Cloud is een klein woord voor een complexe wereld waarin betrouwbaarheid en veiligheid van groot belang zijn, maar niet altijd zeker. Samenwerkingsverband de Online Trust Coalitie zoekt naar een manier waarop betrouwbaarheid en veiligheid relatief eenvoudig aangetoond kunnen worden.
Beeld: Shutterstock
Iedereen met een creditcard kan gebruikmaken van de cloud. Investeringen in eigen hardware zijn niet nodig wanneer applicaties en data draaien op servers van anderen, ergens in de wereld. Onderhoud en beveiliging zijn geregeld, opslagruimte en rekencapaciteit kunnen naar wens worden op- en afgeschaald. Lekker makkelijk. Maar terwijl het gemak van werken in de wolk stijgt, neemt ook de behoefte aan zekerheid toe. “Juist omdat de cloudprovider zoveel voor zijn rekening neemt, heeft de afnemer geen idee wat die provider precies doet”, zegt Michiel Steltman, directeur van DINL (Digitale Infrastructuur Nederland) en projectleider bij ECP | Platform voor de Informatiesamenleving. “En dan kan het zomaar zijn dat je meer zekerheden nodig hebt dan worden geboden. Bijvoorbeeld omdat je cruciale data opslaat in de cloud of persoonsgegevens verwerkt.”
Reden voor Steltman om een aantal jaren geleden de Online Trust Coalitie te starten, dat een eenduidige methode zoekt waarop leveranciers van clouddiensten kunnen aantonen dat hun diensten betrouwbaar en veilig zijn. Hij vindt het vreemd dat het gebruik van clouddiensten laagdrempelig is, maar het krijgen van zekerheid nog niet. “Een leverancier kan zeggen ‘ik ben heel betrouwbaar’, maar hoe weet je dat? Hoe weet je zeker dat jij al jouw financiële en persoonlijke data bij een partij kunt stallen?”
De coalitie is inmiddels uitgegroeid tot een samenwerkingsverband van ongeveer twintig publieke en private ondernemingen, waaronder auditors, brancheorganisaties, drie ministeries (Binnenlandse Zaken, Economische Zaken en Klimaat, Justitie en Veiligheid) en aanbieders van clouddiensten. Dat ondernemers en overheidsorganisaties steeds minder vaak genoegen nemen met de bestaande certificaten en keurmerken, is grotendeels te wijten aan de AVG (de Algemene verordening gegevensbescherming). Met die verordening stelde de wetgever immers dat de afnemer verantwoordelijk is voor het verwerken van gegevens. En dus sturen afnemers van clouddiensten eigen auditors op pad om te controleren of alles veilig en betrouwbaar is. “Cloudproviders krijgen tientallen keren per jaar inspecties van verschillende partijen om te controleren of het allemaal wel klopt. Dat kost handenvol tijd en geld. Een bedrijf met 30 of 40 cloudapplicaties is tonnen kwijt om ze allemaal te laten doorlichten. De overheid heeft het gedaan met Microsoft en alleen voor die leverancier kostte dat al twee jaar.”
Complexe wereld
Dat geeft direct een van de grootste problemen aan in de zoektocht naar meer zekerheid: achter dat kleine woord ‘cloud’ schuilt een complexe wereld met een rijkgeschakeerd landschap aan dienstverleners. Jan Matto is Register EDP auditor en partner bij Mazars Nederland. Hij vindt dat de simplistische term meer verhult dan onthult. “Wat is die cloud? En waar is hij? Wie zijn de partijen die de clouddiensten leveren en met wie werken ze samen?” Over die laatste vraag weet hij: de cloud is nooit van één bedrijf. “De infrastructuur, de toegang, de beveiliging, de software, de data – het zijn allemaal schakels in de keten en meestal van verschillende aanbieders. De afnemer wil zekerheid, maar zijn dienstverlener is weer afhankelijk van derden. Dat maakt vertrouwen zeer ingewikkeld. Als er maar één schakel in de keten breekt of faalt, heeft iedereen een probleem. Wat we dus zoeken is zekerheid voor de risico’s in het hele ecosysteem.” Risico’s op het gebied van privacy, compliance en governance. “Het gaat ons om veel meer dan cybersecurity”, waarschuwt Steltman. “Digitale veiligheid is bijna altijd prima geregeld, waar het om gaat is of ik kan bouwen op de verklaringen die een leverancier afgeeft en of de hele keten daarin zit. Dus ook de leveranciers van mijn leverancier. Er is meer nodig dan beloftes.”
