Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Beheer van cyberbeveiligingsrisico's > De federale overheid heeft zojuist aangegeven dat haar cloudbeveiligingsproces niet werkt
De federale overheid heeft zojuist aangegeven dat haar cloudbeveiligingsproces niet werkt

De federale overheid heeft zojuist aangegeven dat haar cloudbeveiligingsproces niet werkt

by Paul Sechser updated maart 24, 2026 Beheer van cyberbeveiligingsrisico's
Reading Time: 9 minutes

Op 18 maart 2026 publiceerde ProPublica een onderzoek dat elke organisatie die vertrouwt op FedRAMP-autorisatie als vertrouwenssignaal voor cloudbeveiliging zou moeten alarmeren. Het verhaal is eenvoudig: federale cyberbeveiligingsbeoordelaars probeerden bijna vijf jaar lang — tevergeefs — te verifiëren hoe Microsoft gevoelige overheidsgegevens beschermt binnen GCC High, hun cloudpakket voor enkele van de meest gevoelige niet-geclassificeerde informatie die de overheid beheert.

Belangrijkste inzichten

  1. FedRAMP heeft Microsoft GCC High goedgekeurd ondanks bijna vijf jaar aan onopgeloste beveiligingszorgen — omdat het product al te diep was ingebed binnen de federale overheid om af te wijzen. Federale beoordelaars besteedden 480 uur en 18 technische deep dives, maar concludeerden uiteindelijk dat ze “gebrek aan vertrouwen” hadden in de algehele beveiligingsstatus van het product.
  2. Microsoft kon FedRAMP niet laten zien hoe het gevoelige overheidsgegevens versleutelt tijdens transport — een basisvereiste die Amazon en Google routinematig documenteerden. Beoordelaars kwamen niet verder dan één dienst, Exchange Online, voordat het traject instortte.
  3. De externe partijen die waren ingehuurd om GCC High onafhankelijk te beoordelen, vertelden FedRAMP privé dat ze het product niet volledig konden toetsen — terwijl hun officiële rapporten het tegendeel beweerden. Zowel Coalfire als Kratos gaven via een achterdeur hun zorgen door die ze niet op papier wilden zetten voor de betalende klant.
  4. Bezuinigingen bij DOGE reduceerden FedRAMP tot ongeveer twee dozijn medewerkers die zich moesten richten op het afgeven van autorisaties in recordtempo — niet op het uitvoeren van grondige beveiligingsbeoordelingen. Het jaarlijkse budget van $10 miljoen is het laagste in tien jaar, terwijl overheidsinstanties juist versneld cloudgebaseerde AI-tools adopteren.
  5. Compliance-labels zijn geen beveiliging — organisaties hebben cloudarchitecturen nodig die verifieerbare, continue bescherming bieden, ongeacht wie het certificaat heeft afgegeven. De Kiteworks 2026 Data Security and Compliance Risk Forecast laat zien dat 38% van de overheidsorganisaties nog steeds vertrouwt op handmatige of periodieke complianceprocessen.

Toch werd het product goedgekeurd. Niet omdat hun vragen waren beantwoord. Niet omdat de beoordeling compleet was. Maar omdat het product al te diep was ingebed bij het ministerie van Justitie, het ministerie van Energie en de defensie-industrie om nee te kunnen zeggen.

Een lid van het FedRAMP-beoordelingsteam vatte de door Microsoft aangeleverde beveiligingsdocumentatie samen in termen die geen cyberbeveiligingsdiploma vereisen om te begrijpen. Een andere beoordelaar vertelde het DOJ dat ze de onbekenden die overbleven niet eens konden kwantificeren. Tony Sager, voormalig NSA-computerwetenschapper met drie decennia overheidsdienst, gebruikte vijf woorden die de discussie over de waarde van FedRAMP-autorisatie zouden moeten beëindigen: “Dit is geen beveiliging. Dit is beveiligingstheater.”

