'There is no cloud, it's just someone else's computer'

In deze eerste editie van ‘In de wolken’ leggen CTO Nardie Scharenborg en COO Ron Roozeboom uit wat een cloud nou eigenlijk is. Wat zijn de mogelijkheden, en wat betekent de cloud voor de afnemers? Ron en Nardie vertellen niet alleen over de kansen, maar kijken ook kritisch naar de uitdagingen die er zijn, bijvoorbeeld op het gebied van veiligheid en privacy.

Cloud is een verzamelnaam voor het online opslaan en opvragen van data. Een computer, tablet of smartphone kan middels een internetverbinding contact maken met een server die die data bezit én bewaakt. Zo is het mogelijk om overal ter wereld data op te slaan of op te vragen. De term ‘cloud’ refereert aan het ontastbare karakter van een wolk. Je kunt een wolk immers niet beetpakken, net zoals dat bij een cloudservice niet kan. Wanneer er gesproken wordt over de cloud, wordt daar meestal de ‘public cloud’ mee bedoeld: een cloud die geleverd wordt door bijvoorbeeld Microsoft. Er zijn ook andere manieren om computing faciliteiten en services aan te bieden aan een breed publiek, zoals via het overheidsdatacenter (ODC) in Rijswijk. Dit datacenter valt onder de noemer ‘private cloud’.

Ron is in het bezit van een T-shirt met daarop de tekst ‘There is no cloud, it’s just someone else’s computer’. Hij licht toe: ’De cloud is een prachtige gedachte’, maar het komt erop neer dat er ergens in de wereld een computer staat die voor jou aan het werk is. Het grote voordeel is dat je die computer zelf niet hoeft te kopen, deze harder voor jou gaat werken indien nodig én dat deze veel meer kan verstouwen dan wanneer je zelf een computer had aangeschaft. De cloud biedt naast kostenefficiëntie ook schaalbaarheid en flexibiliteit, waardoor gebruikers gemakkelijk kunnen afnemen en betalen naar gebruik.’

Bewolking

Maar waar komen al die wolken vandaan? De cloud is niet nieuw, ook niet binnen de rijksdienst. Nardie vertelt: ‘SSC-ICT is redelijk 'laat op het feestje', maar vanuit onze rol zien we dat als een voordeel. Er zijn verschillende organisaties met relevante ervaringen, waar we van kunnen leren.’ Hoewel het concept van het delen van computermiddelen – zoals opslag en rekenkracht – al enige tijd bestond, kwamen de echte doorbraken in de technologie en infrastructuur in de vroege jaren 2000. Nardie geeft aan dat de cloud als computing faciliteit oorspronkelijk bij het bedrijf Salesforce vandaan komt. ‘Elk bedrijf heeft een CRM-systeem nodig om klantdata te beheren,’ zegt Nardie. ‘Vroeger moest je, wanneer je als bedrijf een klantendatabase wilde ontwikkelen, een licentie en hardware kopen. Dit moest worden geïnstalleerd en beheerd.’ Totdat Salesforce in 1999 als pionier het eerste webgebaseerde Customer Relationship Management systeem (CRM) lanceerde. ‘Dit model was een voorloper van de cloud-computing-diensten die we vandaag gebruiken. Salesforce bood het CRM als dienst aan. Dat was zowel slim als heel handig. Zeker voor kleinere bedrijfjes die helemaal niet de tijd en de middelen hadden om een hele organisatie te gaan optuigen.’

Andere bedrijven, zoals SAP, Oracle, Amazon, Google en Microsoft, volgden al snel en begonnen met het aanbieden van publieke cloud computing-diensten aan bedrijven en particulieren. ‘Het is een businessmodel,’ stelt Nardie. ‘Ook wij kunnen als SSC-ICT diverse diensten aanbieden vanuit de cloud aan onze afnemers.’ Ron vult aan: ‘SSC-ICT heeft heel veel componenten zelf gekocht. Denk aan ons eigen overheidsdatacenter (ODC) in Rijkswijk, met een infrastructuur, netwerken, beveiliging en software. Van daaruit bieden wij diensten aan onze klanten. Met de cloud kunnen wij delen van die hele stapel componenten afnemen bij een cloudprovider, zoals bijvoorbeeld Microsoft, SAP of Oracle. Deze voordelen van schaalbaarheid en flexibiliteit gelden net zo goed voor ons, als voor onze afnemers.’

