‘Heeft de cloud ons veiliger gemaakt?’
Het concept cloudcomputing bestaat alweer bijna 30 jaar. Dat roept de vraag op of het fenomeen het digitale ecosysteem op aarde veiliger heeft gemaakt, of niet. Het is de hamvraag van onderzoeksproject MASCOT, dat staat voor ‘MeAsuring Security in Cloud OuTsourcing’.
Voor onderzoeker dr. Abhishta Abhishta van de Industrial Engineering and Business Information Systems-groep (IEBIS) van de Universiteit van Twente, is het te vroeg om een antwoord op de vraag te geven. “We leven nog niet lang genoeg in het Cloudtijdperk om het in retrospectief te bezien”, zegt hij. “Ik denk wel dat het zorgwekkend is als we het idee dat we enige controle moeten hebben over onze eigen IT-infrastructuur volledig opgeven.”
Veiligheid is toch een veel gehoord argument om naar de cloud over te stappen?
Abhishta: “Dat klopt, cloud service providers hebben de middelen voor security en personeel dat erin gespecialiseerd is. Daarnaast hebben ze een gedistribueerde infrastructuur waarmee ze bij storingen continuïteit kunnen bieden en beter DDoS-aanvallen kunnen afslaan. Toch zijn er voorbeelden genoeg van storingen bij de grote cloudpartijen. Denk maar aan de 38 terabytes aan data die Microsofts Azure lekte. Daar komt bij dat een klein aantal grote partijen de cloudmarkt domineert. Daar moeten we als samenleving niet te afhankelijk van worden.”
“Je kunt de zorg voor je eigen cybersecurity niet uitbesteden aan je cloudprovider. Het is misschien een open deur, maar het gebeurt in de praktijk op grote schaal”, zegt Abhishta. “Grote spelers die gebruik maken van de cloud weten wel wat ze doen, daar hebben ze CISO’s (Chief Information Security Officers) voor in dienst. Maar consumenten en het MKB denken daar niet, of onvoldoende over na.”
Abhishta promoveerde in 2019 op zijn onderzoek naar de economische impact van DDoS-aanvallen: The Blind Man and The Elephant: Measuring Economic Impacts of DDoS Attacks.
Wat was de aanleiding voor het MASCOT-project?
“De grote DDoS-aanval in oktober 2016 op DNS service provider Dyn, waarbij de Amerikaanse westkust enkele uren zonder internet zat. We gingen er feitelijk vanuit dat dergelijke managed cloud infrastructuren ‘too big to fail’ zouden zijn. Maar de drie achtereenvolgende DDoS-aanvallen kregen Dyn dus wel op de knieën. PhD-student Yasir Haq keek naar hoe de klanten van Dyn op die downtime reageerden en onderzochten 200.000 domeinen (.com, .net en .org). Van de getroffen domeinen vertrok slechts 20% naar een andere DNS service provider. Vooral online nieuwsorganisaties pakten hun biezen omdat het voor hen extreem belangrijk is om online te zijn, gezien de clicks en het daaraan gekoppelde verdienmodel. De rest deed niets en zat de storing gewoon uit.”
Welke conclusies trokken jullie daaruit?
“Kennelijk bezit het netwerk toch de nodige resilience en bleef internet verder bij de westkust vandaan wel toegankelijk. Een ander punt is de mate van economische afhankelijkheid van internettoegang. Wanneer het financieel niet heel veel pijn doet, zit je de storing uit en maak je geen extra kosten door naar een andere provider te stappen. Wat overigens binnen enkele minuten gerealiseerd kan worden. Verder geeft het onderzoek inzicht in hoe klanten in verschillende industriesectoren op downtime reageren, vanuit de zakelijke kant. Welke stappen worden er door wie gezet en waarom, wanneer cloud infrastructuur niet beschikbaar is.”
Wat zijn andere belangrijke bevindingen in jullie onderzoek tot nu toe?
“Het onderzoek ‘Stranger VPNS’ van PhD-student Etienne Kahn richtte zich op de ’dark cloud’, ofwel geo-blokkering door het gebruik van VPN’s (Virtual Private Networks). Er wordt op grote schaal gebruikt gemaakt van deze relatief goedkope diensten, bijvoorbeeld om een serie van Netflix in de VS te kijken, die in Nederland op Netflix niet beschikbaar is. De VPN-provider geeft je tijdelijk een IP-adres op een andere locatie, zodat je geo-blokkering kunt omzeilen. Je gebruikt hun netwerk, maar op welke manier maken zij gebruik van jouw netwerk? Faciliteer je zo malafide activiteiten via je netwerk?
Uit Kahns onderzoek blijkt dat zogeheten residential ISP’s door malafide partijen worden ingezet. Hij is daarvoor bewijs aan het verzamelen. Het gevolg van het gebruik van de residential ISP’s is dat er geen onderscheid gemaakt kan worden tussen goede en slechte ISP’s, omdat je niet weet wie via het netwerk opereert.
Het onderzoek van Kahn geeft inzicht in een grote markt waar we tot voor kort heel weinig over wisten. Zijn methode om activiteit op de residential ISP’s te meten is een doorbraak voor ons project geweest.”