Wat Microsoft niet kon — of wilde — laten zien

De kern van het probleem was bedrieglijk eenvoudig. FedRAMP wilde datastroomdiagrammen: technische illustraties die laten zien hoe gegevens van punt A naar punt B bewegen en, cruciaal, hoe ze onderweg worden versleuteld. Wanneer gegevens door cloudinfrastructuur reizen — via servers, load balancers en opslaglagen — voorkomt encryptie tijdens transport onderschepping. Het verifiëren van deze encryptie vereist inzicht in het volledige pad.

Microsoft noemde het verzoek te uitdagend. FedRAMP deed een concessie en stelde voor om te beginnen met slechts één dienst: Exchange Online. Microsoft leverde een whitepaper aan over hun encryptiestrategie, maar liet de specifieke details weg die tonen waar encryptie en decryptie daadwerkelijk plaatsvinden. Door dat weg te laten kon FedRAMP niet verifiëren of de bescherming überhaupt plaatsvond.

Andere grote cloudproviders — waaronder Amazon en Google — leverden dit soort documentatie standaard aan. Het 2026 CrowdStrike Global Threat Report onderstreept de urgentie: 82% van de detecties is nu malwarevrij, wat betekent dat aanvallers traditionele verdedigingen omzeilen via identiteitsmisbruik en diefstal van inloggegevens. In die context zijn encryptie en inzicht in datastromen geen optionele beveiligingsmaatregelen, maar de laatste verdedigingslinie.

Het probleem, volgens mensen die bekend zijn met Microsofts technologie, is architectonisch. De clouddiensten van het bedrijf zijn gebouwd op tientallen jaren oude legacycode. Een FedRAMP-beoordelaar vergeleek de resulterende datastromen met een verwarde wirwar — gegevens die van Washington naar New York reizen per bus, veerboot en vliegtuig in plaats van rechtstreeks. Elke extra overstap is een kans voor onderschepping als de gegevens niet goed zijn versleuteld.

Het assessorconflict waar niemand over praat

Er zit een structureel probleem ingebakken in FedRAMP dat de GCC High-casus onmogelijk maakt om te negeren. De externe beoordelingsbedrijven die cloudproducten onafhankelijk moeten toetsen, worden ingehuurd en betaald door de cloudbedrijven zelf.

In 2020 vertelden beide beoordelaars van Microsoft — Coalfire en Kratos — FedRAMP privé dat ze niet de informatie kregen die nodig was om GCC High volledig te evalueren. Ze deden dit via een vertrouwelijk achterkanaal, niet in hun officiële rapporten. FedRAMP plaatste Kratos uiteindelijk op een correctief actieplan omdat ze Microsoft niet hard genoeg hadden tegengesproken.

Dit is structureel vergelijkbaar met een bouwinspecteur die wordt betaald door de ontwikkelaar, scheuren in de fundering vindt en de bevindingen fluisterend aan de gemeente doorgeeft, terwijl hij wel het bouwvergunning ondertekent. Het 2026 Black Kite Third-Party Breach Report laat zien waar dit op grote schaal toe leidt: Van de 50 meest verbonden externe leveranciers had 70% een CISA KEV-gemelde kwetsbaarheid, 84% had kritieke kwetsbaarheden met een CVSS-score van 8 of hoger, en 62% had bedrijfsreferenties die circuleerden in stealer logs. Hoge compliancescores en ernstige beveiligingsgaten bestaan moeiteloos naast elkaar, en het beoordelingsmodel zelf is daar deels de oorzaak van.

Het World Economic Forum’s 2026 Global Cybersecurity Outlook bevestigt dat risicobeheer toeleveringsketen wordt behandeld als een compliancechecklist in plaats van een dynamisch proces. Slechts 27% van de organisaties simuleert cyberincidenten of voert herstel-oefeningen uit met partners in de toeleveringsketen. Slechts 33% brengt hun toeleveringsketenecosystemen volledig in kaart. Het assessor-model voedt deze gemakzucht door certificeringen te produceren die gezaghebbend ogen, maar niet het bewijs vereisen dat echte beveiliging vraagt.

“Too Big to Fail” werd “te diep ingebed om af te wijzen”

Het GCC High-verhaal gaat niet alleen over één product. Het gaat over wat er gebeurt als cloudadoptie sneller gaat dan beveiligingsvalidatie.

