De beveiligingsproblemen rond cloud computing zijn niet nieuw. “Het inherente probleem is: verschillende not trusted mensen op dezelfde hardware. Dus dat is hetzelfde als dertig jaar geleden. Toen had je verschillende abonnementen op één computer.” Dat zegt beveiligingsexpert Bruce Schneier, chief security technology officer van BT.
Hoe veilig is de cloud?
Dat is grappig. In de afgelopen maand vraagt iedereen me naar cloud computing. Iederéén! De cloud is niets nieuws. Mijn vraag is: wat is het verschil?
Het probleem met de cloud is dat je het databezit scheidt van het bezit over het apparaat waarop die gegevens zijn opgeslagen. Dat is een situatie die volgens uzelf beveiliging lastiger maakt, zo valt te lezen in uw laatste boek, Schneier on Security.
Maar dat doen al met mail! Waar is je mail nu? Weet je dat? We doen dat al zo véél! Ik weet niet of er wel een verschil is. Iedereen schrijft over de beveiliging van cloud computing, en neemt aan dat er een gigantisch verschil is. Ik vraag me af of dat wel zo is.
Veel bedrijven aarzelen om hun applicaties en data naar de cloud te brengen, vanwege beveiligingsaspecten.
Omdat er een controle- en vertrouwenskwestie speelt. Maar dat probleem bestond dertig jaar geleden ook al. Toen had je ook clients en servers.
Dat was binnen en bedrijf.
Dat maakt het probleem niet anders. Het inherente probleem is: verschillende not trusted mensen op dezelfde hardware. Dus dat is hetzelfde als dertig jaar geleden. Toen had je verschillende abonnementen op één computer. Misschien vergis ik me en is de cloud iets anders, maar voor mij voelt het alsof we dit al eens meegemaakt hebben, alsof dit geen nieuwe kwesties zijn.
Nu hebben we internet.
Toen had je ARPAnet. Maakt dat zo’n groot verschil? Het voelt als een hoop redundantie en oude problemen. Die hele notie van niet weten waar je gegevens zijn, dat is client-server, computing in de jaren zestig. Of die not trusted mensen zich binnen of buiten het bedrijf bevinden maakt niet zoveel uit.
Op het internet zwerven veel meer mensen rond, ook met slechte bedoelingen, dan op ARPAnet.
Wat maakt het uit of je vijf mensen met kennis van zaken hebt, of dertig? Dat is alleen een verschil in de schaal van het probleem, niet in het type.
Daarnaast schijnen internetcriminelen steeds professioneler te werk te gaan.
Dat is heel erg waar.
Misschien maken ze op dit moment wel een studie van de mogelijkheden van cloud computing.
Kan zijn. Maar voorlopig ben ik er niet van overtuigd dat er cloud computing- onderzoekscentra bestaan in de criminele wereld. Misschien. Hoe dan ook, het is een interessante vraag.
En hoe zit het met virtualisatie?
Dat is precies hetzelfde onderwerp! Dat is alleen maar een ander woord. Binnen of buiten een bedrijf maakt toch geen verschil? Bedrijfsgrenzen zijn hoe dan ook fluïde. Je hebt toeleveranciers, klanten, enzovoort.
Termen als de cloud en virtualisatie zijn marketingtermen. We moeten uitzoeken wat ze werkelijk betekenen. De beveiligingsproblemen die er mee samenhangen klinken in mijn oren als computing in de jaren vijftig. Servervirtualisatie was al werkelijkheid in de jaren vijftig.
Hoe zit het met webmail?
Dat zijn allemaal dezelfde vragen.
Saas?
Hetzelfde.
In uw boek Schneier on Security zegt u dat zodra ict meer en meer een nutsmiddel wordt, gebruikers meer en meer diensten gaan aanschaffen, in plaats van producten. U voorspelt dat ze daardoor in toenemende mate zullen verwachten dat hun ict inherent veilig is. Betekent dat dat cloud computing een stimulans is voor het ontwikkelen van inherent veilige ict-diensten?
Ik denk het wel.
Hoe ver is die ontwikkeling op dit moment?
Een klein eindje op weg. Het is een kip-en-ei probleem. Alle grote outsourcers die diensten leveren in plaats van producten, zoals BT, IBM en EDS, zijn er mee bezig. Misschien gebeurt deze ontwikkeling niet onmiddelijk, misschien pas over twintig jaar, maar uiteindelijk wel. Computing is infrastructuur.
In een artikel uit 2004 adviseerde u thuisgebruikers in een artikel om Windows en Internet Explorer niet te gebruiken. Adviseert u dat nog steeds, en ook aan zakelijke gebruikers?
Het is een goed advies, maar niemand volgt het op, dus het zal wel in orde zijn. Als je af kunt raken van Windows, is dat absoluut veiliger. Maar thuis blijven is ook veiliger dan naar je werk rijden. Dus bedrijven moeten zich niet te druk maken. Hoe onveilig autorijden ook is, je zult toch naar je werk moeten rijden. En dat is jammer, maar zo is het.