Hebben jullie ook onderzoek gedaan naar de fysieke veiligheid van cloud infrastructuur?
“Ja, we hebben onderzocht hoe bedrijven omgingen met de dreiging van fysieke aanvallen op het cloud ecosysteem, voor en ten tijde van de eerste jaren van het Rusland-Oekraïne conflict. Opvallend was dat hostingbedrijven voordat de aanval begon, hun clouddiensten elders onderbrachten. Dat begon al een jaar eerder, toen Rusland begon met de opbouw van militaire troepenmacht in de buurt van Oekraïne. Chinese en Japanse clouddienstverleners deden dat, in tegenstelling tot Europese landen op een zeer gecoördineerde manier. 100% van de dienstverleners uit de landen trok zich uit de conflictregio terug. Van de clouddienstverleners uit Europese landen ondernam slechts 25% actie naar aanleiding van het conflict. We werken nu aan onderzoek naar de beweegredenen en karakteristieken van bedrijven om te blijven of te vertrekken en wat daarvan te leren valt.”
Gaat het met cloudcomputing de goede kant op, gekeken naar security?
“Die vraag is moeilijk te beantwoorden. Ons onderzoek loopt nog tot 2026 door. Maar met het oog op de maatschappelijke behoeften ten aanzien van cloudcomputing zijn er goede stappen gezet. Neem de invoering van de General Data Protection Regulation (GDPR) van de Europese Unie. Ik weet wel dat de implementatie ervan een uitdaging is, maar het idee erachter is goed. Ik kijk uit naar het effect van de Cyber Resilience Act (CRA). Vast staat dat onze digitale afhankelijkheid van cloud infrastructuur alleen maar groter wordt.”
“Als gebruiker lease je feitelijk clouddiensten van iemand anders. Het leasen van een auto in plaats van het aanschaffen ven een auto is dezelfde beslissing als het leasen van clouddiensten in plaats van zelf de systemen aan te schaffen en te onderhouden. Voor het rijden in de geleasede auto, heb je nog steeds een rijbewijs nodig. Als je een cloud leased moet je nog steeds goed nadenken over je eigen beveiliging.”
Waar gaat het MASCOT-project zich de komende jaren verder op richten?
“We kijken naar een aantal dingen, bijvoorbeeld wat de gebruikers aan de zakelijke kant kunnen doen. Graag zouden we de risico’s in de cloud in kaart brengen en kwantificeren. Aan de technische kant van MASCOT willen we dieper onderzoek naar de dark cloud doen om het zo transparant mogelijk voor gebruikers en beleidsmakers te maken. Ondertussen doet de aan MASCOT gelieerde PhD-student Sousan Tarahomi onderzoek naar de centralisatie die in de cloud gaande is, in combinatie met de technische beveiliging van de cloud. Welke nieuwe strategieën voor bescherming zijn er te bedenken?
Kunnen we op termijn van MASCOT een ‘cloud security checklist’ voor consumenten, bedrijven en overheden verwachten?
“Dat zie ik wel gebeuren. We zouden graag begeleiding en richtlijnen willen geven als het gaat om het gebruik van clouddiensten. Bijvoorbeeld met het oog op verschillende typen data sets. Hoe kun je die daadwerkelijk goed beschermen? Dat type maatregelen zal de kosten van het gebruik van clouddiensten ongetwijfeld gaan verhogen. Ik vergelijk dat met het bouwen van een pand midden in Amsterdam. Daarvoor moet je de bouwplaats helemaal inpakken om overlast voor de omgeving te voorkomen. Dat zijn extra kosten die onvermijdelijk zijn als je in het centrum wilt bouwen. Zoiets moet je in de cloud ook doen. Voorzorgsmaatregelen in de cloud zijn nodig, en een beveiligingsstrategie. Nog veel te vaak wordt gekozen voor een cloudoplossing van de aanbieder die de beste service voor de beste prijs biedt. Er wordt maar op vertrouwd dat de beveiliging op orde is. Dat is te makkelijk.”
MASCOT-project
Het MASCOT-project doet onderzoek naar de veiligheid van cloud infrastructuur vanuit sociaal wetenschappelijk en computer wetenschappelijk perspectief. Het project wordt gefinancierd door NWO.
Het onderzoeksteam van MASCOT staat onder leiding van prof. dr. ir. Roland van Rijswijk-Deij en projectleider dr. Anna Sperotto. Zij sturen de technische kant van het onderzoek aan. Dr. Abhishta en Prof. dr. ir. Bart Nieuwenhuis de business- en management kant. PhD-kandidaat Etienne Kahn doet onderzoek naar de ’dark cloud’ oftewel Geo- blokkering. PhD-student Yasir Haq doet onderzoek naar de impact van cloud computing op security. Sousan Tarahomi (een andere PhD-student maar buiten het project) doet onderzoek naar centralisatie en cloudbeveiliging.
De partners van het MASCOT-project zijn: SURF, Logius, KPN en NLnet Labs.
MASCOT is één van de projecten in het Commit2Data onderzoeksprogramma, met meer dan 60 big data onderzoeksprojecten, verdeeld over verschillende toepassingsgebieden waaronder energie, logistiek en cybersecurity.