Toen Melinda Rogers van het DOJ GCC High begin 2020 goedkeurde, kwam het product als “in process” op de FedRAMP Marketplace. Die vermelding — op een overheidswebsite die door inkoopteams in de hele federale overheid wordt gebruikt — fungeerde als impliciete aanbeveling. Andere instanties namen het over. Het Pentagon eiste dat zijn aannemers aan FedRAMP-standaarden voldeden, en Microsoft promootte GCC High bij defensiebedrijven zoals Boeing als zijnde compliant, zelfs zonder volledige autorisatie.

Tegen de tijd dat het FedRAMP-beoordelingsteam concludeerde dat het product fundamentele problemen had, zou het stopzetten meerdere federale instanties en talloze defensie-aannemers hebben ontwricht. FedRAMP’s eigen samenvatting erkende de realiteit: Niet autoriseren “zou impact hebben op meerdere instanties die GCC-H al gebruiken.” Dus gaven ze een voorwaardelijke goedkeuring — een “let op koper”-melding die de verantwoordelijkheid bij de individuele instanties legde.

Het Kiteworks 2025 MFT Survey Report liet zien dat 72% van de organisaties aangeeft leveranciersbeveiliging grondig te evalueren, maar dat het incidentpercentage toch 59% blijft. Grondige evaluatie dicht geen beveiligingslekken als de evaluatie zelf gebaseerd is op onvolledige informatie. En wanneer de leverancier te groot en te diep ingebed is om te weigeren, wordt de evaluatie een formaliteit.

DOGE-bezuinigingen maakten een slechte situatie erger

Als het FedRAMP-proces al onder druk stond, maakte het Department of Government Efficiency het structureel onwerkbaar. Het personeelsbestand werd drastisch verkleind, het budget teruggebracht tot $10 miljoen — het laagste in tien jaar — en de overgebleven circa twee dozijn medewerkers moesten zich richten op het snel afgeven van autorisaties.

De Kiteworks 2026 Data Security and Compliance Risk Forecast laat zien dat overheidsorganisaties een kloof van 24 punten hebben tussen formele governance-modellen (86% adoptie) en geautomatiseerde compliancehandhaving (62% adoptie). Die kloof betekent dat documentatie wel bestaat, maar dat de infrastructuur om ernaar te handelen ontbreekt. FedRAMP na de DOGE-bezuinigingen is hiervan het institutionele equivalent: het programma bestaat, maar de capaciteit om betekenisvol werk te doen is uitgehold.

Dit reikt veel verder dan Microsoft. Terwijl de federale overheid versneld cloudgebaseerde AI-tools adopteert — tools die toegang vereisen tot enorme hoeveelheden gevoelige gegevens — heeft het programma dat cloudbeveiliging moet valideren minder middelen, minder expertise en meer druk om snel goed te keuren dan ooit tevoren. Het Witte Huis van Biden gaf een memorandum uit waarin staat dat FedRAMP “in staat moet zijn om grondige beoordelingen uit te voeren.” De huidige GSA van de regering reageerde dat het niet de taak van FedRAMP is “om te bepalen of een clouddienst veilig genoeg is,” maar om “ervoor te zorgen dat instanties voldoende informatie hebben om deze risicobeslissingen te nemen.” Dat is een duidelijke verlaging van de ambitie. En de meeste instanties hebben niet het personeel om het gat op te vullen.

De draaideur die het plaatje compleet maakt

Het ProPublica-onderzoek documenteerde nog iets dat aandacht verdient: de overstap van sleutelfiguren tussen overheid en Microsoft. Melinda Rogers, de DOJ-functionaris die GCC High goedkeurde en later naast de Microsoft-liaison zat in een vergadering om FedRAMP te overtuigen het product goed te keuren, werd in 2025 door Microsoft aangenomen. Lisa Monaco, de plaatsvervangend procureur-generaal die het DOJ-initiatief leidde om overheidsaannemers verantwoordelijk te houden voor cyberbeveiligingsfraude, verliet de overheid in januari 2025. Microsoft stelde haar aan als president global affairs.