Pizzafeestjes en winkelcentra

Door de schaalbaarheid en flexibiliteit van de cloud is het mogelijk om diensten in vele gradaties en variaties aan te bieden of af te nemen. Om dit beter uit te leggen gebruikt SSC-ICT het zogenaamde ‘pizzamodel’ (zie onderstaande afbeelding).

Nardie legt uit: ‘Stel, jij wilt vrienden uitnodigen om pizza te komen eten. Dan kun je, zoals links in de afbeelding te zien is, alles zelf doen. Het andere uiterste, aan de rechterzijde, is dat je alles uitbesteedt. Voor onze organisatie betekent dit dat SSC-ICT die componenten laat leveren door bijvoorbeeld Microsoft, SAP of Oracle. Maar een klant van SSC-ICT kan ook weer delen bij ons afnemen.’ Die data moet nog steeds op computers (in een cloud) draaien. Maar het verschil zit ‘m in of al die data op de computer van de klant zelf moet draaien, of dat een groot deel hiervan elders door andere partijen op hun computers wordt geleverd.

Ron: ‘Goed beschouwd is dat dezelfde denkwijze die wij nu ook al toepassen in relatie tot onze afnemers. Wij hebben een digitale werkplek als dienst in huis, die wordt afgenomen door zowel grote als kleine partijen. Een kleine klant neemt bijvoorbeeld 35 laptops met werkomgeving van ons af. Die werkplek hadden ze nooit zelf kunnen ontwikkelen voor die prijs. Wij hebben dat gedaan, omdat wij grote computers hebben in ons datacenter. Die klant gebruikt hiervan een klein stukje en betaalt daarvoor. Hoe groter je bent als aanbieder, hoe voordeliger je de diensten kunt maken. Partijen als Amazon, Google, SAP en Microsoft kunnen zich wat dat betreft heel veel veroorloven. Die kunnen dan ook bijna oneindige schaalbaarheid aanbieden. Dat kunnen wij nog niet. Als een klant ineens twee keer zo groot wordt, kunnen we dat misschien nog wel opvangen binnen ons datacenter. Maar dat kunnen we in ons datacenter niet oneindig doen. In de cloud kan dit wel.’

‘Eigenlijk openen wij met de cloud een winkelcentrum,’ stelt Nardie, ‘en daarin kunnen we allerlei producten aanbieden aan onze afnemers (zie onderstaande afbeelding). Dit doen we nu ook al binnen ons datacenter, maar zoals Ron al zei: in de cloud is dit (bijna) oneindig, en schaalbaar. De klant kan komen shoppen in ons winkelcentrum en zelf kiezen welke producten ze wel willen kopen, en welke niet. Wij bieden daarnaast alles aan wat bij dat product of die dienst hoort, zoals goede beveiliging, zodat een klant relatief snel en makkelijk kan instappen.’

Private versus public

Die beveiliging is een belangrijk element bij de cloud. Wanneer een klant data neerzet in het overheidsdatacenter – feitelijk een private cloud – laat SSC-ICT niet zomaar toe dat anderen daar gebruik van maken. ‘Dit hebben we binnen ons ODC heel netjes geregeld,’ zegt Ron. ‘Je krijgt pas toegang en bevoegdheden als je onderdeel bent van een specifieke groep mensen, zoals een departement.’

In de public cloud kan die toegang nog makkelijker geregeld worden. De data staat dan niet ‘on premise’ – op locatie in het ODC – maar ergens in de cloud. ‘In de public cloud is het vaak wat gemakkelijker om de bevoegdheden en de toegang uit te besteden aan de organisatie die een dienst afneemt van ons,’ vertelt Ron. ‘Wij houden dan niet langer bij wie er allemaal bij mogen, dat regelt een afnemer zelf. Het enige wat wij doen is de componenten beveiligen. Per component kan de klant zelf bepalen wie er wel en wie er geen toegang heeft.’

‘Maar tegelijkertijd hebben wij als leverancier van de overheid de plicht om – zodra wij delen van onze data bij Microsoft of SAP neerleggen – te controleren dat dat minstens even veilig is als bij ons ODC. In Rijswijk staat een bewaker voor de deur: daar kom je niet zomaar binnen. Op het moment dat een afnemer of SSC-ICT gegevens in de cloud opneemt, dan willen wij zeker weten dat die cloudleverancier óók een bewaker voor de deur heeft staan. En dat willen we ook kunnen controleren (right to audit). Dat is nog wel een ingewikkelde kwestie.’

