partnermenu

zoeken binnen de website

Partnerpagina ECP

De cloud als veilige haven

door: Freek Blankena

artikelen | 1 juli 2012

Overheden en bedrijven moeten kritisch zijn over de veiligheid van cloudoplossingen. Maar dat betekent niet dat ze er niets te zoeken hebben. De cloud kan ook een oplossing zijn voor beveiligingsproblemen.

ecp logo

Is de ‘cloud’ veilig? Dropbox, een online platform voor het delen van documenten, was in juni 2011 vier uur lang toegankelijk met een willekeurig wachtwoord. Dan is het antwoord dus nee. Een ander voorbeeld: tijdens de aardbeving in Japan enkele maanden eerder bleven alle datacenters in het land gewoon draaien op backupstroom. Organisaties die hun IT-systemen binnenshuis hadden staan, hadden juist veel met uitval te maken. De cloud bleek duidelijk veiliger.

Er is dus geen eenduidig antwoord en wat je kunt zeggen over de veiligheid van wat men tegenwoordig de cloud noemt, is eigenlijk al jaren van toepassing op IT-constructies die in dat paraplubegrip zijn opgegaan: outsourcing, hosting, application service providing (ASP), Software-as-a-Service (SaaS). Het verplaatsen van (een deel van) je IT-systemen naar een partij die beter en goedkoper werkt is immers niet zo nieuw. Toch is er wel wat voor te zeggen om cloudbeveiliging extra aandacht te geven, zoals het platform ECP onlangs deed tijdens een seminar over ‘vertrouwen in de cloud’. Die cloud is immers sterk in opkomst en blijkt vooral interessant voor bedrijven en overheden die zich steeds meer op hun kerntaken willen concentreren. ECP wil dan ook onderzoeken of er op basis van de tijdens de bijeenkomst geleverde input een handreiking cloud computing voor het MKB is te formuleren.

Vragen

Een eenvoudige checklist van beveiligingsparameters is er eigenlijk niet. Michel Verhagen, plaatsvervangend directeur Telecom van het ministerie van EL&I, memoreert wel een aantal belemmeringen die uit een recent onderzoek van VKA, Van Doorne en Rand naar voren zijn gekomen. Hij noemt de onduidelijkheid over wetgeving die van toepassing is bij internationaal opererende cloud-aanbieders. Hoe kun je je als Nederlandse organisatie bijvoorbeeld houden aan de wet Bescherming Persoonsgegevens of de Telecomwet als de Spaanse of Amerikaanse leverancier daaraan niet is onderworpen? Hoe zit het met de beveiliging van de data, de beschikbaarheidsgaranties, de dataportabiliteit (kan ik de gegevens ook weer elders gebruiken), rapportages? “Het zijn onderwerpen die niet voor iedereen in dezelfde mate gelden”, zegt Verhagen. “Alleen al de perceptie van een probleem kan meespelen.” Hij pleit met de onderzoekers voor duidelijke en meer geharmoniseerde wet- en regelgeving en meer transparantie op dit gebied.

Als het om cloud computing gaat, gebruikt John van Huijgevoort, Senior Adviseur Informatiebeveiliging van het Nationaal Cyber Security Centrum (NCSC), graag een quote van de Europese organisatie Enisa: ‘You can outsource responsibility, but you can’t outsource accountability’. “Je blijft altijd eindverantwoordelijk. Je moet je beslissing baseren op een goede risico-analyse. Wat voor data, systemen en functies heb je in huis en hoe belangrijk zijn die voor je organisatie? En ben je bereid de risico’s te nemen die optreden als je naar de cloud gaat?”

Van Huijgevoort kan zich wel vinden in het lijstje van Verhagen, maar licht er nog een paar aspecten uit. De locatie waar de gegevens zich bevinden is erg relevant. “In feite moet de data in Nederland blijven en op het moment dat je daaraan wilt voldoen, vallen de Amazons en de Googles van deze wereld al af, want dan weet je immers niet waar die data blijft.” Dergelijke partijen werken volgens hem wel aan oplossingen die garanties bieden over een Europese of zelfs Nederlandse data-opslag, maar Amerikaanse bedrijven blijven verplicht gegevens aan hun regering af te staan, waar die gegevens zich ook bevinden. Van Huijgevoort kan er geen harde regels voor geven: “Er is nog weinig jurisprudentie over.”
Een ander aandachtspunt is hoe de provider met je gegevens omgaat, bijvoorbeeld bij zoiets eenvoudigs als het wissen ervan. Als gebruikers iets wissen, is er dan de garantie dat die gegevens ook uit de back-ups verdwijnen? En hoe je afscheid neemt van een cloud-leverancier is ook belangrijk. “Denk na over een exitstrategie en over hoe je je data dan terug wilt krijgen.”

