreft privé gegevens die door werknemers opgeslagen kunnen worden op het bedrijfsnetwerk, doch geen enkele binding hebben met zijn professionele activiteiten. Persoonlijke gegevens worden behandeld volgens de regels van de privacywet en het interne reglement van de instelling. Voorbeeld: brief voor privé doeleinden.

[1] Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. [2] Wet van 15 januari 1990 houdende oprichting van een Kruispuntbank van de sociale zekerheid, art.2, 6° [3] Wet van 15 januari 1990 houdende oprichting van een Kruispuntbank van de sociale zekerheid, art.2, 7° [4] Wet van 15 januari 1990 houdende oprichting van een Kruispuntbank van de sociale zekerheid, art.26, §1

Page 212: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

129/126

App. B: Gevoelige gegevens op draagbare computers

• « De bewaring van gevoelige gegevens op de portable PC

dient vermeden te worden en gevoelige gegevens moeten

zo snel als mogelijk opgeslagen worden in het netwerk. »

• « Hieronder enkele voorbeelden van verboden activiteiten (niet volledige lijst):

– ...

– op eender welke manier, ongeauthoriseerd, vertrouwelijke persoons- of bedrijfsgegevens verspreiden,

– de vertrouwelijkheid en integriteit van de gegevens schenden of hun beschikbaarheid belemmeren;

– ... »

Veiligheidsbeleid Draagbare PC V2.20 2009 ISMS

Page 213: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

130/126

App. C: Gevoelige gegevens vie e-Mail en Internet

• « Alle gegevens van persoonlijke of medische aard die elektronisch moeten worden doorgestuurd, mogen enkel worden overgemaakt via de informatiesystemen die door de bevoegde sectorale comités werden bepaald en goedgekeurd. »

• « Bij de elektronische uitwisseling van vertrouwelijke gegevens dienen de gepaste maatregelen te worden getroffen teneinde de vertrouwelijkheid en de integriteit van de overgemaakte gegevens te waarborgen, met inachtneming van de van kracht zijnde wetten en reglementeringen (Kruispuntbank van de Sociale Zekerheid, Rijksregister van de natuurlijke personen, bescherming van per soonsgegevens, ...). »

• « E-mail mag standaard niet worden beschouwd als een veilig elektronisch uitwisselingskanaal aan de hand waarvan de vertrouwelijkheid en de integriteit van de gegevens in het bericht kunnen worden gewaarborgd. »

Algemene policy inzake het gebruik van e-mail, IMS, 2010, v0.30

Page 214: Infosessie Smals Research - Gevoelige overheidsdata en de cloud - 03-04-2014

131/126

App. D: Extranet SZ

« De socialezekerheidsinstellingen dienen de minimale veiligheidsnormen na te leven voor hun toegang tot het internet. De instellingen van het primaire netwerk dienen meer bepaald het extranet van de KSZ te gebruiken voor hun internetverbindingen (Minimale normen, §10.3), aangezien het extranet over aangepaste beschermingsmaatregelen beschikt. »

Algemene policy inzake het gebruik van het internet V0.30, ISMS, 2010

Alle relevante security policies zijn te vinden op https://www.ksz-bcss.fgov.be/nl/bcss/page/content/websites/ belgium/security/security_04/security_04_02.html