Wat mag er in welke wolk?

Bij vereisten vanuit CIO Rijk omtrent de cloud, en de keuzes die departementen daarover maken, gaat het vaak om de vraag: kan, mag en wil de overheid naar een public cloud toe? Ron legt uit: ‘Zolang de data in een datacenter zit – een private cloud – is het niet zo spannend. Dat doen we al heel wat jaren, en we weten er alles van. Deze dienstverlening blijft ook bestaan.’ De stap naar een public cloud is echter een ingrijpende. ‘Dan is de computer met jouw data ineens niet meer van jou, en heb je er minder zeggenschap over. Misschien wil je dan niet meer al je documenten daar neerzetten. Volgens rijksbeleid mogen bepaalde geclassificeerde documenten – zoals staatsgeheimen – sowieso niet in de cloud opgenomen worden. Dat maakt het best ingewikkeld, want een klant moet dan bij elk document gaan bepalen hoe geheim of openbaar het is. De informatiehuishouding daarvan is een heel groot vraagstuk voor de overheid.’

‘Waar wij huiverig voor zijn,’ zegt Nardie, ‘is dat bepaalde geheime informatie toch in de public cloud terechtkomt. Dan zijn we het kwijt, want je kunt die informatie er niet meer uit halen.’ Er moet heel secuur gekeken worden, maar ook dat is een lastige kwestie, want wat is wel geheim en wat niet? ‘Elk departement formuleert nu een eigen invulling van het rijksbeleid, maar waar moet dat aan voldoen en wanneer is dit concreet genoeg? We adviseren onze afnemers om in ieder geval zelf een risicoafweging te gebruiken. Je moet altijd in het achterhoofd houden dat anderen eventueel mee kunnen kijken. Daarbij heb je weer met cybersecurity te maken. Er komen allerlei soorten richtlijnen en je moet voldoen aan privacywetgeving zoals de Algemene verordening gegevensbescherming (AVG).’

Maar hoe dat er in de praktijk uit gaat zien? ‘We willen als SSC-ICT een trusted advisor voor onze afnemers zijn’, legt Nardie uit. ‘Een clouddienst is meer dan alleen een stuk techniek, er moet veel omheen geregeld worden. Dat kunnen we als SSC-ICT oppakken.’ Maar de afnemers dragen ook verantwoordelijkheid. ‘SSC-ICT bouwt een mooie auto voor onze afnemers, die aan alle eisen en wensen voldoet. Maar als een afnemer daarmee 200 km/u gaat rijden op een weg waar je maar 100 mag, dan gaan wij die bekeuring niet betalen. Die risicoafweging – het inschatten of het gebruik van onze diensten voor bepaalde doeleinden verantwoord is – moet de klant zelf kunnen maken.’ SSC-ICT ondersteunt dan met standaarden, advies en beveiligingsmogelijkheden, opslag op basis van classificatie van documenten, etc. We staan nog wel aan het begin, omdat de gang naar de cloud voor veel departementen nog moet beginnen.’

Wat is de weersverwachting?

In de loop der jaren is de cloud uitgegroeid tot een integraal onderdeel van de IT-infrastructuur. Het heeft bedrijven geholpen om sneller te innoveren, efficiënter te werken en beter te concurreren in de snel veranderende digitale economie. De opkomst van het fenomeen ‘cloud’ heeft de manier waarop wordt omgegaan met technologie ingrijpend veranderd en zal naar verwachting blijven evolueren en groeien in de toekomst. Zo ook bij SSC-ICT. Nardie: ‘Kijkend naar het pizzamodel kunnen wij onze klanten allerlei verschillende diensten gaan leveren vanuit de cloud. Een voorbeeld van een dienst die we nu al op die manier uitrollen is Microsoft Teams. Maar uiteraard is er in de toekomst nog veel meer mogelijk.’ Welke dienstverlening in de toekomst kan worden geboden vanuit de cloud moet in samenspraak met de klanten, maar ook met kaderstellers (zoals CIO Rijk), worden verkend. Hierover moet beleid worden vastgelegd. Dit perspectief wordt verder uitgediept in de volgende editie van de Connect.