Athumi speelt een sleutelrol in de Vlaamse data-economie. Het overheidsbedrijf heeft de wettelijke opdracht om persoonsgegevens en gevoelige bedrijfsdata slim en veilig te verwerken, met behoud van volledige controle en transparantie voor wie zijn data via haar diensten en partners deelt. Vertrouwen is immers essentieel voor datatoepassingen. Cronos Public Services helpt Athumi daarbij door de veilige opzet van haar Confidential Compute-infrastructuur te attesteren.
Athumi ondersteunt de ontwikkeling en het beheer van nieuwe ecosystemen waarin gegevens van verschillende partijen uitgewisseld worden op basis van heldere afspraken. Veiligheid bij gegevensuitwisseling is cruciaal en daarvoor moet de juiste technologie worden ingezet. Athumi wil immers garanderen dat data veilig en met respect voor privacy worden gedeeld, waardoor betrouwbare samenwerkingen kunnen ontstaan.
Athumi neemt alvast het voortouw en geeft het goede voorbeeld, aangezien een consistente aanpak van de informatieveiligheid noodzakelijk is voor alle entiteiten van de Vlaamse overheid. Met het Informatieclassificatieraamwerk (ICR) worden beleidslijnen aangereikt om informatie onder te verdelen in informatieklassen en via een risico-evaluatie de nodige minimummaatregelen te voorzien. Daarnaast is er ook nog de Europese NIS2-richtlijn die de cybersecurity versterkt door organisaties in kritieke sectoren te verplichten om zich beter te beschermen tegen cyberdreigingen.
Voor de verwerking van gegevens maakt Athumi gebruik van de cloud. Maar hoe kunnen organisaties er zeker van zijn dat de services écht veilig zijn? Confidential Compute zorgt ervoor dat de data ook tijdens verwerking versleuteld blijft, maar Athumi wilde nog een stap verder gaan. Geïnspireerd door het motto ‘Trust but verify’ – en vanuit de wetenschap dat een neutrale, derde partij bijkomende garanties kon bieden dat alles veilig en betrouwbaar opgezet is – klopten ze aan bij Cronos Public Services.
Concreet had Athumi een manier nodig om automatisch de integriteit van Confidential Compute-nodes te controleren zodra ze werden opgestart. Deze geautomatiseerde oplossing moest ook controleren of de omgevingen voldeden aan zowel de normen die Microsoft Azure hanteert als hun eigen beveiligingsbeleid. Hiervoor ontwikkelde het Cronos Competence Center CloudFuel een innovatieve attestatiedienst, die een betrouwbare, productieklare oplossing bood en die rechtstreeks integreert met de Confidential Compute-omgeving van Athumi.
De attestatiedienst wordt automatisch aangeroepen bij het opstarten van een applicatie en controleert of de onderliggende Microsoft Azure-infrastructuur – specifiek de Confidential Compute-omgeving – correct en veilig is ingericht. Als daaruit blijkt dat de service niet betrouwbaar is, worden de applicaties niet opgestart. Athumi leverde haar eigen policy aan, waarmee rekening werd gehouden bij het opzetten van de standaarddienst. Bovendien werd voor Athumi nog een extra beveiligingslaag voorzien waarbij meldingen worden verstuurd en een gedetailleerd auditlogboek wordt bijgehouden met een uitgebreid overzicht van alle attestatiegebeurtenissen. Zo is nog meer controle en inzicht op langere termijn mogelijk.
Het belangrijkste aspect van de implementatie van een attestatiedienst is compliance: Athumi kan nu ook effectief bewijzen dat de gegevensuitwisseling veilig en betrouwbaar verloopt, volgens haar eigen hoge standaarden en de richtlijnen opgesteld door de Vlaamse overheid. Elke keer dat ze een confidentiële applicatie implementeren, hebben ze nu automatisch gegenereerd, cryptografisch bewijs dat de applicatie binnen de context van de Confidential Computing-omgeving veilig en betrouwbaar is.
Beveiliging tegen datalekken en cyberaanvallen is geen statisch gegeven, maar een voortdurend bewegend doelwit. De huidige implementatie van de attestatiedienst biedt vandaag een robuuste en betrouwbare oplossing, maar het is essentieel om alert te blijven voor nieuwe ontwikkelingen in de markt. Naarmate er geavanceerdere of efficiëntere attestatiediensten beschikbaar komen, moet er ruimte zijn om deze te evalueren en eventueel te integreren. Dit vraagt om een mindset van continue verbetering: bijleren, bijsturen en aanpassen in functie van veranderende noden en bedreigingen. Cronos Public Services is hierin de ideale partner: met hun diepgaande expertise en focus op innovatie begeleiden ze organisaties zoals Athumi bij elke stap in het evoluerende beveiligingslandschap. Alleen zo blijft databeveiliging toekomstbestendig en afgestemd op de hoogste standaarden.
De VVSG is de kennisdeler, netwerkbouwer en belangenbehartiger van lokale besturen in Vlaanderen. Die rollen vervult de organisatie steeds vaker digitaal, waardoor de nood aan een solide digitale infrastructuur zich aandiende. Wat begon als het ontwerpen van een nieuwe website, groeide uit tot de ontwikkeling van een geïntegreerd platform dat informatie toegankelijk maakt, samenwerking versterkt en de leden centraal stelt. Samen met Cronos Public Services werkte de VVSG aan het fundament voor haar digitale werking.