Geïnformeerde keuze
Met die laatste uitspraak is Petra Oldengarm het zeker eens, maar dat digitale veiligheid bijna altijd prima is geregeld, daar durft deze directeur van Cyberveilig Nederland wel wat vraagtekens bij te zetten. “Onze ervaring is dat te veel afnemers ervan uitgaan dat aanbieders de zaken op orde hebben, zonder dat ze controleren wat ‘op orde’ dan precies betekent en of dat hetzelfde is als wat zij nodig hebben. Hoeveel garantie biedt de leverancier werkelijk? Staan de maatregelen in verhouding tot de risico’s? Wij vragen ons af of dat gesprek in alle gevallen wordt gevoerd.” Oldengarm pleit in de eerste plaats voor duidelijkheid. “De provider is niet per se verantwoordelijk voor alles wat de afnemer wenst, maar wees daar transparant in zodat de afnemer een geïnformeerde keuze kan maken. Te vaak nog spreek ik ondernemers die denken dat het allemaal wel goed zal zitten. Ik zou zelf niet van dat toeval afhankelijk willen zijn.”
Dogmatisch jaardenken
Een uitstekend moment voor Matto om zijn stokpaardje te beklimmen: “Ik maak me al jaren zorgen over schijnzekerheden. Neem bijvoorbeeld een ISO 27000. Wij zien een vlucht in dat soort certificeringen, die iets zeggen over managementprocessen en niets over de IT-werkelijkheid.” Matto verbaast zich over het gebrek aan aandacht voor de technologie zelf. “Als IT-auditor hoor ik bijvoorbeeld vaak dat de mens de zwakste schakel is in de IT, maar dat is niet zo. De impact van technologie is gewoon heel groot. Als ik iemand een auto geef met slechte remmen en hij krijgt een ongeluk, dan kan ik niet zeggen dat de chauffeur de zwakste schakel is. Dat is dat oude barrel waarmee we hem op weg hebben gestuurd.”
Als er meer aandacht was voor de rol van IT in compliance, dan zou er ook anders geaudit worden, meent Matto. “Als NOREA-auditors geven wij zekerheid over het afgelopen jaar. Dat vindt de accountant fijn, die kan dan in het jaarverslag stellen dat alles heeft gewerkt in zijn financiële jaar. Maar dat soort ‘jaardenken’ is niet langer geschikt voor ICT. Technologie is veel te dynamisch voor één audit per jaar en moet frequenter worden gemonitord. Liefst continu. Daar zijn digitale instrumenten voor nodig, zoals dashboards, en een rigoureus andere manier van denken. Wereldwijd.” Een grote eis, maar Matto ziet al beweging in die richting. “De Online Trust Coalitie denkt er ook zo over en de gedachte verspreid zich steeds verder in de community.”
Afspraken in plaats van aannames
Ook Oldengarm ziet op het gebied van security een verschil tussen IT-werkelijkheid en -beleving. “In de praktijk zien we nog te veel aannames over verantwoordelijkheid en aansprakelijkheid. Laten afnemers en leveranciers eerst samen duidelijke afspraken maken over de beveiligingseisen en afstemmen wie verantwoordelijk is voor wat.” Oldengarm ziet daar zeker een rol voor de Online Trust Coalitie, waar Cyberveilig Nederland ook lid van is. Haar advies zou echter zijn om niet op zoek te gaan naar de heilige graal, maar pragmatisch te werk te gaan. “Kijk naar wat er wel kan. Wat zijn de minimale eisen waaraan security in de cloud zou moeten voldoen voor de verschillende typen clouddiensten? Ga daar dan een certificaat voor afgeven en bouw vervolgens uit. Wij werken bijvoorbeeld in breed verband aan een keurmerk voor het certificeren van penetratietesten. We hebben ook een security woordenboek gemaakt, waarin definities staan waar onze leden het wél over eens zijn. Normeninstituut NEN wil het gaan gebruiken, bijwerken en uitbreiden in het kader van ISO 27000. Zo komen we stapje voor stapje samen verder.” Zoek niet de tien verschillen, maar pak de drie overeenkomsten en ga daar mee verder, stelt Oldengarm voor. “Laten we zo’n keurmerk ook agile ontwikkelen; een begin maken en gaandeweg het proces verbeteren.”
