De beslissing om commerciële clouddiensten toe te laten binnen de overheid is opvallend. Niet eens zozeer omdat deze niet geschikt zouden zijn, wel vanwege de gehanteerde (kosten)argumentatie. Dit roept vraagtekens op en bovenal de vraag: waar vallen straks de eerste spaanders?
‘Overheden mogen onder strikte voorwaarden gebruik gaan maken van clouddiensten van commerciële bedrijven.’ Dit schreef staatssecretaris Alexandra van Huffelen (Digitalisering) onlangs aan de Tweede Kamer. Anders dan een paar jaar geleden winnen de voordelen het nu van de risico’s, zo luidde de beargumentatie. ‘Ook zijn de veiligheidsmogelijkheden uitgebreid en geeft de grootschalige uitrol van updates en patches de mogelijkheid veel sneller te reageren op fouten in software dan in het verleden.’
Om verschillende reden was het een opvallend bericht. Om te beginnen omdat overheden al gebruikmaken van verschillende commerciële SaaS-diensten. Office 365 bijvoorbeeld, wordt gehost door de Microsoft-backbone. De wijze waarop het nieuws naar buiten werd gebracht was voor verschillende interpretaties vatbaar. Ging het dan om de backend van overheidsapplicaties? En welke clouds dan? Hebben we het dan over de Europese cloud Gaia X, of ook over hyperscalers als Azure en AWS? Wat zijn de voorwaarden? Moeten de datacenters binnen onze landsgrenzen staan? Want dan valt bijvoorbeeld AWS al af.
Kosten? Innovatie? Security?
Wat vooral verbaasde was de gehanteerde ratio dat commerciële clouddiensten goedkoper zijn. Als dat je argument is om naar een commerciële cloud te gaan, doe het dan vooral niet. Als je makkelijker wil schakelen, burgers echt wil bedienen vanuit een servicegedachte; dan snap ik het. Ga dan je gang, mits je het op een goede manier doet. Of vanuit innovatie; het snel kunnen ontwikkelen van nieuwe diensten. Ga dan vooral verder met commerciële clouddiensten uit de markt, in plaats van je resources inzetten om steeds het wiel opnieuw uit te vinden.
AWS en Azure zijn de meest beveiligde cloudplatformen ter wereld en de vendoren bieden hun klanten een enorme gereedschapskist aan met mogelijkheden om zo veilig mogelijk te opereren. Maar ook hier is het kostenargument opvallend: want ga je die volledige gereedschapskist gebruiken, dan loopt het wel in de papieren. En praat je over de cloud, dan praat je over security. het is geen menu-item dat je achteraf toevoegt. Want doe je dat, dan weet een beetje hacker de gaten in je beveiliging wel te vinden.
Standaardisering als oplossing
Ik chargeer nu misschien, maar IT en overheid is niet echt een gelukkig huwelijk. Negen van de tien projecten loopt uit budget door scope creep, requirement creep of simpelweg doordat ze te lang duren. De reflex van de overheid is dan vaak om maar weer een blik consultants open te trekken. Maar inmiddels heeft de overheid hetzelfde probleem als elke andere bedrijfstak, namelijk een gebrek aan mensen. Tot nu toe werd ingezet op het ontwikkelen van eigen oplossingen, maar niet-standaard oplossingen brengen een grote beheerslast met zich mee. Met standaard oplossingen heb je daar veel minder last van.
Wat is dan in het verleden de angst van de overheid geweest om in te zetten op de commerciële cloud? Niet afhankelijk worden van grote leveranciers zal een rol gespeeld hebben. Maar het voorkomen van vendor lock-in brengt weer andere problemen met zich mee. Een voorbeeld van alweer jaren geleden: een ministerie wilde niet langer afhankelijk zijn van Microsoft en Windows 95. Zij kozen voor Linux-werkplekken op basis van KDE. Maar het beheer bleek een groot probleem, het was niet mogelijk om terug te vallen op een grote partner en ze misten een belangrijke les als het gaat om adoptie en change: sluit aan bij wat mensen al kennen.
Minder beheer, meer innovatie
Controle speelt natuurlijk een rol, evenals geopolitiek. Niemand heeft een glazen bol. Maar dan nog, je kunt nog steeds gebruikmaken van cloudtoepassingen én de meest gevoelige data ‘op eigen vloer’ houden. Verschillende toepassingen in de zorg laten zien dat het mogelijk is. De stap naar meer gebruik van commerciële clouddiensten kan goed zijn voor de overheid. Door mensen vrij te maken van beheerslasten, ontstaat ruimte voor innovatie.
Dit is ook waar een methodologie als DevOps en met name site reliability engineering op is geënt. Op het zo klein mogelijk maken van de beheerslast, zodat je zoveel mogelijk tijd kan besteden aan het ontwikkelen van nieuwe functionaliteiten die waarde toevoegen voor de klant. Voor de overheid geldt dit niet zo nadrukkelijk als voor commerciële bedrijven. In dit geval is de klant de burger: jij en ik. Een gevaar waar dan met name de overheid wel voor moet waken is het gevaar van niet-standaardisatie. Juist door zoveel mogelijk te standaardiseren, kun je automatiseren en vermindert de beheerslast.
Geen cloud zonder security
Iets waar ik benieuwd naar ben is hoe de richtlijnen eruit gaan zien. Als deze voorschrijven dat een publieke cloud mag, maar dat deze Europees zijn, stop er maar mee. Niet omdat we per se naar Amerikaanse cloudproviders moeten gaan, maar we moeten wel zo realistisch zijn en accepteren dat dit de grootste partijen in de markt zijn. Je kunt wel wachten op een Europese cloud, maar dat heeft niet zo veel zin.
En áls je dan naar de cloud gaat, doe het van meet af aan met alle veiligheidsmaatregelen. Niet voor niets praten ook commerciële bedrijven inmiddels niet meer over DevOps, maar over DevSecOps. Je kunt niet over cloud praten zonder het over security te hebben. Al helemaal als het gaat om de overheid, waar men te maken heeft met een schat aan data waaronder persoonsgegevens. Juist daarom is dat kostenargument zo zorgelijk. Dan vraag ik me gelijk af: waar vallen straks de eerste spaanders, waardoor het niet werkt zoals het zou moeten werken?
Fotografie: engin akyurt / Unsplash