Oplossing

Vragen en afwegingen genoeg dus, maar staar je daar niet op blind. Dat is zo ongeveer de insteek van Marnix Dekker, application security officer van Enisa (European Network and Information Security Agency), onderdeel van de EU. Hij ziet cloudoplossingen als een ‘tweesnijdend zwaard’; de cloud geeft beveiligingszorgen, maar is ook een deel van de oplossing. “Door stijgende druk van aanvallers is het heel moeilijk om je systemen nog droog te houden en moet je eigenlijk een professionele organisatie hebben met veel mankracht.” Dat kan een kleine organisatie niet bekostigen. Hij brengt een onderzoek in herinnering waaruit blijkt dat antivirusbeveiliging vaak niet werkt. Van de pc’s met actuele bescherming bleek 55 procent het trojan-virus Zeus niet te hebben tegengehouden. “Het is vaak heel gemakkelijk het standpunt in te nemen dat je nieuwe technologie niet moet gebruiken. Maar je moet je dus ook afvragen of dat niet voor de oude technologie geldt.”

Enisa draagt een steentje bij aan de cloudstrategie waaraan de Europese Commissie werkt. “Onze input is vervat in de term collective procurement: als we het nu met een aantal grote landen eens worden over hoe we cloud zouden willen inkopen en wat voor security daarbij hoort, kunnen we hopelijk op die manier vrij snel de markt regelen. Dat is sneller dan vijf of zes jaar ISO-werkgroepen en vergaderingen.” De inspanningen zijn niet gericht op individuele gebruikers en aanbieders, maar op de markt als geheel, en dat is nodig, denkt Dekker.

“Mensen spreken in het begin nu vaak af wat ze nodig hebben aan beveiligingsmaatregelen en -certificeringen, maar monitoren vervolgens niks meer en blijven dus eigenlijk in het ongewisse. Klanten richten zich op het afvinken van checklists en kijken of dat voldoende is voor hun situatie, maar houden vervolgens niet meer echt bij hoe dat verder voor hen uitpakt.” Enisa heeft onderzocht hoeveel cloudgebruikers periodieke penetratietesten houden. Dat blijkt maar 15 procent te zijn. “Maar het is toch wel slim om dat iedere maand te doen.” Hetzelfde geldt voor back-ups en dataportabiliteit.
Er zijn ook aspecten die overduidelijk de klant-provider-relatie overstijgen en waarvoor dus regulering, toezicht, en/of transparantie geregeld moeten worden. “Je ziet bijvoorbeeld dat steeds meer gegevens in grote datacenters zijn geconcentreerd. Dan moet je je afvragen of dat nog wel redundant en veilig is. Een aantal hele grote cloudproviders zit bijvoorbeeld in Dublin. Wat is dan het gevolg van een flinke blikseminslag daar?”

Voorzichtig

MKB en kleine overheden moeten dus hun eigen afwegingen maken. Voor de Rijksoverheid ligt dat iets anders; die heeft haar eigen cloudstrategie. Henri Rauch, programmamanager bij BZK en mede-opsteller van de strategie, belijdt voorzichtigheid. Het gaat bij de Rijksoverheid immers om gevoelige gegevens, waarvan je als burger, bedrijf of overheid wilt weten waar ze zich bevinden en hoe ermee wordt omgesprongen. “Het simpele fenomeen ‘deleten’ is kennelijk al problematisch. Zolang er voor dat soort belemmeringen nog geen passende oplossing is gevonden, zijn we er voorzichtig mee.” Het Rijk beperkt zich dus vooralsnog tot de Digitale Werkplek Rijksoverheid (DWR) en een aantal experimenten, zoals de open data van de overheid.
Volgens John Van Huijgevoort van het NCSC nemen lagere overheden die voorzichtigheid vaak niet in acht. Lektober toonde aan dat gemeenten er vaak niet over hebben nagedacht. “Men neemt vaak de stap naar de goedkope vorm en er zit geen beleid achter.” Beleid is volgens hem ook nodig bij het versmelten van cloudoplossingen, het verschijnsel ‘bring your own device’ en social media. De gebruiker dicteert immers en neemt zelf wel een account bij Dropbox of Google Apps, als hij geen ondersteuning krijgt. “Dan kan hij tóch lekker thuiswerken.”

tags: , ,

Reactieformulier

De met een * gemarkeerde velden zijn verplicht. U ziet eerst een voorbeeld en daarna kunt u uw bijdrage definitief plaatsen. Uw e-mailadres wordt niet op de site getoond. Reacties zonder achternaam worden verwijderd. Anoniem reageren alleen in uitzonderlijke gevallen in overleg met de redactie. U kunt bij de vormgeving van uw reactie gebruik maken van textile en er is beperkt gebruik van html mogelijk.