Digitale soevereiniteit garandeert veiligheid in de publieke cloud
Gepubliceerd op 01/07/2024 in Experten vertellen
Wanneer bedrijven overwegen om naar public cloud te migreren, worden ze soms tegengehouden door beveiligingsrisico’s of compliance- en governancebeperkingen. Daarom is er interesse in digitale soevereiniteit, legt Gwénaëlle Hervé uit, Public & Sovereign Cloud Lead bij Proximus NXT.
In grote bedrijven zijn beveiliging en compliance tegenwoordig strategische prioriteiten voor het senior management, de bedrijfsvoering en IT. Cyberaanvallen van diverse aard nemen toe, terwijl Europese en nationale autoriteiten regels en voorschriften invoeren voor de verwerking van gevoelige data.
"Met de opkomst van de publieke cloud beseffen organisaties hoe kwetsbaar gegevensbescherming is wanneer deze wordt beheerd door cloudstructuren die niet onder de Europese jurisdictie vallen", zegt Gwénaëlle Hervé, Public & Sovereign Cloud Lead bij Proximus NXT. Daarom wint het concept van digitale soevereiniteit aan belang.
Sovereign cloud biedt een strategisch concurrentievoordeel doordat het ons mogelijk maakt om te profiteren van alle innovatieve voordelen van de publieke cloud, zelfs voor gevoelige data.
Gwénaëlle Hervé, Public & Sovereign Cloud Lead bij Proximus NXT.
Drie pijlers
"Digitale soevereiniteit, soms ook cybersoevereiniteit genoemd, is het toepassen van soevereiniteitsprincipes op het gebied van informatie- en communicatietechnologieën", vervolgt Gwénaëlle.
In de praktijk steunt digitale soevereiniteit op drie pijlers:
- Datasoevereiniteit houdt in dat klanten beslissen wie toegang heeft tot hun data en wie de encryptiesleutels beheert. De data vallen onder de jurisdictie van het land van oorsprong, terwijl encryptie voorkomt dat de cloudaanbieder toegang krijgt tot de data.
- Operationele soevereiniteit betekent dat klanten transparantie en controle hebben over de activiteiten van de cloudprovider. Dit omvat het lokale beheer van data door lokale teams.
- Technologische soevereiniteit zorgt ervoor dat de oplossing volledig losgekoppeld kan worden van de cloudprovider en het internetnetwerk.
Europe’s reaction
"Digitale soevereiniteit is belangrijk, vooral omdat alle grote cloudproviders Amerikaans zijn en de Amerikaanse Cloud Act van 2018 aan Amerikaanse inlichtingendiensten toegang geeft tot data van elke klant met een gerechtelijk bevel. Gelukkig heeft Europa hierop gereageerd met verschillende gegevensbeschermingsmaatregelen zoals Schrems II en de GDPR. Deze maatregelen tonen de waarde van Europese data aan en helpen Europese bedrijven zich te beschermen", legt Gwénaëlle uit.
Bovendien versterkt de NIS2-richtlijn (Network and Information Security), die dit jaar in België van kracht wordt, de cybersecurity van bedrijven nog verder. Bedrijven moeten regelmatig audits uitvoeren en beveiligingsincidenten onmiddellijk melden.
Er worden ook andere regels en wetten voorgesteld of ingevoerd, vooral op het gebied van digitale markten en diensten en artificiële intelligentie.
Waarom hebben bedrijven een sovereign cloud nodig?
"Het regelgevingskader kan gezien worden als een afremmend obstakel voor veel bedrijven die hun innovatietempo willen behouden en tegelijkertijd willen voldoen aan beveiligings- en compliance-eisen. Met de sovereign cloud kunnen data echter worden beheerd en beveiligd door Europese entiteiten, wat betekent dat de data binnen de grenzen van Europa blijven. Daarnaast is de sovereign cloud ontworpen om te voldoen aan Europese richtlijnen, waardoor data governance gegarandeerd is. Ten slotte biedt de sovereign cloud een strategisch concurrentievoordeel doordat het ons mogelijk maakt om te profiteren van alle innovatieve voordelen van de publieke cloud, zelfs voor gevoelige data", benadrukt Gwénaëlle.
Het opzetten van een sovereign cloud verloopt in drie stappen:
- Classificeren van de gevoeligheid van data: dit houdt in dat u nauwkeurig bepaalt hoe gevoelig de data zijn en de soevereiniteitsvereisten definieert op basis van het gekozen type soevereiniteit.
- Selecteren van de juiste sovereign cloud-oplossing: kies een passende oplossing op basis van het gevoeligheidsniveau. Voer eventueel een proefproject uit om te weten of de gekozen oplossing aan de verwachtingen voldoet.
- De sovereign cloud implementeren:
"We mogen echter niet vergeten dat alleen gevoelige data het gebruik van een sovereign cloud vereisen. Niet-gevoelige data kunnen prima in een traditionele cloud blijven draaien", merkt Gwénaëlle op.
Proximus als betrouwbare partner
Als ICT-partner voor grote bedrijven profileert Proximus NXT zich als voorloper en pionier op het gebied van de sovereign cloud door diverse opties aan zijn klanten aan te bieden.
Binnen het kader van de Microsoft Encrypted Public Cloud-oplossing heeft Proximus NXT als eerste in de Benelux het MCfS-aanbod (Microsoft Cloud for Sovereignty) gelanceerd, dat sinds december 2023 publiek beschikbaar is. Daarnaast is Proximus NXT de eerste in Europa die sinds oktober 2023 met Clarence een ‘ontkoppelde’ sovereign cloud aanbiedt.
Alleen gevoelige data vereisen het gebruik van een sovereign cloud.
Gwénaëlle Hervé, Public & Sovereign Cloud Lead bij Proximus NXT.
Meer specifiek worden de data opgeslagen in de vertrouwelijke Microsoft-cloud, met sterke encryptie in alle fasen van datagebruik, inclusief tijdens de ‘in-use’ fase. De datasoevereiniteit wordt gewaarborgd door het gebruik van een oplossing voor het beheer van encryptiesleutels, waarvoor we hebben gekozen om met onze partner Thalès samen te werken en met Intel voor attestatieoplossingen. In oktober 2023 lanceerden Proximus en LuxConnect de joint venture Clarence, dat staat voor duidelijkheid en transparantie (‘Clarity’ en ‘Transparency’) en als eerste in Europa een ontkoppelde sovereign cloud op de markt zal brengen op basis van het GDCH-aanbod (Google Distributed Cloud Hosted).
"Ons doel is om Europese bedrijven in staat te stellen te blijven innoveren met inachtneming van de hoogste ethische normen op het gebied van gegevensbescherming, vertrouwelijkheid en naleving van de regelgeving", voegt Gwénaëlle toe.
De sovereign cloud: een fundamenteel hulpmiddel
"Als we met onze klanten spreken, hebben we twee 'terugkerende' uitdagingen geïdentificeerd", voegt Gwénaëlle toe. Enerzijds is er een duidelijke wil om te werken volgens de principes van digitale soevereiniteit.
Het besef dat het beschermen van Europese data noodzakelijk is, groeit. Het toepassen van deze soevereiniteitsprincipes hoeft innovatie echter niet te belemmeren. Hyperscalers bieden namelijk oplossingen die zowel bescherming als innovatie mogelijk maken, zoals Google Distributed Cloud Hosted of Microsoft Cloud for Sovereignty. Deze oplossingen zijn nog relatief nieuw en nog onvoldoende bekend in de markt. De rol van de Europese ICT-integratoren is vandaag om samen met technologieproviders deze oplossingen te promoten, bedrijven gerust te stellen en hen te informeren over de beschikbare mogelijkheden om op een verantwoorde manier te werken."
Een tweede uitdaging betreft de moeilijkheid om data correct te classificeren. "Welke data zijn gevoelig en welke niet? Welke toepassingen moeten worden gehost in een sovereign cloud? Helaas ontbreekt het momenteel aan een Europees of nationaal regelgevend kader dat bedrijven helpt bij het classificeren van data en het bepalen van het juiste niveau van soevereiniteit. Ook hier vervullen ICT-partners de rol van adviseur en ondersteunen ze klanten bij het vinden van antwoorden op deze essentiële vragen", concludeert Gwénaëlle.
Proximus NXT innoveert opnieuw op het vlak van de soevereine cloud dankzij een partnerschap met Microsoft, Thales en Intel.
Gwénaëlle Hervé
Gwénaëlle Hervé is Public & Sovereign Cloud Lead bij Proximus NXT. Ze leidt een team van productmanagers die verantwoordelijk zijn voor de ontwikkeling van innovatie clouddiensten in samenwerking met partners zoals o.a. Microsoft, Google, Thales, Intel, enz. Ontdek de inzichten van Gwénaëlle.