Microsoft verklaarde dat beide aanstellingen in overeenstemming waren met alle ethische regels. Dat kan waar zijn. Maar het beeld — samen met de vijf jaar van coulance die FedRAMP toonde aan een bedrijf waarvan de producten centraal stonden bij twee van de ernstigste cyberaanvallen op de Amerikaanse overheid — weerspiegelt een bredere dynamiek. De bedrijven die worden beoordeeld, de mensen die beoordelen en de mensen die de regels handhaven maken allemaal deel uit van hetzelfde ecosysteem. Onafhankelijkheid vereist in zo’n omgeving structurele waarborgen, niet alleen goede bedoelingen.

Architectuur boven autorisatie: hoe Kiteworks federale cloudbeveiliging benadert

De GCC High-casus laat zien wat er gebeurt als organisaties compliance-autorisatie behandelen als vervanger voor beveiliging. Kiteworks kiest het tegenovergestelde pad: bouw eerst de beveiligingsarchitectuur en laat het compliancebewijs voortvloeien uit de controles zelf.

Kiteworks heeft sinds juni 2017 onafgebroken FedRAMP Matige Autorisatie — bijna negen jaar aan ononderbroken federale beveiligingsvalidatie. Hun Secure Gov Cloud is doorgegroeid naar FedRAMP High In Process, met een actieve overheidsinstantie die het beveiligingspakket beoordeelt voor Authority to Operate op het High impactniveau. De voortgang — Matig sinds 2017, High Ready in februari 2025, High In Process in 2026 — weerspiegelt een trackrecord, geen marketingclaim.

Waar de GCC High-casus hiaten in encryptiedocumentatie en inzicht in datastromen blootlegde, levert Kiteworks een single-tenant, geharde virtuele appliance met ingebouwde beveiligingscontroles — netwerkfirewall, webapplicatiefirewall, inbraakdetectie — die geen enkele klantconfiguratie vereisen. Dubbele encryptie in rust gebruikt aparte sleutels op bestands- en schijfniveau. FIPS 140-3 gevalideerde cryptografische modules voldoen aan de standaarden die 69% van de overheidsrespondenten en 59% van de respondenten uit de financiële sector eisen, volgens Kiteworks-enquêtegegevens. Elke uitwisseling van gevoelige gegevens — e-mail, bestandsoverdracht, SFTP, MFT, dataformulieren, API’s — genereert een volledige, realtime audittrail zonder throttling en zonder vertraging.

Het architectonische verschil is van belang. Waar de FedRAMP-beoordelaars van Microsoft een systeem beschreven waar ze geen inzicht in hadden, biedt Kiteworks volledige zichtbaarheid in elke datastroom over elk uitwisselingskanaal. Waar externe beoordelaars moeite hadden om het volledige plaatje te krijgen, koppelen de speciaal gebouwde compliance-dashboards van Kiteworks controles aan 14+ regelgevende kaders vanuit één platform.

Wat organisaties nu moeten doen — zonder te wachten tot FedRAMP zichzelf repareert

Ten eerste, stop met FedRAMP-autorisatie te behandelen als een beveiligingsgarantie. Het is één input in een risicobeoordeling, geen conclusie. Elke cloudprovider die gevoelige gegevens verwerkt, moet de encryptiearchitectuur, zichtbaarheid in datastromen en volledigheid van de audittrail kunnen aantonen op een detailniveau dat je beveiligingsteam onafhankelijk kan verifiëren.

Ten tweede, eis datastroomdocumentatie van je cloudproviders. Het feit dat Microsoft vijf jaar nodig had om te leveren wat Amazon en Google standaard aanleverden, zou je moeten laten heroverwegen hoe je de beveiligingsstatus van leveranciers beoordeelt. Als een provider niet exact kan laten zien hoe je gegevens onderweg en in rust worden versleuteld, is dat een bevinding, geen gesprek.

Ten derde, controleer je relaties met beoordelaars. De achterdeur-dynamiek tussen Coalfire, Kratos en FedRAMP onthult een systemisch belangenconflict. Volgens het World Economic Forum brengt slechts 33% van de organisaties hun toeleveringsketenecosystemen volledig in kaart om blootstelling aan bedreigingen te begrijpen. Je risicoprogramma voor derden moet onafhankelijke verificatie omvatten die niet afhankelijk is van de eigen beoordelaars van de leverancier.

