Március elején mutatta be a Cloud Security Alliance (CSA) azt a dokumentumot, amely az európai tagállamoknak kíván segíteni a kormányzati felhők biztonsági keretrendszerének kidolgozásához. Az útmutató elkészítésében közreműködött az EU információbiztonsági szervezete, az ENISA és a Darmstadti Egyetem is.
A segédanyag – amelynek elkészítéséhez két korábbi ENISA-tanulmányt is felhasználtak — lépésről-lépésre végigvezeti a kormányzatokat, hogyan intézzék a felhőszolgáltatások biztonságának garantálását. Mindezt négy fázisra, kilenc biztonsági tevékenységi körre és tizennégy lépésre osztja. A négy fázis a PDCA-modellt követi: megtervezni a biztonsági kontrollokat (plan), bevezetni ezeket (do), ellenőrizni őket (check), majd az eredmények ismeretében kijavítani a hiányosságokat (act).
A négy fázis összesen kilenc tevékenységre van felosztva. A tervezéshez tartozik a kockázatelemzés, az architekturális modell, valamint a biztonsági és adatvédelmi követelmények kidolgozása. A biztonsági kontrollok kiválasztása és azok implementációja, valamint a felhőszolgáltatás beindítása a bevezetési fázis részeit alkotja. Az ellenőrzéshez tartozik a biztonsági rendszerszabályok betartásának rendszeres monitorozása és az időnkénti auditálás. Végül a javítási fázisban kerül sor a változásmenedzsmentre és exit menedzsmentre.
Készítői szerint a dokumentumot nem csak a szolgáltatások beszerzésénél tudják használni a kormányzatok, hanem a felhő teljes életciklusában, és megállapításait már tesztelték néhány, már megvalósult európai kormányzati felhőprojektnél.
USA: lassan indul a kormányzati felhő
Az Egyesült Államokban már 2011-ben megfogalmazta az akkori szövetségi CIO, Vivek Kundra a Cloud First stratégiát, amely arra kötelezte a szövetségi hivatalokat, hogy az új informatikai beruházásoknál a felhőt is vegyék számításba. A költségvetési megszorítások és a biztonsági aggodalmak miatt azonban a program lassan haladt. A projekteknek még mindig kevesebb mint öt százaléka felhő alapú, és a 2012-ben elfogadásra benyújtott húsz projekt közül is csak egy valósult meg, ezért sokan már „Cloud Later” néven emlegetik a programot.
Ennek egyik oka a szövetségi kormányzat működésének sajátosságaiból adódik, amelyek mentén például újra kell írni például a szerződéseket, ami számos szereplő közös munkáját igényli. A szövetségi hivatalok informatikai szervezeteiből gyakran hiányzik a szükséges szaktudás és tapasztalat is. Komoly akadályozó tényező a biztonság is, amire a Snowden-ügy és az állítólagos észak-koreai cybertámadások után különösen érzékenyek a kormányzatban.
Már megkezdődött a lassú fellendülés
Az Obama-adminisztráció legalább ezer szövetségi adatközpontot szeretne bezárni, illetve konszolidálni 2015 végéig, és ezzel dollármilliárdokat megspórolni az informatikai költségeken. A felhőszolgáltatások további költségcsökkentési lehetőségeket is kínálnának: a felhasználói önkiszolgálás révén az informatikai csapatoknak kevesebb időt kellene az erőforrások allokálásával tölteni, ami növelné hatékonyságukat. Szintén reménysugár lehet, hogy a szolgáltatók is kezdenek előállni olyan technológiákkal, amelyek csitíthatják a kormányzat biztonsági félelmeit.