- Door
- Rashid Niamat
- geplaatst op
- 5 augustus 2013 08:01 uur
Vorige week werd op ISPam.nl geschreven over de weigering van de Britse meteorologische dienst voor Big Data-projecten gebruik te maken van clouddiensten. Argumenten daarvoor waren dat het niet veilig genoeg was en dat het te duur zou worden door de grote hoeveelheid data. Het is deze combinatie die vragen opriep en aanleiding was voor verder onderzoek.
En wat blijkt, het is niet de eerste keer dat een grote overheidsdienst dit argument gebruikt. Nota bene uit het land waar cloud is uitgevonden en waar de federale overheid al jaren een cloud-tsaar in dienst heeft die een cloud first strategy uitdraagt – de VS dus – komt de volgende kritische kijk op cloud.
In het eind vorige maand gepubliceerde rapport (PDF) van de federale auditdienst krijgt het cloudbeleid van de NASA er flink van langs. Jaarlijks besteedt de ruimtevaartorganisatie 10 miljoen dollar aan clouddiensten. Dat is minder dan 1% van het gehele IT-budget, maar NASA wil als aanjager van kennis in en voor de VS dat verder opschroeven. De ambitie is niet minder dan 75% van alle IT-toepassingen op termijn in de cloud onder te brengen.
De auditdienst kijkt, net als bij ons de Rekenkamer, jaarlijks of de overheidsgelden goed worden besteed. In het geval van de NASA heeft men 38 pagina’s nodig gehad om alles op te sommen dat opviel en wat minder goed gaat rond clouddiensten. Het is een droge opsomming die pers, politici, maar ook cloudaanbieders weinig plezier geeft:
“We found that weaknesses in NASA’s IT governance and risk management practices have impeded the Agency from fully realizing the benefits of cloud computing and potentially put NASA systems and data stored in the cloud at risk.”
Voorbeelden hiervan zijn de constatering dat de NASA diensten in een publieke cloud heeft gezet: “without authorization, a security or contingency plan, or a test of the system’s security controls.” Een aantal van die diensten en leveranciers is op ISPam.nl trouwens al eens besproken. Verder blijken coördinatie tussen de per NASA-locatie verantwoordelijke CIO’s onder de maat, risk management gebaseerd op niet-cloud omgevingen en ruim 100 interne en externe websites voldoen niet aan de overheidseisen met betrekking tot security en contingency. Het cloudbeleid van de NASA komt niet alleen ondoordacht en amateuristisch over, het auditrapport noemt ook de punten die voor het Britse Met Office reden zijn juist uit de cloud te blijven. Het kan dus zijn dat de mening van de Britten mede is ingegeven op de Amerikaanse bevindingen (en het zijn ook diensten die met elkaar samenwerken).
Wat wordt beschreven, is een grote proeftuin (of speeltuin) waar benul van kwaliteit en veiligheid ontbreekt. De consequenties van deze bevindingen zullen er niet om liegen. Een aantal cloudaanbieders dat nu nog schermt met het predikaat “NASA-leverancier” zal deze status verliezen en de cloudgerelateerde inkoop- en migratietrajecten voor alle overheidsdiensten worden naar verwachting verder aangescherpt.
Heeft dit impact op de Nederlandse markt? Indirect wel. De cloud first strategy van de Nederlandse overheid (en nog wat andere Europese overheden) is niets anders dan slappe kopie van het Amerikaanse beleid. Nu Washington constateert dat de NASA massaal belastinggeld over de balk gooit en onvoldoende scoort op alle punten, zal die strategie wel moeten worden aangepast. En dan is het slechts wachten tot Den Haag en het bedrijfsleven volgt.