Ten vierde, evalueer je cloudarchitectuur op leveranciersconcentratierisico. Het 2026 Black Kite Third-Party Breach Report identificeerde 136 geverifieerde externe datalekken die ongeveer 26.000 bedrijven troffen. Wanneer één cloudprovider te diep wordt ingebed om af te wijzen — zoals bij GCC High — erft je organisatie elk beveiligingslek dat die provider met zich meedraagt.

Ten vijfde, geef prioriteit aan continue compliance monitoring boven periodieke beoordelingen. De gegevens uit de Kiteworks Forecast tonen aan dat 25% van de organisaties nog steeds handmatige of periodieke compliance als primaire aanpak gebruikt. In een dreigingslandschap waar de gemiddelde eCrime breakout time 29 minuten bedraagt, volgens het 2026 CrowdStrike Global Threat Report, zijn kwartaalreviews achterhaald.

De GCC High-casus heeft de kloof tussen compliance en beveiliging niet gecreëerd. Ze heeft de kloof alleen onmogelijk te ontkennen gemaakt. Organisaties die op deze informatie handelen — door architectonisch bewijs te eisen in plaats van autorisatielabels — zullen fundamenteel beter gepositioneerd zijn dan degenen die wachten op het volgende onderzoek dat hen vertelt wat ze al hadden moeten weten.

Veelgestelde vragen

FedRAMP-autorisatie is geen beveiligingsgarantie — het is een gestandaardiseerd beoordelingsproces met structurele beperkingen. Het ProPublica-onderzoek liet zien dat producten kunnen worden goedgekeurd ondanks onopgeloste beveiligingsvragen. Federale instanties moeten FedRAMP zien als één input in risicobeslissingen, niet als eindoordeel, en onafhankelijk encryptie, datastroomarchitectuur en volledigheid van de audittrail verifiëren.

Defensie-aannemers die GCC High gebruiken, moeten de voorwaarden van het FedRAMP-dekkingsrapport herzien en beoordelen of aan hun CMMC-vereisten volledig wordt voldaan. Volgens Kiteworks/Coalfire-onderzoeksresultaten beschouwt slechts 46% van de DIB-organisaties zichzelf als CMMC-ready en ontbreekt bij 62% adequate governance. Verifieer onafhankelijk of je cloudomgeving de encryptie, logs en toegangscontroles biedt die CMMC Level 2 vereist.

Eis datastroomdiagrammen die exact tonen waar encryptie en decryptie plaatsvinden in elke dienst die je gegevens verwerkt. De GCC High-casus liet zien dat Microsoft dit zelfs na vijf jaar niet kon leveren voor één dienst, terwijl concurrenten als Amazon en Google dit standaard aanleverden. Het 2026 Thales Data Threat Report toont aan dat slechts 33% van de organisaties volledige zichtbaarheid heeft op datalokaties — zorg dat je cloudprovider dat blinde vlek niet deelt.

Het model waarbij de beoordelaar door de leverancier wordt betaald, creëert inherente conflicten, zoals de GCC High-casus aantoonde toen beoordelaars via een achterdeur zorgen uitten terwijl hun officiële rapporten schoon bleven. Het 2026 Black Kite Third-Party Breach Report liet zien dat 53,77% van de gemonitorde organisaties kritieke kwetsbaarheden had ondanks hoge cyberratings. Vul door leveranciers aangeleverde beoordelingen aan met onafhankelijke technische validatie en continue monitoring.

Het GCC High-onderzoek benadrukt de complexiteit van multi-tenant architecturen als kernrisico voor beveiliging. FedRAMP-beoordelaars beschreven Microsofts datastromen als ondoorzichtig en lastig te verifiëren. Single-tenant architecturen zoals Kiteworks elimineren blootstelling aan kwetsbaarheden tussen tenants en bieden volledige zichtbaarheid in datastromen, waardoor verifieerbare beveiliging wordt geleverd in plaats van te vertrouwen op de verzekering van een leverancier dat encryptie ergens binnen een black box plaatsvindt.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks